WLAN nur mit Zertifikaten bei Nichtdomänencomputer

[RalphT 15]

Moin,

ich habe hier ein Problem mit WLAN 802.1x mit Zertifikaten.
Ich möchte einen Computer, der nicht in der Domäne ist, mit dem WLAN verbinden.
Das soll in diesem Fall nur mit Zertifikaten geschehen. Also nicht am Client Name/Passwortabfrage.
Mit einem Domänencomputer funktioniert das.

Vorhanden ist ein DC, 2-stufige PKI und ein NPS-Server. Auf dem NPS-Server habe ich eine neue Verbindungsanforderungsrichtline erstellt.
Dort habe ich unter dem Reiter "Einstellungen" bei EAP-Typen "Microsoft: Smartcard oder anderes Zertifikat" eingestellt.

In der Netzwerkrichtlinie habe ich unter dem Reiter Bedingungen eine Computergruppe hinterlegt.
In der Computergruppe sind alle Computer, die sich mit dem WLAN verbinden dürfen.

Nun habe ich den Computer, der nicht in der Domäne ist, manuell angelegt. (Neuer Computer)

Alle Computer also Domänenmitglieder und der Rechner der nicht in der Domäne ist, haben ein Zertifikat.
Das Zertifikat hat die EKU Eigenschaft "Clientauthentifizierung". Dieses Zertifikat entstand aus der Vorlage
"Computer".

Auf allen Clients habe ich eine neue WLAN-Verbindung erstellt. Unter dem Reiter "802.1x-Einstellungen" habe ich unter
"Authentifizierungsmodus angeben" Computerauthentifizierung gewählt.

Beim Versuch sich mit dem WLAN zu verbinden erscheint im NPS folgende Fehlermeldung (gekürzt):

Ich habe derzeit keine Idee, wo der Fehler liegen könnte. Es sieht so aus, dass der NPS-Server nicht den einen Computer in der AD finden kann.

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
    Sicherheits-ID:            NULL SID
    Kontoname:                host/PC-TEST.zweigstelle.firma.de
    Kontodomäne:                ZWEIGSTELLE
    Vollqualifizierter Kontoname:        ZWEIGSTELLE\host/PC-TEST.zweigstelle.firma.de

Clientcomputer:
    Sicherheits-ID:            NULL SID
    Kontoname:                -
    Vollqualifizierter Kontoname:        -
    Betriebssystemversion:            -
    Empfänger-ID:                00-0B-6B-2A-FF-A3:SSID-WLAN-Name
    Anrufer-ID:                B4-B6-76-14-BE-14

Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie:    Richtlinie-WLAN-Test
    Netzwerkrichtlinienname:        -
    Authentifizierungsanbieter:        Windows
    Authentifizierungsserver:        Server-NPS.zweigstelle.firma.de
    Authentifizierungstyp:        EAP
    EAP-Typ:            Microsoft: Smartcard- oder anderes Zertifikat
    Kontositzungs-ID:        -
    Protokollierungsergebnisse:            Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode:            16
    Ursache:                Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

[RalphT 15]

Das ist schon seltsam: Ich suche da schon länger danach und jetzt, wo ich hier den Thread aufgemacht habe, ist das Problem gelöst.

 

Hier die Lösung:

 

Computerkonto manuell in der AD anlegen. Anschließend in die Eigenschaften und auf den Reiter "Attribut-Edit".

Dort das Attribut "servicePrincipalName" suchen. Hier dann den Hostnamen eintragen. In diesem Fall so:

 

host/PC-TEST

host/PC-TEST.zweigstelle.firma.de

 

Danach hat sich der nichtdomänen-Client mit dem WLAN verbunden.