Dynamisches VLAN - Bitlocker Netzwerkentsperrung

Hallo,

wir sind gerade in der Testphase mit dynamischen VLANs. Als Radius-Server fungiert ein Windows Server 2019 als NPS.

Auf dem Switch ist eingetragen:

- Port Based Authentication State -> Enable

- VLAN Assignment Mode -> Enable

- Dynamic VLAN Creation Mode -> Enable

Radius Server ist eingetragen. Die Radius Ports sind im Port Control auf "Auto" gesetzt. Das dynamische VLAN funktioniert und der Benutzer wird nach der Windows Anmeldung das entsprechende VLAN zugeordnet.

Allerdings haben wir neuerdings alle Windows 10 Notebooks mit Bitlocker ausgestattet und eine automatische Netzwerkentsperrung eingerichtet. Die Netzwerkentsperrung funkioniert im Netz 192.168.1.0/24. Sie hat den Hintergrund, dass die User keinen PIN eingeben müssen beim Starten des Notebooks. Wenn das Notebook am "Authorized"-Switch Port angeschlossen ist an einem untagged VLAN 1, dann funktioniert die Netzwerkentsperrung, nicht aber das dynamsiche VLAN. Wenn das Notebook am "Auto"-Switch Port mit untagged VLAN1 angeschlossen wird, funktioniert das dynamische VLAN. Es kommt jedoch immer noch die PIN Abfrage.

Kann man dem Switch mitteilen, dass der Client sich beim Starten vor Windows über das untagged VLAN autorisiert und danach über den RADIUS? Sprich, dass die Port Authentification erst über "Authorized", dann über "Auto" läuft?

Falls nicht, kennen Sie alternative Möglichkeiten? Bzw. unterstützt der Switch überhaupt mein Vorhaben?

Ich bin dankbar über jede Antwort!