EAP-TLS Authentifizierung
Hallo Zusammen,
Nach diesem Wochenende können einige Rechner sich nicht mehr mit unserem WIFI verbinden.
Die Connection wird über EAP-TLS Zertifizierung (RADIUS-Server) bewerkstellig.
Hat jemand eine Idee, was man Überprüfen könnte? das Problem ist, das im Radius die Anfragen noch nicht einmal als Fehler auftauchen
Ich habe die Vermutung, das es mit dem aktuellen Oktober Patch von MS$ zu tun hat.
Viele Grüße
Nach diesem Wochenende können einige Rechner sich nicht mehr mit unserem WIFI verbinden.
Die Connection wird über EAP-TLS Zertifizierung (RADIUS-Server) bewerkstellig.
Hat jemand eine Idee, was man Überprüfen könnte? das Problem ist, das im Radius die Anfragen noch nicht einmal als Fehler auftauchen
Ich habe die Vermutung, das es mit dem aktuellen Oktober Patch von MS$ zu tun hat.
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4321952914
Url: https://administrator.de/forum/eap-tls-authentifizierung-4321952914.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
25 Kommentare
Neuester Kommentar
Hallo,
Dann schau das Radius-Log auf dem Server an: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
Da siehst Du, ob es ankommt und warum es abgelehnt wird.
Da fehlen noch Angaben zum Radius-Client: vermutlich Euer WiFi-Accesspoint. Welcher ist das?
Grüße
lcer
Zitat von @Woraxor:
Hi Icer00,
leider kenn ich mich nicht so tief in der Materie mit Radius aus. Client OS Win10 21H1.
Radius Server ist ein Windows Server 2022.
Hi Icer00,
leider kenn ich mich nicht so tief in der Materie mit Radius aus. Client OS Win10 21H1.
Radius Server ist ein Windows Server 2022.
Dann schau das Radius-Log auf dem Server an: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
Da siehst Du, ob es ankommt und warum es abgelehnt wird.
Da fehlen noch Angaben zum Radius-Client: vermutlich Euer WiFi-Accesspoint. Welcher ist das?
Grüße
lcer
Hallo,
- Der Radius-Client (Cisco) kann sich erfolgreich mit dem Radius-Server verbinden
- Der PC hat dem dem Radius-Client eine Anfrage gestellt, die der Radius-Client erfolgreich an den Radius-Server weiterleiten konnte.
- Der Einstellungen des Radius-Servers sollten demzufolge passen.
Wenn das trotzdem nicht klappt:
- DHCP überprüfen - vielleicht klappt die Einwahl ins Netz, nicht jedoch die Adresszuweisung
- Log am Cisco auf Debug schalten und durchsehen.
Grüße
lcer
Zitat von @Woraxor:
ich habe mir gerade die LOGs angeschaut, der Reason-Code steht bei 0 "IAS_SUCCESS". Das ist doch ein gutes Zeichen?
Wenn wir vom CISCO WAC zum RADIUS die auth. versuchen bekommen wir ein "authentication failed"
kann es sein, das der Radius gewisse anfragen blockt?
Also wenn das IAS_SUCCESS sich auch tatsächlich auf die nicht funktionierende Anfrage bezieht, heisst das:ich habe mir gerade die LOGs angeschaut, der Reason-Code steht bei 0 "IAS_SUCCESS". Das ist doch ein gutes Zeichen?
Wenn wir vom CISCO WAC zum RADIUS die auth. versuchen bekommen wir ein "authentication failed"
kann es sein, das der Radius gewisse anfragen blockt?
- Der Radius-Client (Cisco) kann sich erfolgreich mit dem Radius-Server verbinden
- Der PC hat dem dem Radius-Client eine Anfrage gestellt, die der Radius-Client erfolgreich an den Radius-Server weiterleiten konnte.
- Der Einstellungen des Radius-Servers sollten demzufolge passen.
Wenn das trotzdem nicht klappt:
- DHCP überprüfen - vielleicht klappt die Einwahl ins Netz, nicht jedoch die Adresszuweisung
- Log am Cisco auf Debug schalten und durchsehen.
Grüße
lcer
1) Hast Du das IAS-Log überprüft, ob das ias_success sich wirklich auf die nicht funktionierende Anfrage bezieht?
2) Probleme gab es mit den Zertifikate im Mai mit KB5014754
https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-au ... Das hast Du nicht zufällig auch erst jetzt eingespielt?
Grüße
lcer
2) Probleme gab es mit den Zertifikate im Mai mit KB5014754
https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-au ... Das hast Du nicht zufällig auch erst jetzt eingespielt?
Grüße
lcer
Zitat von @Woraxor:
Moin,
ne, damit hatten wir im Mai schon Probleme
Folgender Log für den Fehlerhaften Rechner von Gestern:
"RADIUS","IAS",10/18/2022,10:11:47,11,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertifiktasrichtlinie",0,"311 1 10/17/2022 13:18:56 78870",30,,,,,,,,"665d5fb9/a8:6d:ac:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,,,
Die Fett markierte 0 müsste doch der Code sein? oder bin ich komplett falsch?!
Nur damit wir vom selben sprechen
VG
Moin,
ne, damit hatten wir im Mai schon Probleme
Folgender Log für den Fehlerhaften Rechner von Gestern:
"RADIUS","IAS",10/18/2022,10:11:47,11,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertifiktasrichtlinie",0,"311 1 10/17/2022 13:18:56 78870",30,,,,,,,,"665d5fb9/a8:6d:ac:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,,,
Die Fett markierte 0 müsste doch der Code sein? oder bin ich komplett falsch?!
Nur damit wir vom selben sprechen
VG
der 5. Wert (paket-Type) ist eine "11". siehe https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
Es fehlt ein die 1 - das beschreibt den Request. zu dem fehlt dann z.B. noch ein Accept (Code 2). Es werden normalerweise pro Anfrage immer mindestens 2 Zeilen geloggt.
Grüße
lcer
259
https://social.technet.microsoft.com/Forums/en-US/200db4ae-b1f0-4eb7-b53 ...
Das weist auf die Zertifikatssperrlisten hin. Sind im Zertifikat welche angegeben? Wenn ja, sind die erreichbar?
Grüße
lcer
https://social.technet.microsoft.com/Forums/en-US/200db4ae-b1f0-4eb7-b53 ...
Das weist auf die Zertifikatssperrlisten hin. Sind im Zertifikat welche angegeben? Wenn ja, sind die erreichbar?
Grüße
lcer