Windows RADIUS (NPS) Server Konfigurieren für WLAN Zugriff

Für einen RADIUS (Remote Authentication Dial-In User Service) Server auf einem WINDOWS Server:

https://theitbros.com/radius-server-configuration-on-windows

  • Active Directory einrichten – DNS + AD domänendienste sind Notwendig

wenn der AD eingerichtet ist und Läuft:

NPS einrichten

info: bei Fehlern unter „ereignisanzeige – Serverrollen“ schauen

  • den Dienst „Netzwerkrichtlinienserver“ Installieren (Wenn der RADIUS euf einem anderen Server oder VM als der AD läuft, muss dieser in die Domäne gehoben werden)
  • Netzwerkrichtlinienserver Konfigurieren
    1. NPS in AD registrieren
      1. unter Tools im Server Manager > netzwerkrichtlinienserver
      2. Rechtsklick auf „NPS (lokal)“
        1. Server in Active Directory registrieren
        2. cmd: netsh ras add registeredserver
        3. cmd: netsh ras show registeredserver
    2. RADIUS-Clients anlegen (Access Points zum RADIUS hinzufügen)
      1. RADIUS-Clients und Server → RADIUS-Clients → Neu…
      2. Eintragen:
        • Name: z. B. WLAN-AP
        • IP-Adresse: des APs
        • Gemeinsames Geheimnis (Shared Secret): frei wählen (muss auf beiden Seiten identisch sein – auf RADIUS und AP) – unter „Vorlagenverweltung“ lässt sich eine Vorlage für Shared Secrets erstellen, diese kann man dann unter Radius-CLIENTS auswählen
          • WENN z.B. ein Omada Controller verwendet wird: Omada Controller und AP müssen als Radius client angelegt werden
    3. WLAN auf z.B. Omada Controller einrichten
      1. SSID erstellen, Sicherheit WPA-Enterprise
      2. Radius Profil anlegen
        1. Radius Server eingeben , Authentifizierungsport Standardmäßig: 1812
        2. Shared Secret / Authentifizierungskennwort eingeben

Kontoführung Aktivieren

im NPS unter Kontoführung

  • Button: Kontoführung Konfigurieren
  • ich mache: Log to Text File
  • Rest nach Wunsch oder auf Standard lassen

Um von einem PC zu testen ob die Authentifizierung am Radius generell funktioniert:

https://community.opentext.com/portfolio/oes/w/tips/9928/ntradping-1-5-radius-test-utility

PC muss dann als RADIUS-Client hinzugefügt werden, unter NPS > Netzwerkrichtlinien müssen Temporär unsichere Authentifizierungsmethoden zugelassen werden (bei Einschränkungen)

Jetzt muss noch Eine Sichere Authentifizierungsmethode Konfiguriert werden:

  • Netzwerkrichtlinien definieren: Damit NPS weiß, welche Benutzer sich anmelden dürfen:
    1. Richtlinien → Netzwerkrichtlinien → Neu
    2. Regelname, z. B. „WLAN Auth“
    3. Bedingungen hinzufügen:
      • Benutzergruppe: z. B. Domänen-Benutzer oder WLAN-Gruppe
    4. Zugriff zulassen
      • Authentifizierungsmethoden:
        • Microsoft: Geschütztes EAP (Peap)
          • Bearbeiten und CA Zertifikat auswählen
  • Zertifikat für Radius ausstellen:
    • Saubere Einrichtung mit Active Directory-Zertifizierungsstelle (empfohlen) Für produktive Nutzung solltest du eine interne CA (Zertifizierungsstelle) einrichten:
      • Auf dem Domain Controller:
        • Rolle hinzufügen → Active Directory-Zertifikatdienste (AD CS) → Zertifizierungsstelle
        • Typ: Unternehmens-Stammzertifizierungsstelle
      • Danach auf dem NPS:
        • So öffnest du MMC:
        • Drücke Windows + R
        • Tippe mmc ein und drücke Enter
        • Im MMC: Gehe zu DateiSnap-In hinzufügen/entfernen
        • Wähle Zertifikate aus der linken Liste
        • Klicke Hinzufügen
        • Wähle „Computerkonto“ (wichtig!)
        • Lokaler ComputerFertig stellenOK
        • Jetzt navigierst du:
        • Links im Baum: Zertifikate (Lokaler Computer)PersönlichRechtsklick auf "Zertifikate"
        • Alle AufgabenNeues Zertifikat anfordern
        • Vorlage: RADIUS-Server oder Computer
        • Wenn nicht Vorhanden: Zertifizierungsstelle (MMC) öffnen Rechtsklick auf Zertifikatvorlagen → Neu → Auszustellende Zertifikatvorlage Suche und aktiviere: „RAS- und IAS-Server“
  • Anmelden auf Handy:
  • EAP-Methode: PEAP
  • Phase 2-Authzentifizierung: MSCHAPV2
  • CA-Zertifikat: nicht Validieren
  • Identität: User@Domäne z.B.
  • Anonyme Identität: „name-des-Users“
Wenn am Handy CA-Zertifikat auf „nicht Validieren“ gesetzt ist, gibt es Warnmeldungen. Wie müssen das Zertifikat der CA auf dem Handy Installieren und dieses zur Anmeldung Auswählen… so haben wir keine Warnmeldungen und erhöhte Sicherheit. Das Handy Prüft ohne ausgewähltes CA-Zertifikat nicht, ob es sich am Richtigen Server anmeldet (Angreifer könnten in der Theorie einen „Fake“ RADIUS Server aufsetzen:

Öffne die MMC auf dem Server (wie oben: Win + r).

Gehe zu Zertifikate (Lokaler Computer) -> Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate.

Suche dort nach dem Zertifikat, das den Namen deiner Domäne/CA trägt (z. B. „Test-CA“ oder „AD-CA“).

Rechtsklick auf dieses Zertifikat -> Alle Aufgaben -> Exportieren….

Im Assistenten: „Nein, den privaten Schlüssel nicht exportieren“ wählen (ganz wichtig! Der private Schlüssel darf niemals den Server verlassen).

Wähle das Format „Der-codiert-binär (.CER)“.

Speichere die Datei (z. B. Firmen-Root-CA.cer).

Das .cer auf Handy Übertragen und Installieren

  • Serverrolle hunzufügen → Active Directory-Zertifikatdienste (AD CS) → Zertifizierungsstelle
  • Typ: Unternehmens-Stammzertifizierungsstelle

Schritt 1: Zertifikatsvorlage auf der CA (Zertifizierungsstelle)
Ziel: Eine Vorlage bereitstellen, die Benutzer automatisch beziehen dürfen.

Konsole öffnen: Drücke Win + R, gib certsrv.msc ein und bestätige mit Enter.

Vorlagen-Manager: Rechtsklick auf den Ordner Zertifikatsvorlagen -> Verwalten.

Duplizieren: Suche die Vorlage Benutzer (User). Rechtsklick -> Vorlage duplizieren.

Einstellungen:

Allgemein: Anzeigename z. B. WLAN-User-Auto.

Sicherheit: Klicke Hinzufügen -> Gib Domänen-Benutzer ein. Markiere die Gruppe und setze unten die Haken bei Lesen, Registrieren und Automatisch registrieren.

Subjektname: Sicherstellen, dass „Aus Informationen in Active Directory erstellen“ gewählt ist und Benutzerprinzipalname (UPN) angehakt ist.

Aktivieren: Schließe den Manager. Zurück in der CA-Konsole (certsrv.msc): Rechtsklick auf Zertifikatsvorlagen -> Neu -> Auszustellende Zertifikatsvorlage. Wähle WLAN-User-Auto aus.

Schritt 2: Gruppenrichtlinie (GPO) für Auto-Enrollment
Ziel: Den Befehl zum automatischen Abholen des Zertifikats geben.

Konsole öffnen: Drücke Win + R, gib gpmc.msc ein.

GPO erstellen: Navigiere zu deiner Domäne -> Rechtsklick auf die gewünschte OU -> Vorhandenes Gruppenrichtlinienobjekt erstellen und hier verknüpfen. Name: GPO_User_AutoEnroll.

Editor öffnen: Rechtsklick auf das neue GPO -> Bearbeiten.

Pfad: Benutzerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel.

Aktivieren: Doppelklick rechts auf Zertifikatdienstclient – Automatische Registrierung.

Konfigurationsmodell: Aktiviert.

Haken bei: Abgelaufene Zertifikate erneuern… und Zertifikate, die Zertifikatsvorlagen verwenden, aktualisieren.

Schritt 3: WLAN-Profil für „Silent Connection“ (GPO)
Ziel: Die Verbindung ohne manuelle Klicks erzwingen.

Pfad (im gleichen GPO-Editor): Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Drahtlosnetzwerk-Richtlinien (IEEE 802.11).

Profil erstellen: Rechtsklick ins leere Feld -> Neue Drahtlosnetzwerkrichtlinie für Windows Vista und spätere Versionen erstellen.

Reiter Allgemein:

Verbinden, wenn das Netzwerk in Reichweite ist: Haken setzen.

Reiter Sicherheit:

Authentifizierung: WPA2-Enterprise (oder WPA3). Verschlüsselung: AES.

Netzwerkauthentifizierungsmethode: Microsoft: Smartcard- oder anderes Zertifikat.

Klicke auf Eigenschaften:

Haken bei: Einfache Zertifikatauswahl verwenden (empfohlen). (Das verhindert die Nachfrage beim User).

Haken bei: Identität des Servers durch Überprüfen des Zertifikats bestätigen.

Unten in der Liste der Vertrauenswürdigen Stammzertifizierungsstellen: Deine CA anhaken.

Haken bei: Benutzer nicht zum Autorisieren neuer Server… auffordern. (Verhindert das „Sicherheitswarnung“-Pop-up).

Authentifizierungsmodus: Wähle im Dropdown ganz unten Benutzerauthentifizierung.

Schritt 4: NPS (RADIUS) Richtlinien
Ziel: Den Zugriff serverseitig erlauben.

Konsole öffnen: Drücke Win + R, gib nps.msc ein.

Navigiere zu Richtlinien > Netzwerkrichtlinien.

Bedingungen (Conditions): Doppelklick auf die Richtlinie -> Reiter Bedingungen.

Nur Windows-Gruppen (z. B. Domänen-Benutzer) drin lassen, um Fehlerquellen zu minimieren. (also kein NAS Porttyp)

Einschränkungen (Constraints):
Unter NAS-Porttyp: Drahtlos und Drahtlos(Sonstige) anwählen
Reiter Einschränkungen -> Authentifizierungsmethoden.

Nur Microsoft: Smartcard- oder anderes Zertifikat hinzufügen.

Klicke darauf -> Bearbeiten -> Prüfe, ob das korrekte Server-Zertifikat ausgewählt ist.

Schritt 5: Kontrolle am Client
GP-Update: In der CMD: gpupdate /force.

Zertifikat prüfen: Drücke Win + R, gib certmgr.msc ein (Benutzerspeicher).

Pfad: Eigene Zertifikate > Zertifikate. Dein User-Zertifikat muss dort auftauchen.

WLAN-Status prüfen: In der CMD: netsh wlan show profiles. Dort sollte dein GPO-WLAN-Profil gelistet sein.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert