802.1x Cert auth über WLAN funktioniert nicht bei Anmeldung über Win7 Notebook
Hallo Community!
Ich bin langsam etwas am verzweifeln.
Wir haben seit einer Weile das Problem, dass alle unsere Windows 7 Notebooks, nicht mehr in der Lage sind, sich über WLAN an der Domäne rechtzeitig anzumelden. Die Authentifizierung am WLAN findet über ein persönliches Nutzerzertifikat statt.
Was passiert?
- Anmeldung über WLAN dauert sehr lange, sofern sich der Client versucht an unserem MitarbeiterWLAN anzumelden.
- Über GPO gemappte Laufwerke tauchen nicht auf.
- Richtlinien greifen kaum.
- Trotz nachträglicher Anmeldung am WLAN, tauchen die Laufwerke trotz eines GPUPDATE /FORCE nicht auf.
- Unter Verwendung eines Pre Shared Keys, an Stelle des Zertifikats funktioniert alles Reibungslos
- ERROR Logs der Reihenfolge nach = NETLOGON 5719, GroupPolicy 1129, Time-Service 129
Was habe ich getestet?
- Ich habe mich an folgender Seite von Microsoft orientiert und dort vorgeschlagene Lösungen getestet: https://support.microsoft.com/en-sg/help/938449/netlogon-event-id-5719-o ...
- 2 Notebooks aus unterschiedlichen OU's zum Test verwendet.
- Zertifikat erneuert
- TestSSID mit gleichen Einstellungen aufgebaut.
- Aerohive Access-Points auf Fehler überprüft (Zeit, auth usw.)
- Ich habe die Logs auf dem Radius durchgesehen, und es wurde kein Fehler gemeldet.
Habt ihr eine Ahnung, woran das noch liegen könnte?
Ich bin langsam etwas am verzweifeln.
Wir haben seit einer Weile das Problem, dass alle unsere Windows 7 Notebooks, nicht mehr in der Lage sind, sich über WLAN an der Domäne rechtzeitig anzumelden. Die Authentifizierung am WLAN findet über ein persönliches Nutzerzertifikat statt.
Was passiert?
- Anmeldung über WLAN dauert sehr lange, sofern sich der Client versucht an unserem MitarbeiterWLAN anzumelden.
- Über GPO gemappte Laufwerke tauchen nicht auf.
- Richtlinien greifen kaum.
- Trotz nachträglicher Anmeldung am WLAN, tauchen die Laufwerke trotz eines GPUPDATE /FORCE nicht auf.
- Unter Verwendung eines Pre Shared Keys, an Stelle des Zertifikats funktioniert alles Reibungslos
- ERROR Logs der Reihenfolge nach = NETLOGON 5719, GroupPolicy 1129, Time-Service 129
Was habe ich getestet?
- Ich habe mich an folgender Seite von Microsoft orientiert und dort vorgeschlagene Lösungen getestet: https://support.microsoft.com/en-sg/help/938449/netlogon-event-id-5719-o ...
- 2 Notebooks aus unterschiedlichen OU's zum Test verwendet.
- Zertifikat erneuert
- TestSSID mit gleichen Einstellungen aufgebaut.
- Aerohive Access-Points auf Fehler überprüft (Zeit, auth usw.)
- Ich habe die Logs auf dem Radius durchgesehen, und es wurde kein Fehler gemeldet.
Habt ihr eine Ahnung, woran das noch liegen könnte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397030
Url: https://administrator.de/forum/802-1x-cert-auth-ueber-wlan-funktioniert-nicht-bei-anmeldung-ueber-win7-notebook-397030.html
Ausgedruckt am: 09.04.2025 um 12:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
wie sieht eure Infrastruktur bezüglich Services aus:
Gruß,
Dani
wie sieht eure Infrastruktur bezüglich Services aus:
- ein- oder zweistufige PKI? Mit Windows oder Linux?
- Ist der Radiusserver ein Windows NPS?
- Sind evtl. die Sperrlisten abgelaufen und nicht erneuert?
- Sperrlisten des ausgestellten Zertifikats erreichbar?
- Zertifikat des NPS-Server bzw. Services abgelaufen?
Gruß,
Dani
Moin,


Erster Anlaufpunkt ist der Server, auf dem die Intermediate CA (SubCA) läuft. Dort die pkiview.msc starten. Dort kannst die Basics wie Sperrlistenpunkte, Erreichbarkeit und Gültigkeit prüfen.
Gruß,
Dani
Warum das so ist, muss ich mir erst noch von meinem Kollegen erklären lassen.
Ich hab da eine Vermutung: Sperrlisten ist das Thema. Mehr will ich noch nicht verrraten... Der NPS ist unser onsite DC - 2008 R2
Sehr schön... gut das es eine nicht geschriebene Regel gibt: Ein DC ist ein DC und nichts anderes. Ich werde online leider nicht richtig fündig, wenn es um die Sperrlisten geht.
Das meiste dazu wirst du im Englischen unter Revocation List dazu finden. Es gibt leider nur sehr wenige Artikel im Deutschen dazu - die nicht nur an der Oberfläche kratzen.Erster Anlaufpunkt ist der Server, auf dem die Intermediate CA (SubCA) läuft. Dort die pkiview.msc starten. Dort kannst die Basics wie Sperrlistenpunkte, Erreichbarkeit und Gültigkeit prüfen.
Zertifikat vom DC (NPS) scheint noch eine Weile gültig zu sein.
Das Wort "Scheint" gibt es bei IT-Admins im Wörterbuch nicht. Ja oder Nein.Sollte ein anderes ungültig sein, sollte das eigentlich auch im Eventlog einsehbar sein? Ich erkenne zumindest keine ungültigen.
Wir überwachen nicht das EventLog jeden Servers (wäre zu viel und damit unnötig Last auf dem Monitoring Server). Wir prüfen per Skript die Zertfikate, welche die jeweilige PKI ausgestellt hat und bei einem Wert kleiner,gleich 30 Tage gibts ne E-Mail an das jeweilige Application Team.Gruß,
Dani
Moin,
Gruß,
Dani
Was ich noch vergessen hatte zu erwähnen. Wir haben ja das Problem mit unseren Windows 7 Notebooks.
einmal einen kompletten erfolgreichen Anmeldevorgang mit Wireshark mit schneiden. Zum einen siehst du welche Steps zu welcher Zeit durchgeführt werden und evtl. welche Adressen oder Server er versucht zu erreichen. Danach das Prokoll des NPS-Server an schauen sowie die Ereignisanzeige des Servers auf dem der NPS-Service bzw. Sub-CA läuft. Evtl. tauchen dort Warnungen oder sogar Fehlermeldungen auf.Gruß,
Dani