Funktioniert NPS mit jedem Access Point?

Ja, sofern der AP RADIUS und 802.1X unterstützt — Aruba, Ubiquiti, Cisco Meraki, MikroTik, FortiAP funktionieren alle.

Was passiert bei Ausfall des NPS-Servers?

Bestehende WLAN-Verbindungen bleiben meist erhalten. Neue Anmeldungen funktionieren nicht. Deshalb empfiehlt sich Redundanz mit zwei NPS-Servern.

Geht passwortfreies WLAN auch ohne PKI?

Mit PEAP-MSCHAPv2 ist Domain-Anmeldung möglich, aber weniger sicher als EAP-TLS. EAP-TLS mit eigener PKI ist die Empfehlung.

NPS · RADIUS · WLAN

WLAN ohne Passwort — sicher per Zertifikat

Stell dir vor: Ein neuer Mitarbeiter kommt morgens ins Büro, packt seinen Laptop aus und ist sofort im WLAN. Ohne Passwort. Ohne irgendwo nachzufragen. Wenn ein Gerät die Firma verlässt, wird das Zertifikat gesperrt — der WLAN-Zugang ist sofort weg.

Möglich macht das NPS (Network Policy Server) mit RADIUS und EAP-TLS. Geräte authentifizieren sich über Zertifikate aus deiner eigenen PKI. Ich richte das für dich ein — kombiniert mit deinem Access Point oder Controller (Aruba, Ubiquiti, MikroTik, Cisco Meraki).

Erstgespräch buchen Ablauf ansehen

📡

Was du am Ende hast

✓Passwortfreies WLAN per EAP-TLS
✓VPN-Zugang per Zertifikat
✓Getrenntes Gäste-WLAN (Captive Portal)
✓WLAN-Profile per Intune verteilt
✓VLAN-Zuteilung nach Gerätetyp
✓Zentrale Logs aller Auth-Versuche

So funktioniert es

Vom Laptop ins WLAN — in 4 unsichtbaren Schritten

Hier passiert im Hintergrund eine ganze Menge Magie — aber dein Mitarbeiter merkt nichts davon. Er klappt einfach den Laptop auf:

💻 1. Laptop sucht WLAN

Das Gerät zeigt dem Access Point sein Zertifikat aus der PKI.

📶 2. Access Point fragt NPS

Der AP leitet das Zertifikat per RADIUS-Protokoll an deinen NPS-Server weiter.

🔍 3. NPS prüft

NPS prüft das Zertifikat gegen deine CA — ist es gültig? Nicht gesperrt? Korrektes Template?

✅ 4. WLAN frei

Bei Erfolg gibt der AP das WLAN frei — optional mit VLAN-Zuteilung nach Gerätetyp.

Was ich für dich aufbaue

Die Bausteine im Detail

🛡️

NPS Server-Setup

Network Policy Server installieren, mit AD verbinden, RADIUS-Clients konfigurieren.

📜

NPS-Policies

Connection Request & Network Policies, Filter nach Gruppe / Gerätetyp / Tageszeit.

📲

WLAN-Profile in Intune

Profile für Windows, iOS, Android — automatisch per Intune verteilt mit Zertifikat.

🌐

VLAN-Trennung

Mitarbeiter, Geräte, Gäste in eigene VLANs — automatisch durch RADIUS-Attribute.

👥

Gäste-WLAN

Captive Portal mit Voucher-System — getrennt vom Firmen-Netz, ohne Zugriff auf interne Ressourcen.

🔐

VPN per Zertifikat

Always-On VPN oder klassisches VPN mit Geräte-Zertifikat — ohne Passwort.

Praxisbeispiel

So sieht NPS-Konfiguration in PowerShell aus

Beispiel: NPS-Rolle installieren und Domain registrieren

# NPS-Rolle installieren
Install-WindowsFeature NPAS -IncludeManagementTools

# NPS-Server in AD registrieren (für Domain-Konten)
netsh nps add registeredserver

# RADIUS-Client (z.B. Access Point) hinzufügen
netsh nps add client `
    name = "AP-Empfang" `
    address = "192.168.10.50" `
    sharedsecret = "$(Get-Secret -Name 'AP-Shared')"

# Optional: NPS-Konfiguration exportieren (für Backup)
netsh nps export filename = "C:\Backup\nps-config.xml" exportPSK = NO

So gehen wir vor

In 5 Schritten zum passwortfreien WLAN

1

Bestand

WLAN-Hardware, AD, PKI prüfen — was ist da?

2

Konzept

VLAN-Plan, NPS-Policies, Gäste-Lösung, Rollback-Plan.

3

Aufbau

NPS, Access Points, Intune-Profile, Templates.

4

Pilot

5–10 Geräte testen, Feinschliff, Wartezeiten messen.

5

Rollout

Ausrollen für alle, Doku, Schulung, Übergabe.

Was Kunden sagen

Stimmen aus der Praxis

„super Zusammenarbeit, geht auf Wünsche und Vorstellungen ein, hat viele gute Ideen, großes Fachwissen, sehr modern, sehr freundlich, immer wieder gerne…"

— Susanne Gatzen, Google-Bewertung 5/5

Ali Sasanipour, IT-Berater aus München

NPS und RADIUS sind eine dieser unsichtbaren Technologien — wenn sie funktionieren, merkt es niemand. Wenn nicht, tut's weh. Ich habe NPS-Setups für mehrere Münchner Unternehmen gebaut, von 30-Mitarbeiter-Büros bis zu Multi-Site-Umgebungen mit Zweigstellen. Sprich mich gerne an, wenn du dein WLAN endlich passwortfrei machen willst.

Was gut dazu passt

🔑

AD & PKI

Voraussetzung — die Zertifikate, die NPS prüft, kommen aus deiner eigenen CA.

📱

Microsoft Intune

Verteilt WLAN-Profile und Zertifikate auf alle Geräte automatisch.

🖧

Windows Server

NPS läuft auf Windows Server — sauber gehärtet, dokumentiert.

Häufige Fragen

Was Kunden zu RADIUS / NPS fragen

Funktioniert das mit jedem Access Point?

Ja, sofern der AP RADIUS-/802.1X unterstützt — was praktisch alle Business-APs tun. Ich habe NPS schon mit Aruba, Ubiquiti UniFi, Cisco Meraki, MikroTik und FortiAP eingerichtet. Bei Consumer-APs (FritzBox & Co.) geht's meist nicht.

Brauche ich pro Standort einen NPS-Server?

Nein. Ein NPS-Server kann mehrere Standorte bedienen. Bei großen oder geo-redundanten Setups baue ich zwei NPS-Server für Failover ein. Pro Standort genügt ein lokaler Domain Controller.

Was passiert bei NPS-Ausfall?

Bei einem Ausfall können sich Geräte nicht mehr neu anmelden — bestehende WLAN-Verbindungen bleiben aber meist erhalten. Deshalb plane ich immer NPS-Redundanz mit zwei Servern und konfiguriere die Access Points mit Primary & Secondary RADIUS-Server.

Kann ich auch BYOD-Geräte authentifizieren?

Ja, mit Workplace-Join oder Intune-Enrollment bekommen auch private Geräte ein Zertifikat. Alternativ: getrenntes „BYOD-WLAN" mit Conditional Access. Konzept klären wir im Erstgespräch.

Geht das auch ohne PKI? Z.B. nur Username/Passwort?

Ja, mit PEAP-MSCHAPv2 — Domain-Anmeldung am WLAN. Funktioniert, ist aber weniger sicher als EAP-TLS und anfällig für Phishing-Angriffe. Ich empfehle EAP-TLS, wo immer möglich.

Fachbegriffe

Glossar

RADIUS

Remote Authentication Dial-In User Service — Protokoll für zentrale Authentifizierung von Netzwerkzugriffen.

NPS

Network Policy Server — Microsofts RADIUS-Server, läuft auf Windows Server.

EAP-TLS

Authentifizierungsmethode mit Zertifikaten — sicherste Variante für WLAN.

802.1X

IEEE-Standard für portbasierte Netzwerk-Authentifizierung — die „Hülle" um RADIUS.

VLAN

Virtual LAN — logische Trennung von Netzen auf einem Switch (z.B. Mitarbeiter / Gäste / Drucker).

Captive Portal

Login-Seite im Browser, die bei Gäste-WLAN aufpoppt — bevor der Gast ins Internet kommt.

Always-On VPN

Microsoft-VPN-Lösung, die sich automatisch aufbaut, sobald der Laptop online ist.

Shared Secret

Passwort zwischen RADIUS-Server und Access Point — sichert die Kommunikation zwischen beiden.

Dein nächster Schritt

WLAN ohne Passwort — lass uns starten

15 Minuten Erstgespräch, kostenlos. Wir klären Voraussetzungen und Aufwand für deinen Standort.

Termin buchen Lieber schreiben