25
EAP-TLS Authentifizierung
Hallo Zusammen,
Nach diesem Wochenende können einige Rechner sich nicht mehr mit unserem WIFI verbinden.
Die Connection wird über EAP-TLS Zertifizierung (RADIUS-Server) bewerkstellig.
Hat jemand eine Idee, was man Überprüfen könnte? das Problem ist, das im Radius die Anfragen noch nicht einmal als Fehler auftauchen
Ich habe die Vermutung, das es mit dem aktuellen Oktober Patch von MS$ zu tun hat.
Viele Grüße
Nach diesem Wochenende können einige Rechner sich nicht mehr mit unserem WIFI verbinden.
Die Connection wird über EAP-TLS Zertifizierung (RADIUS-Server) bewerkstellig.
Hat jemand eine Idee, was man Überprüfen könnte? das Problem ist, das im Radius die Anfragen noch nicht einmal als Fehler auftauchen
Ich habe die Vermutung, das es mit dem aktuellen Oktober Patch von MS$ zu tun hat.
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4321952914
Url: https://administrator.de/contentid/4321952914
Printed on: April 28, 2024 at 13:04 o'clock
25 Comments
Latest comment
Hallo,
der Radius sollte doch ein Log haben...
ansonsten - bitte präzesiere Deine Frage etwas. Welche Geräte sind involviert? Wer ist Radius-Server, wer Radius-Client? Welches OS auf den Clients?
Grüße
lcer
der Radius sollte doch ein Log haben...
ansonsten - bitte präzesiere Deine Frage etwas. Welche Geräte sind involviert? Wer ist Radius-Server, wer Radius-Client? Welches OS auf den Clients?
Grüße
lcer
Moin,
Server-/Client-Certs und CA-Cert sind nicht abgelaufen?
lg,
SLainte
Server-/Client-Certs und CA-Cert sind nicht abgelaufen?
lg,
SLainte
Hi Icer00,
leider kenn ich mich nicht so tief in der Materie mit Radius aus. Client OS Win10 21H1.
Radius Server ist ein Windows Server 2022.
Invoviert sind aktuell IOS/ Android / Notebooks.
leider kenn ich mich nicht so tief in der Materie mit Radius aus. Client OS Win10 21H1.
Radius Server ist ein Windows Server 2022.
Invoviert sind aktuell IOS/ Android / Notebooks.
Moin,
schon geprüft, das ist nicht der Fall.
VG
schon geprüft, das ist nicht der Fall.
VG
Hallo,
Dann schau das Radius-Log auf dem Server an: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
Da siehst Du, ob es ankommt und warum es abgelehnt wird.
Da fehlen noch Angaben zum Radius-Client: vermutlich Euer WiFi-Accesspoint. Welcher ist das?
Grüße
lcer
Zitat von @Woraxor:
Hi Icer00,
leider kenn ich mich nicht so tief in der Materie mit Radius aus. Client OS Win10 21H1.
Radius Server ist ein Windows Server 2022.
Hi Icer00,
leider kenn ich mich nicht so tief in der Materie mit Radius aus. Client OS Win10 21H1.
Radius Server ist ein Windows Server 2022.
Dann schau das Radius-Log auf dem Server an: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
Da siehst Du, ob es ankommt und warum es abgelehnt wird.
Da fehlen noch Angaben zum Radius-Client: vermutlich Euer WiFi-Accesspoint. Welcher ist das?
Grüße
lcer
Moin,
Gruß,
Dani
Ich habe die Vermutung, das es mit dem aktuellen Oktober Patch von MS$ zu tun hat.
könnte gut sein. Ich meine gelesen zu haben, dass mit einem Update TLS 1.0/1.1 deaktiviert wurde. Gilt natürlich primär für Windows Betriebssysteme.Gruß,
Dani
Das ganze läuft über einen Cisco WAC
ich habe mir gerade die LOGs angeschaut, der Reason-Code steht bei 0 "IAS_SUCCESS". Das ist doch ein gutes Zeichen?
Wenn wir vom CISCO WAC zum RADIUS die auth. versuchen bekommen wir ein "authentication failed"
kann es sein, das der Radius gewisse anfragen blockt?
Wenn wir vom CISCO WAC zum RADIUS die auth. versuchen bekommen wir ein "authentication failed"
kann es sein, das der Radius gewisse anfragen blockt?
Hallo,
- Der Radius-Client (Cisco) kann sich erfolgreich mit dem Radius-Server verbinden
- Der PC hat dem dem Radius-Client eine Anfrage gestellt, die der Radius-Client erfolgreich an den Radius-Server weiterleiten konnte.
- Der Einstellungen des Radius-Servers sollten demzufolge passen.
Wenn das trotzdem nicht klappt:
- DHCP überprüfen - vielleicht klappt die Einwahl ins Netz, nicht jedoch die Adresszuweisung
- Log am Cisco auf Debug schalten und durchsehen.
Grüße
lcer
Zitat von @Woraxor:
ich habe mir gerade die LOGs angeschaut, der Reason-Code steht bei 0 "IAS_SUCCESS". Das ist doch ein gutes Zeichen?
Wenn wir vom CISCO WAC zum RADIUS die auth. versuchen bekommen wir ein "authentication failed"
kann es sein, das der Radius gewisse anfragen blockt?
Also wenn das IAS_SUCCESS sich auch tatsächlich auf die nicht funktionierende Anfrage bezieht, heisst das:ich habe mir gerade die LOGs angeschaut, der Reason-Code steht bei 0 "IAS_SUCCESS". Das ist doch ein gutes Zeichen?
Wenn wir vom CISCO WAC zum RADIUS die auth. versuchen bekommen wir ein "authentication failed"
kann es sein, das der Radius gewisse anfragen blockt?
- Der Radius-Client (Cisco) kann sich erfolgreich mit dem Radius-Server verbinden
- Der PC hat dem dem Radius-Client eine Anfrage gestellt, die der Radius-Client erfolgreich an den Radius-Server weiterleiten konnte.
- Der Einstellungen des Radius-Servers sollten demzufolge passen.
Wenn das trotzdem nicht klappt:
- DHCP überprüfen - vielleicht klappt die Einwahl ins Netz, nicht jedoch die Adresszuweisung
- Log am Cisco auf Debug schalten und durchsehen.
Grüße
lcer
Moin,
im Radius Log des W2022 Servers wird mindestens eine Meldung pro Login generiert. Entweder sucess mit entsprechendem Profil oder eben denied mit entsprechendem reason.
Schau daher mal ins Log.
Gruß
Spirit
im Radius Log des W2022 Servers wird mindestens eine Meldung pro Login generiert. Entweder sucess mit entsprechendem Profil oder eben denied mit entsprechendem reason.
Schau daher mal ins Log.
Gruß
Spirit
Ich glaube eher das es die windowsUpdates sind:
https://support.microsoft.com/de-de/topic/october-17-2022-kb5020436-os-b ...
jetzt ist nur die Frage, wo der Patchüberall draufgeklatscht werden muss....
VG
https://support.microsoft.com/de-de/topic/october-17-2022-kb5020436-os-b ...
jetzt ist nur die Frage, wo der Patchüberall draufgeklatscht werden muss....
VG
Anscheinend haben auch noch mehrere Personen Probleme mit Cisco WAC und den Patches vom Oktober
https://www.borncity.com/blog/2022/10/18/sonderupdates-fr-windows-fixen- ...
VG
https://www.borncity.com/blog/2022/10/18/sonderupdates-fr-windows-fixen- ...
VG
Hallo,
Wenn es tls-Handshake Fehler sind würde ich eigentlich kein ias_success erwarten…
Grüße
lcer
Wenn es tls-Handshake Fehler sind würde ich eigentlich kein ias_success erwarten…
Grüße
lcer
1
Moin,
das dachte ich mir auch...
Nur wenn ich die Historie zurückgehe. Ist das einzige was zwischen Funktionalem Zustand und nicht mehr funktionalem Zustand passiert ist, die Windows Updates
Viele Grüße
das dachte ich mir auch...
Nur wenn ich die Historie zurückgehe. Ist das einzige was zwischen Funktionalem Zustand und nicht mehr funktionalem Zustand passiert ist, die Windows Updates
Viele Grüße
1) Hast Du das IAS-Log überprüft, ob das ias_success sich wirklich auf die nicht funktionierende Anfrage bezieht?
2) Probleme gab es mit den Zertifikate im Mai mit KB5014754
https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-au ... Das hast Du nicht zufällig auch erst jetzt eingespielt?
Grüße
lcer
2) Probleme gab es mit den Zertifikate im Mai mit KB5014754
https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-au ... Das hast Du nicht zufällig auch erst jetzt eingespielt?
Grüße
lcer
Moin,
ne, damit hatten wir im Mai schon Probleme
Folgender Log für den Fehlerhaften Rechner von Gestern:
"RADIUS","IAS",10/18/2022,10:11:47,11,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertifiktasrichtlinie",0,"311 1 10/17/2022 13:18:56 78870",30,,,,,,,,"665d5fb9/a8:6d:ac:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,,,
Die Fett markierte 0 müsste doch der Code sein? oder bin ich komplett falsch?!
Nur damit wir vom selben sprechen
VG
ne, damit hatten wir im Mai schon Probleme
Folgender Log für den Fehlerhaften Rechner von Gestern:
"RADIUS","IAS",10/18/2022,10:11:47,11,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertifiktasrichtlinie",0,"311 1 10/17/2022 13:18:56 78870",30,,,,,,,,"665d5fb9/a8:6d:ac:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,,,
Die Fett markierte 0 müsste doch der Code sein? oder bin ich komplett falsch?!
Nur damit wir vom selben sprechen
VG
Zitat von @Woraxor:
Moin,
ne, damit hatten wir im Mai schon Probleme
Folgender Log für den Fehlerhaften Rechner von Gestern:
"RADIUS","IAS",10/18/2022,10:11:47,11,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertifiktasrichtlinie",0,"311 1 10/17/2022 13:18:56 78870",30,,,,,,,,"665d5fb9/a8:6d:ac:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,,,
Die Fett markierte 0 müsste doch der Code sein? oder bin ich komplett falsch?!
Nur damit wir vom selben sprechen
VG
Moin,
ne, damit hatten wir im Mai schon Probleme
Folgender Log für den Fehlerhaften Rechner von Gestern:
"RADIUS","IAS",10/18/2022,10:11:47,11,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertifiktasrichtlinie",0,"311 1 10/17/2022 13:18:56 78870",30,,,,,,,,"665d5fb9/a8:6d:ac:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,,,
Die Fett markierte 0 müsste doch der Code sein? oder bin ich komplett falsch?!
Nur damit wir vom selben sprechen
VG
der 5. Wert (paket-Type) ist eine "11". siehe https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
Es fehlt ein die 1 - das beschreibt den Request. zu dem fehlt dann z.B. noch ein Accept (Code 2). Es werden normalerweise pro Anfrage immer mindestens 2 Zeilen geloggt.
Grüße
lcer
huhu,
ich habe gerade noch einmal den Fehler repliziert.
Ich bekomme aktuell als erstes eine Paket-Type von 1 -> danach von 11 -> das geht ca. 5 mal so weiter bis schlussendlich eine 3 Access-Reject kommt.
VG
ich habe gerade noch einmal den Fehler repliziert.
Ich bekomme aktuell als erstes eine Paket-Type von 1 -> danach von 11 -> das geht ca. 5 mal so weiter bis schlussendlich eine 3 Access-Reject kommt.
VG
Und welcher Grund wird beim reject angegeben?
Grüße
lcer
Grüße
lcer
"RADIUS","IAS",10/18/2022,10:11:47,3,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertrule",259,"311 1 2.2.2.2 10/17/2022 13:18:56 78875",,,,"Microsoft: Smartcard- oder anderes Zertifikat",,,,,"634e6fb95/a9:6c:ad:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,
wäre das dann 259? oder 5? (Fett markiert)
VG
wäre das dann 259? oder 5? (Fett markiert)
VG
259
https://social.technet.microsoft.com/Forums/en-US/200db4ae-b1f0-4eb7-b53 ...
Das weist auf die Zertifikatssperrlisten hin. Sind im Zertifikat welche angegeben? Wenn ja, sind die erreichbar?
Grüße
lcer
https://social.technet.microsoft.com/Forums/en-US/200db4ae-b1f0-4eb7-b53 ...
Das weist auf die Zertifikatssperrlisten hin. Sind im Zertifikat welche angegeben? Wenn ja, sind die erreichbar?
Grüße
lcer
Hiho,
Ja nice, da war der Fehler begraben
Viele Grüße
Ja nice, da war der Fehler begraben
Viele Grüße
Moin,
Gruß,
Dani
Ja nice, da war der Fehler begraben face-smile
Zertifikate gesperrt oder Sperrliste abgelaufen?!Gruß,
Dani
Moin Dani,
das Zertifikat war gesperrt.
VG
das Zertifikat war gesperrt.
VG
