WLAN über RADIUS an der Domäne

Es gibt 6 Antworten in diesem Thema, welches 566 mal aufgerufen wurde. Der letzte Beitrag () ist von itob.

  • Hallo,

    wir haben ein WLAN konfiguriert, welches über RADIUS die Domäne abfragt.

    Notebooks in einer bestimmten AD-Gruppe können sich dann an diesem WLAN ohne extra Zugangsdaten anmelden.

    Das funktionier bei ca. 30 Notebooks problemlos.

    Es gibt zwei baugleiche Notebooks und eines davon kann sich nicht über dieses WLAN verbinden. Es kommt immer die Abfrage nach Benutzername und Passwort, obwohl dies ja nicht nötig ist und auch nichts nützt, da ein Zugang über Daten gar nicht möglich ist.

    Ich habe den Rechner umbenannt, aus der Domäne entfernt und neu hinzugefügt und nach möglichen Ursachen gesucht. Leider bisher ohne Erfolg.

    Woran kann dieses Problem noch liegen bzw. wie sollte ich bei der weiteren Fehlersuche vorgehen?

    VG, Tobias

  • Ist das Zertifikat des Radius Servers gegenüber dem Notebook als Trusted eingestuft? Fehlt hier vielleicht der RootCA auf dem Gerät? Oder ist zufällig CRL Check aktiv aber in der PreAuth Phase für den Rechner nicht erreichbar?
    Schalte das CAPI2 EventLog Protokol auf dem Rechner ein und schau nach erneutem Versuch dort nach.

  • Nein, da gibt es keine Einschränkung. Es gibt von diesem Laptop auch zwei Geräte mit den selben Einstellungen. Außerdem habe ich das Notebook ja extra aus der Domäne entfernt und neu hinzugefügt.


    Die Hinweise von Miroo muss ich erst einmal prüfen.

    Einmal editiert, zuletzt von itob ()

  • Hallo,

    in den Internetoptionen ist der Haken bei gesperrte Zertifikate von Herausgebern überprüfen gesetzt - aber auch bei Rechnern, bei denen der Zugriff auf das WLAN per RADIUS funktioniert.

    Im CAPI2 EventLog stehen einige Fehler drin.

    Er meldet: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war (80092013). Dann kommt immer wieder Kette erstellen mit selbigem Fehler, aber ich verstehe nicht warum... Ich habe nun das Notebook direkt per Kabel ins Netz gesteckt und der Fehler erscheint trotzdem.

    Stimmt da doch etwas an unserer Zertifizierungsstelle nicht?

    Seltsam ist, dass es mit vielen Notebooks funktioniert.

    Wo kann ich weiter suchen?


    Ich habe mir noch einmal die log Dateien auf dem RADIUS Server angesehen.

    Normalerweile schaltet er den Authentication-Type von 5 auf 11 und das passiert bei dem nicht funktionierenden Notebook nicht. Im Internet habe ich den Fehler gefunden, aber leider ohne Lösung:

    Issues with some devices connecting to RADIUS, using EAP instead of PEAP - Microsoft Q&A
    Hello, I have an odd issue that I'd like to see if anyone else has seen. Recently we are having issues with some devices connecting to a RADIUS network. In…
    learn.microsoft.com

    Kennt das jemand?


    VG, Tobias

    Einmal editiert, zuletzt von itob ()

  • Wenn der Haken gesetzt ist und die CRL nicht überprüft werden kann, jedoch werden muss, so wird das Zertifikat automatisch als ungültig eingestuft. Daher keine Anmeldung.

    Bei der CA und im Log steht ja die URL welche zu der CRL führt, ist die erreichbar? du kannst mit certutil die auch überprüfen.

    Das CRL hat eine von Server vorgegebene Gülltigkeitsdauer und wird dann von den Rechnern gecached. Ist die z.B. 1 Jahr (was sinnfrei bei der Funktion wäre aber unwissend konnte es jemand so einstellen) wird dann der cache genutzt. Haben andere Rechner noch den cache gefüllt nur der betroffenen Rechner nicht, und der CRL ist nicht mehr erreichbar oder malformed (z.B. die Delta CRL ist korrupt) dann kommt kein neuer rein und die bestehende nach dem Ablauf des Caches auch nicht.

    Bedenke dass das CRL immer erreichbar sein muss auch vor der Authentifizierung an dem Radius. Also musst du es auch in PreAuth zulassen.

  • Hallo,


    nach langer Suche haben wir die Ursache im "Windows Defender Credential Guard" gefunden.

    Am schönsten fand ich dazu den ersten Absatz unter:

    Sicherheit: Wie Sie Credential Guard mit Windows 11 Pro nutzen – oder abschalten
    Der Sicherheitsmechanismus Credential Guard ist teilweise auch in der Pro-Edition von Windows 11 nutzbar. Wir erklären, was Sie dazu wissen müssen.
    www.heise.de

    Wir hatten nun 3 Notebooks von 30, bei denen die WLAN-Anmeldung nicht funktionierte. Ganau auf diesesn Notebooks lief der Credential Guard. Nach deaktivieren - egal auf welche Weise - war die Anmeldung sofort möglich.

    Da der Credentials Guard normalerweise nur auf Win11 Enterprise läuft habe ich mich erst einmal für das Deaktivieren entschieden. Leider habe ich auch keine Dokumentation gefunden, ob man spetziell diese WLAN-Radius-Anmeldung im Credentials Gard erlauben kann.

    Vieleicht hat dazu ja noch eine Idee?

    Ich hoffe, das könnte manchem bei der Fehlersuche halfen.


    VG, Tobias