Hello mindenki,
szeretnek osszehozni egy radius-os auth-ot a wifi-re windows serverrel, de nem akar osszejonni.
Az alabbi a folyamat:
- telepitem az AD-t, es a DNS kiszolgalot
- promotalom a kiszolgalot, letrehozom az uj erdot
- restart
- letrehozok 2 felhasznalot (user_pc, wifi_user)
- keszitek egy csoportot (radius_users), es beteszem a ket felhasznalot
- telepitem az NPS-t
- restart
- NPS feluleten registralom az NPS-t az AD-ban, vissza is jon az uzenet hogy sikerult (ez meg kesobb fontos lesz)
- restart
- NPS-ben kivalasztom, hogy "radius server for 802.1x...."
- elkezdem konfiguralni: Secure wireless connections; adok neki nevet; letrehozom a radius klienst; majd EAP (PEAP); es hozzaadnam a korabban letrehozott csoportomat (radius_users) --> itt kotlik meg a dolog, nem talalja a domaint!
"The specified domain either does not exist or could not be connected."
Amennyiben a csoport kivalasztasnal, a location-nel a teljes domain helyett, csak a felhasznalok csoportjat adom meg neki, hogy innen keresunk akkor nincs ez a hiba, de ugyan ugy nem lehet csatlakozni majd.
user_pc, gond nelkul be tud jelentkezni a domainba, viszont wifi_user nem tud csatlakozni a wifire.
Bekapcsoltam a logolast is, de nem nagyon jutottam elobbre.
Amennyiben siman a serverre logolok, ugy az alabbi uzenetek vannak:
<Event><Timestamp data_type="4">08/04/2023 12:34:54.766</Timestamp><Computer-Name data_type="1">SVR1</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 192.168.54.75 08/04/2023 19:32:08 2</Class><Fully-Qualifed-User-Name data_type="1">creative.local/Users/wifi_user</Fully-Qualifed-User-Name><NP-Policy-Name data_type="1">Connections to other access servers</NP-Policy-Name><Client-IP-Address data_type="3">192.168.54.244</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">wifi</Client-Friendly-Name><Proxy-Policy-Name data_type="1">Use Windows authentication for all users</Proxy-Policy-Name><Provider-Type data_type="0">1</Provider-Type><SAM-Account-Name data_type="1">creative\wifi_user</SAM-Account-Name><Authentication-Type data_type="0">5</Authentication-Type><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">66</Reason-Code></Event>
192.168.54.75 - ez a win server (nincs aktivalva)
192.168.54.244 - ez az accesspoint
Amennyiben SQL-re allitom a logot, ugy nincs benne semmi. Az SQL elerheto, az NPS letre is tudja hozni a tablat, benne az oszlopokkal, de ures.
A MS-es doksi meg azt javasolja, hogy elleorizzem, hogy letre van-e hozva az alabbi csoport:
"RAS ans IAS Servers" letre van hozva.
Kerdesem: Mit kefelek el?
Erdekesseg keppen osszeraktam freeradiussal is, ott gond nelkul megy.
Koszi elore is!
Hozzászólások
Az AD DC és az NPS szerver ugyanaz?
Creative.local a DNS domain neved, ha jól látom. Creative a Netbios domain neved?
Igen, ezt is ellenoriztem.
Ezen (https://learn.microsoft.com/en-us/windows-server/networking/technologie…) is végigmentél?
A DC és az NPS ugyanaz a szerver vagy más?
Vegig mentem igen, es egy azon kiszolgalon vannak. Sot, amikor felveszem a domain-be az NPS-t, meg is jon az ertesites hogy sikeres, ez utan a "Register Server in Active Directory" menupont inaktiv lesz.
Ebbol gondolom, hogy ez rendben lenne, ugye...
Ido kozben kiprobaltam fizikai vason is, hatha a vmware kellemetlenkedik, de nem. Fizikai vason is ugyan ez a helyzet.
Jelen pillanatban annak is tudnek orulni, ha valaki mas is megprobalna osszehegeszteni... :)
Amikor én NPS-t telepítettem, akkor azt mindig különálló gépre tettem.
Az NPS szerver objektumot bele kell tenni a "RAS ans IAS Servers" security group-ba. Ezt megtetted, ugye?
Beléptem a saját tesztkörnyezetemben lévő NPS-be és ott nagyon nem az általad leírtak szerint raktam össze a 802.1x-hez a működést. Én kézzel raktam össze a connection request policyt és a network policyt.
Mindazonáltal az általad leírt lépések is gond nélkül működtek a tesztkörnyezetemben.
Mit mutat a következő parancs: netsh nps show registeredserver?
PS-ből le tudod kérdezni az adott AD groupot és tagjait (Get-ADGroup -Identity "radius_users", illetve Get-ADGroupMember -Identity "radius_users")?
Na, alakul ez, koszonom!
Az NPS-hez a parancs:
PS C:\Users\Administrator> netsh nps show registeredserver
Server registration:
---------------------------------------------------------
Status = Registered
Ok.
PS C:\Users\Administrator>
Ez gondolom igy rendben is lenne...
Annyi valtoztas van, hogy most fizikai vason van a dolog, es itt sikerult mashogy elneveznem a dolgokat, de minden mas megegyezik.
get-ADGroup -Identity "radius"
PS C:\Users\Administrator> get-ADGroup -Identity "radius"
DistinguishedName : CN=radius,CN=Users,DC=creative,DC=local
GroupCategory : Security
GroupScope : Global
Name : radius
ObjectClass : group
ObjectGUID : d81c5667-534a-4b85-a2c7-19383f87bd97
SamAccountName : radius
SID : S-1-5-21-1014561067-2208342104-4235985253-1104
get-ADGroupMember -Identity "radius"
PS C:\Users\Administrator> get-ADGroupMember -Identity "radius"
distinguishedName : CN=test,CN=Users,DC=creative,DC=local
name : test
objectClass : user
objectGUID : 38452f9a-5228-42f5-a8e6-2ea91f9c32a9
SamAccountName : test
SID : S-1-5-21-1014561067-2208342104-4235985253-1103
Ezek is ugy tunnek, hogy rendben vannak, DE:
"Az NPS szerver objektumot bele kell tenni a "RAS ans IAS Servers" security group-ba. Ezt megtetted, ugye?"
Na ez az erdekes resz. A "RAS and IAS Servers" csoport letezik, mint ahogy a legelejen is irtam.
Ennek a csoportnak a tagja: creative.local/Domain Controllers
Senki mas nincs a csoportban, illetve ha szeretnek hozzaadni barmit, akkor nincs olyan objektumom, hogy: NPS server, vagy barmi erre utalo dolog.
Ha a teljes domainben kerestetem, vagy csak a userek/csoportok kozott akkor sem.
Igy nem nagyon ertem, hogy miert "oke" az hogy az NPS latszolag be van regisztralva, de valojaban meg nem.
Igy utolag letre lehet hozni a hianyzo objektumot?
Szoval most nem tudom, orulunk Vincent?
Igen, a lefuttatott parancsok alapján jó a rendszer.
A "RAS and IAS Servers" security groupba ne a creative.local/Domain Controllers-t tedd bele, hanem explicit legyen benne az NPS-t megvalósító computer objektum. Pl: ha az NPS-t futtató szerver neve DC1 (ami egyben AD DC is nálad), akkor azt tedd bele. Ha ez megoldja a gondot, akkor ismét csókoltatom az NPS tervezőit az MS-nél....
Hat en mar kezdem teljesen elveszteni a fonalat. Betettem a kiszolgalot ebbe a csoportba, igy nez most ki: kep
Termeszetesen tovabbra sem talalja az NPS a domain-t. A holnapi napon a te javaslatod alapjan megprobalom osszehozni, ugy hogy az NPS masik vason fut.
Nem tudom hogy szamit-e, de ugye en SVR1-nek neveztem el a vasat, tehat nagybetuvel, viszont a DNS serverben az A rekordnal svr1-el van. Ez okozhat gondot?
A DNS nem kisbetű-nagybetű érzékeny. A Windows máshol se érzékeny rá. Elvileg. Én speciel mindig kisbetűt szoktam használni.
Viszont a Netbios nevek mindig nagybetűsek a Windowsban.
Esetleg felmerült még bennem az IPv6, mint probléma forrás. De az én tesztkörnyezetemben sincs kikapcsolva.
Na! Reszemrol lezartnak tekintem a dolgot. Ugy, hogy az AD es az NPS kulon-kulon vm-en van teljesen jol mukodik. Abban az esetben, ha az AD es az NPS is ugyan az a vm akkor en keptelen vagyok ezt osszehozni. Nem tudom, hogy mit kefelek felre, de nagyon erdekes hogy lepesrol lepesre ugyan azt csinalom mindket esetben, es a vegeredmeny meroben eltero. Hogy csak az NPS kedveert megeri-e nekem +1 vm-et futtatni azt nem tudom... - minden esetre koszonom neked n.balazs a segitseget.
Irtam az MS-nek is errol a dologrol, de meg nem erkezett valasz.
Koszi meg1x!
Kísértetiesen hasonlít ez a dolog arra, amire tavaly szaladtam rá. Server 2019, Hyper-V role egy fizikai gépen. Mivel low-budget megoldás, a hoszt gép üzemel mint fájlszerver és adatbázis szerver, a virtuális gépben egy domain controller fut, és egy másik, felhasználók által RDP-vel használt gép. Mindegyik VM egy vSwitch-be van kötve, így látnak rá a fizikai hálózatra. Oké, ez eddig alap. Felkerült az RRAS szerepkör, kellett hogy másik alhálózatból be tudjanak ide jönni biztonságosan, így VPN szerver lett a megoldás. Oké, RRAS fel, L2TP/IPSec VPN beállít, lehet szépen csatlakozni, kapnak IP-t a kliensek, el is lehet érni a VM-eket, minden más eszközt is a fizikai hálózaton, de a hoszt gépet nem! Se RDP, se Windows fájlmegosztás, semmi! Még ping válasz sincs! Jó pár óra szívás után RRAS le, gateway-re OpenVPN fel, aztán b+, MS...