10
Vorabüberlegung NAP für WiFi mit UniFi APs und Windows Server und Clients
Hallo,
ich überlege gerade, ein separates Produktiv-WLAN zu erstellen, da sich in dem aktuellem WLAN Netz zu viel rum tummelt. Es sollen nur die Firmen-Lapotps verbunden werden.
Als Hardware sind UniFI Switche und UniFi AP's vorhanden.
Serversystem sind per Kabel angebunden. Hier laufen Windows-Server 2016
Die Client-Systeme sind Windows 10 Clients.
Mein Ziel:
Das WLAN-Profil soll per GPO an die Clients verteilt werden. Diese sollen sich mittels WPA2-Enterprise (NAP) mit dem WLAN Verbinden.
Das soll auch funktionieren, wenn noch kein User am Gerät angemeldet ist.
Hat jemand so etwas in der Kombination umgesetzt und kann mir Tipps geben?
ich überlege gerade, ein separates Produktiv-WLAN zu erstellen, da sich in dem aktuellem WLAN Netz zu viel rum tummelt. Es sollen nur die Firmen-Lapotps verbunden werden.
Als Hardware sind UniFI Switche und UniFi AP's vorhanden.
Serversystem sind per Kabel angebunden. Hier laufen Windows-Server 2016
Die Client-Systeme sind Windows 10 Clients.
Mein Ziel:
Das WLAN-Profil soll per GPO an die Clients verteilt werden. Diese sollen sich mittels WPA2-Enterprise (NAP) mit dem WLAN Verbinden.
Das soll auch funktionieren, wenn noch kein User am Gerät angemeldet ist.
Hat jemand so etwas in der Kombination umgesetzt und kann mir Tipps geben?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 580185
Url: https://administrator.de/contentid/580185
Printed on: April 25, 2024 at 15:04 o'clock
10 Comments
Latest comment
Servus Killtec,
kein großes Problem wenn man sich an die Vorgaben hält dann funktioniert das problemlos, habe ich persönlich schon einige hundert mal so umgesetzt. Für die Authentifizierung der Clients benutze ich bisher immer (P)EAP-TLS mit Computerzertifikaten. Damit und in Verbindung mit einer Drahtlosrichtlinie(GPO) kann sich der Client auch schon vor der Anmeldung mit dem Drahtlos-Netz verbinden. Wenn du bereits eine Windows-CA betreibst reicht es wenn du mit den Standard-GPO-Methoden den Computern Computerzertifikate verpasst die diese dann auch für die WLAN-Auth benutzen können (FQDN muss im SAN enthalten sein).
Halte dich grundlegend an folgende Anleitung (bis auf die Einrichtung des AP) dann geht das schnell und meist reibungslos vonstatten:
NPS – Wireless authentication with Computer certificate ( EAP-TLS )
Die Einrichtung des Radius-Client auf dem UniFy-AP sollte ja keine große Sache sein, die besteht ja meist nur aus angeben von "WPA2-AES Enterprise" als Methode, EAP Passthrough, der IP des NPS und einem Kennwort mit dem sich der Radius-Client dann am NPS authentifiziert und welches auf beiden Seiten, also am NPS und am AP gleich sein müssen.
UniFi - Configuring Access Policies for Wireless Clients
Bei weiteren Fragen gerne nochmal auf mich zukommen.
Grüße Uwe
kein großes Problem wenn man sich an die Vorgaben hält dann funktioniert das problemlos, habe ich persönlich schon einige hundert mal so umgesetzt. Für die Authentifizierung der Clients benutze ich bisher immer (P)EAP-TLS mit Computerzertifikaten. Damit und in Verbindung mit einer Drahtlosrichtlinie(GPO) kann sich der Client auch schon vor der Anmeldung mit dem Drahtlos-Netz verbinden. Wenn du bereits eine Windows-CA betreibst reicht es wenn du mit den Standard-GPO-Methoden den Computern Computerzertifikate verpasst die diese dann auch für die WLAN-Auth benutzen können (FQDN muss im SAN enthalten sein).
Halte dich grundlegend an folgende Anleitung (bis auf die Einrichtung des AP) dann geht das schnell und meist reibungslos vonstatten:
NPS – Wireless authentication with Computer certificate ( EAP-TLS )
Die Einrichtung des Radius-Client auf dem UniFy-AP sollte ja keine große Sache sein, die besteht ja meist nur aus angeben von "WPA2-AES Enterprise" als Methode, EAP Passthrough, der IP des NPS und einem Kennwort mit dem sich der Radius-Client dann am NPS authentifiziert und welches auf beiden Seiten, also am NPS und am AP gleich sein müssen.
UniFi - Configuring Access Policies for Wireless Clients
Bei weiteren Fragen gerne nochmal auf mich zukommen.
Grüße Uwe
Danke schon mal für die Antwort 
Eine CA habe ich hier noch nicht laufen. Gehe erstmal die beiden Links durch.
Danke dir.
Eine CA habe ich hier noch nicht laufen. Gehe erstmal die beiden Links durch.
Danke dir.
Hi Uwe,
Danke dir.
Das hat sehr geholfen. Auf dem UniFi AP ist das "Easy Going".
Hab erst ein Test-AD mit CA und NPS auf in Summe 3 Systemen angelegt. Ein Laptop und läuft prima
Gruß
Danke dir.
Zitat von @colinardo:
Halte dich grundlegend an folgende Anleitung (bis auf die Einrichtung des AP) dann geht das schnell und meist reibungslos vonstatten:
NPS – Wireless authentication with Computer certificate ( EAP-TLS )
Halte dich grundlegend an folgende Anleitung (bis auf die Einrichtung des AP) dann geht das schnell und meist reibungslos vonstatten:
NPS – Wireless authentication with Computer certificate ( EAP-TLS )
Das hat sehr geholfen. Auf dem UniFi AP ist das "Easy Going".
Hab erst ein Test-AD mit CA und NPS auf in Summe 3 Systemen angelegt. Ein Laptop und läuft prima
Gruß
Sehr schön 👍.
Noch eine andere (weitere) Überlegung dazu. Reicht ein NPS Server im gesamten Netz wo Außenstellen via VPN angebunden sind?
Hast du da Erfahrungen?
Alle AP's sind via IP erreichbar.
Hast du da Erfahrungen?
Alle AP's sind via IP erreichbar.
Zitat von @killtec:
Noch eine andere (weitere) Überlegung dazu. Reicht ein NPS Server im gesamten Netz wo Außenstellen via VPN angebunden sind?
Hast du da Erfahrungen?
Alle AP's sind via IP erreichbar.
Naja, es ist ja so ein Single Point of Failure, d.h. ist der einzige NPS nicht erreichbar steht das WiFi in allen Aussenstellen. Zumindest einfache Redundanz würde ich einplanen damit der Betrieb nicht sofort überall still steht und man als Admin Zeit bekommt den problematischen NPS in der Zwischenzeit zu ersetzen.Noch eine andere (weitere) Überlegung dazu. Reicht ein NPS Server im gesamten Netz wo Außenstellen via VPN angebunden sind?
Hast du da Erfahrungen?
Alle AP's sind via IP erreichbar.
Hier deine erste Anlaufstelle zum Thema
Load Balancing with NPS Proxy
Danke dir, schaue mir das an
ALso wenn ich das richtig verstehe ist es sinnvoll, an jedem Standort einen NPS stehen zu haben?
Den NPS kann ich dann als Dienst auf einem vorhandenen Server mit laufen lassen wo nicht so viel Last drauf ist.
Ich denke nur der AD-Server ist hier eher nicht vorteilhaft?
Gruß
Den NPS kann ich dann als Dienst auf einem vorhandenen Server mit laufen lassen wo nicht so viel Last drauf ist.
Ich denke nur der AD-Server ist hier eher nicht vorteilhaft?
Gruß
Zitat von @killtec:
ALso wenn ich das richtig verstehe ist es sinnvoll, an jedem Standort einen NPS stehen zu haben?
Wenn dort sowieso ein Server läuft wäre das eine Möglichkeit, du darfst dann aber auch nicht die redundante Anbindung an die Zentrale vergessen wenn am Standort kein DC steht.ALso wenn ich das richtig verstehe ist es sinnvoll, an jedem Standort einen NPS stehen zu haben?
Den NPS kann ich dann als Dienst auf einem vorhandenen Server mit laufen lassen wo nicht so viel Last drauf ist.
Ja kannst du. Kommt halt darauf an wie groß die Standorte ausfallen und wieviele APs und User sich das WLAN teilen.Ich denke nur der AD-Server ist hier eher nicht vorteilhaft?
Sicherheitstechnisch suboptimal, "DC bleibt DC bleibt DC". Es würde auch eine kleine Freeradius-VM tun wenn man Ressourcen oder Windows Lizenzen sparen möchte.Wenn es kleine Standorte mit wenigen Usern sind, und die Internetanbindung Redundant ausgelegt ist würde ich die NPS nur im Hauptstandort aufstellen, aber auch hier nur unter der Bedingung das die WLAN User sowieso nur über die VPN-Verbindung arbeiten. Müssen die User auch vor Ort mit lokalen Servern arbeiten ist ein OnSite NPS mit lokalem DC Pflicht.
Ist halt wie immer eine Situationsfrage.
Hi,
danke für die Infos
Mit dem DC war mir irgendwie klar ;) Hatte überlegt ob ich mich traue es zu fragen :D
Ich könnte den NPS auf dem Fileserver mit packen der Vor Ort ist. Von Daher Windows-Server sind vorhanden.
Die CLients sollen Vor Ort mit den System Vor Ort arbeiten.
An jedem Standort ist ein DC vorhanden und min. ein Fileserver. Von daher sollte das gehen.
Habe gesehen, dass man die NPS Config auch exportieren kann. Das macht die Sache dann einfacher an den Außenstandorten.
danke für die Infos
Mit dem DC war mir irgendwie klar ;) Hatte überlegt ob ich mich traue es zu fragen :D
Ich könnte den NPS auf dem Fileserver mit packen der Vor Ort ist. Von Daher Windows-Server sind vorhanden.
Die CLients sollen Vor Ort mit den System Vor Ort arbeiten.
An jedem Standort ist ein DC vorhanden und min. ein Fileserver. Von daher sollte das gehen.
Habe gesehen, dass man die NPS Config auch exportieren kann. Das macht die Sache dann einfacher an den Außenstandorten.
