killtec
Goto Top

NPS Problem

Hallo,
ich habe ein Problem mit einem NPS an einem Standort.
Wenn ich am WLAN Controller einen anderen NPS eingebe zum Authentifizieren, geht es.

Es ist ein Windows Server 2016 mit NPS Rolle. Als Clients sind es Unifi Accesspoints.
Im Eventlog steht folgender "nichtssagender" Hinweis:

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			DOMAIN\KONF$
	Kontoname:			host/KONF.domain.local
	Kontodomäne:			DOMAIN
	Vollqualifizierter Kontoname:	domain.local/Domain Gruppe/Ort/Computer/KONF

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:			-
	Vollqualifizierter Kontoname:	-
	ID der Empfangsstation:		7E-8A-20-xx-xx-xx:WiFI_SSID
	ID der Anrufstation:		34-E1-2D-xx-xx-xx

NAS:
	NAS-IPv4-Adresse:		10.2.1.9
	NAS-IPv6-Adresse:		-
	NAS-ID:			7e8a20f20bf7
	NAS-Porttyp:			Drahtlos (IEEE 802.11)
	NAS-Port:			-

RADIUS-Client:
	Clientanzeigename:		AP3
	Client-IP-Adresse:			10.2.1.9

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	WiFi
	Netzwerkrichtlinienname:		WiFi Auth.
	Authentifizierungsanbieter:		Windows
	Authentifizierungsserver:		FILE.domain.local
	Authentifizierungstyp:		EAP
	EAP-Typ:			Microsoft: Smartcard- oder anderes Zertifikat
	Kontositzungs-ID:		41363543353345333237344130434532
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			16
	Ursache:				Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

Stelle ich im UniFi Controller einen anderen Authentifizierungsserver ein, klappt es sofort. Von Daher gehe ich davon aus, das es am Windows Server liegt.
Ich habe den NPS eben mal resettet mit dem Befehtl
netsh nps reset
Auch nach neu eingeben klappt es nicht.

Kennt jemand das Problem oder dessen Ursache?

Content-Key: 2849511630

Url: https://administrator.de/contentid/2849511630

Printed on: April 22, 2024 at 16:04 o'clock

Member: colinardo
Solution colinardo May 20, 2022 updated at 09:34:16 (UTC)
Goto Top
Member: chgorges
chgorges May 20, 2022 at 09:30:35 (UTC)
Goto Top
Windows Updates vom Mai deinstallieren, ist ein bestätigtes Problem.
Member: lcer00
lcer00 May 20, 2022 at 09:31:01 (UTC)
Goto Top
Member: colinardo
colinardo May 20, 2022 updated at 09:31:55 (UTC)
Goto Top
Zitat von @chgorges:

Windows Updates vom Mai deinstallieren
Ist nicht mehr nötig, gibt bereits einen Patch.
https://docs.microsoft.com/en-us/windows/release-health/resolved-issues- ...
Member: killtec
killtec May 20, 2022 at 10:27:03 (UTC)
Goto Top
Hi Zusammen,
schaue mir das von MS was @colinardo geschrieben hat mal an. Der Patch ist ja satte 1,5GB groß...
Könnte gut damit zusammen hängen, da es vorher lief.
Ich gebe dann Rückmeldung. Danke face-smile
Member: Dani
Dani May 20, 2022 at 11:13:11 (UTC)
Goto Top
@killtec
Ich möchte dir das sonnige Wochenende nicht versauen...

Bei uns im Lab hat das Update keine Besserung gebracht. Alle beteiligten Server laufen mit Windows Server 2019 (Build 1809) Englisch. Alle Rollen (ADDC, NPS, etc..) sind auf dedizierten Servern installiert. Testclients sind Apple iPads, Apple iPhones und Windows 10 VMs.


Gruß,
Dani
Member: colinardo
colinardo May 20, 2022 updated at 11:20:44 (UTC)
Goto Top
Zitat von @Dani:
Bei uns im Lab hat das Update keine Besserung gebracht. Alle beteiligten Server laufen mit Windows Server 2019 (Build 18.09) Englisch. Alle Rollen (ADDC, NPS, etc..) sind auf dedizierten Servern installiert. Testclients sind Apple iPads, Apple iPhones und Windows 10 VMs.
Hier in einer Server 2022 Lab Umgebung klappt nach dem Patch wieder alles reibungslos. So unterschiedlich können Erfahrungen ausfallen face-plain, wahr vermutlich wieder einmal ein Schnellschuss.
Danke für die Info.
Member: Dani
Dani May 20, 2022 at 11:21:04 (UTC)
Goto Top
@colinardo
Ich möchte keinenfalls den Thread kappern... aber zwei Fragen muss ich loswerden:
  • Hast du den von Microsoft beschriebenen Workaround vor Installation des OoB Updates wieder rückgängig gemacht?
  • Nutzen die Clients noch die ursprünglichen Zertifikate (ohne UPN) oder hast du diese im Rahmen der Fehlersuche bzw. Tests erneuert und somit den UPN in einem Attribut?


Gruß,
Dani
Member: colinardo
colinardo May 20, 2022 updated at 11:33:06 (UTC)
Goto Top
Zitat von @Dani:

@colinardo
Ich möchte keinenfalls den Thread kappern... aber zwei Fragen muss ich loswerden:
  • Hast du den von Microsoft beschriebenen Workaround vor Installation des OoB Updates wieder rückgängig gemacht?
Ja.
* Nutzen die Clients noch die ursprünglichen Zertifikate (ohne UPN)
Ja, UPN ist aber bei uns im SAN enthalten.

Im Compatibility Mode sollte dann nur eine Warnung auftauchen. Erst im Full Enforcement Mode wird das Strong-Mapping nötig.
Member: UnbekannterNR1
UnbekannterNR1 May 20, 2022 at 17:39:48 (UTC)
Goto Top
Ich habe ähnliches Problem gehabt auch NPS auf dedizierten Server, gleiche Meldung. Clients werden per Zertifikat authentifiziert.
Ich konnte es lösen in dem ich dem Registry Wert "CertificateMappingMethods" mit dem Wert "0x1F" auf den zugehörigen Domain Controllern hinzugefügt habe. Hat ein wenig gedauert bis mir klar wurde das die Änderung auf den DCs durchgeführt werden muss.
Angeblich sollen mit dem Update neu ausgestellte Zertifikate das Problem dann nicht mehr haben, habe mir einen Termin im Kalender gesetzt um das mit den neuen Zerts zu testen bevor MS weiter Chaos stiftet.

Siehe Dazu:
https://support.microsoft.com/de-de/topic/kb5014754-certificate-based-au ...
Member: chgorges
chgorges May 21, 2022 at 09:41:03 (UTC)
Goto Top
https://www.borncity.com/blog/2022/05/21/windows-out-of-band-updates-vom ...

Die nachgeschobenen Updates bringen es nicht wirklich, es bleibt nur die Deinstallation des Ursprung-Patch.
Member: colinardo
colinardo May 21, 2022, updated at May 23, 2022 at 15:42:37 (UTC)
Goto Top
Zitat von @chgorges:

https://www.borncity.com/blog/2022/05/21/windows-out-of-band-updates-vom ...

Die nachgeschobenen Updates bringen es nicht wirklich, es bleibt nur die Deinstallation des Ursprung-Patch.

Oder die Zertifikate vorausschauend auf aktuellen Stand bringen. Bei Domain-Joined-Clients beschränkt sich das ja auf einen Klick in den Zertifikatsvorlagen um die Seriennummer des Templates zu erhöhen. Beim nächsten Pulse erneuert sich der Client das Zertifikat dann automatisch, (Manuell triggern geht natürlich auch certutil -pulse (für Computer-Zertifikate in elevated Shell), oder certutil -pulse -user für Benutzerzertifikate des aktuell angemeldeten Users.)

screenshot

Aktualisierte Zertifikate sollten dann die SID Extension mit DER kodierter Computer- oder User-SID beinhalten

screenshot
Member: Dani
Dani May 21, 2022 at 13:10:07 (UTC)
Goto Top
Moin,
ein Kollege von mir, hat mir folgenden Link zu kommen lassen:
https://www.askwoody.com/forums/topic/master-patch-list-as-of-may-19-202 ...


Gruß,
Dani
Member: kgborn
kgborn May 21, 2022 updated at 19:08:21 (UTC)
Goto Top
Der Tipp von @colinaro bringt es vermutlich.

@Dani: Warum in die Ferne schweifen, liegt das Gute doch so nah face-wink.

Der "anonymous" Post im Thread bei askwoody.com ist von mir (war zu faul, meine Nutzerdaten für die Anmeldung heraus zu suchen) - ich habe mit Patch Lady Susan Bradley "über Bande" gespielt und es hat funktioniert - das Ganze ist inzwischen von mir in meinen deutschen und englischen Blog-Beiträgen berücksichtigt - ob es funktioniert, kann ich nicht testen. Vielleicht hilft es aber weiter.

Windows Out-of-Band-Updates vom 19.5.2022 versagen mit NPS beim AD DC-Authentifizierungsfehler
Member: killtec
killtec May 23, 2022 at 12:36:20 (UTC)
Goto Top
So,
kurze Rückmeldung. Bei mir half der Patch KB5015019 auf dem DC der Vor Ort ist. Die Zertifikate beinhalten den FQDN des Clients bereits.

Danke
Gruß
Member: killtec
killtec May 24, 2022 updated at 13:20:34 (UTC)
Goto Top
Korrektur, das hielt nur einen Reboot lang face-sad
Ich habe das entsprechende Zertifikat geprüft, es steht die SID und nicht der Cleintname im Zertifikat.
Wie gesagt, gebe ich einen anderen NPS in der Domäne an, der an einem anderen Standort steht, so geht alles.
Demnach kann es doch nur entweder beim DC oder beim NPS an dem Standort liegen, oder?
Member: killtec
killtec May 25, 2022 at 07:11:42 (UTC)
Goto Top
So, kleines Update:

Zitat von @colinardo:

Zitat von @chgorges:

https://www.borncity.com/blog/2022/05/21/windows-out-of-band-updates-vom ...

Die nachgeschobenen Updates bringen es nicht wirklich, es bleibt nur die Deinstallation des Ursprung-Patch.

Oder die Zertifikate vorausschauend auf aktuellen Stand bringen. Bei Domain-Joined-Clients beschränkt sich das ja auf einen Klick in den Zertifikatsvorlagen um die Seriennummer des Templates zu erhöhen. Beim nächsten Pulse erneuert sich der Client das Zertifikat dann automatisch, (Manuell triggern geht natürlich auch certutil -pulse (für Computer-Zertifikate in elevated Shell), oder certutil -pulse -user für Benutzerzertifikate des aktuell angemeldeten Users.)

screenshot

Aktualisierte Zertifikate sollten dann die SID Extension mit DER kodierter Computer- oder User-SID beinhalten

screenshot

Ich habe die Zertifikate noch mal angepackt. Die Zertifikate habe ich um das Attribut UPN erweitert. Es stand nur der DNS drin. Jetzt scheint es zu laufen. Von daher war der Tipp schon Gold Wert face-smile
Ich beobachte das noch ein paar Tage ob das stabil bleibt. Von gestern auf heute lief es stabil.

Gruß
Member: colinardo
colinardo May 25, 2022 updated at 08:12:42 (UTC)
Goto Top
Zitat von @killtec:
Ich habe die Zertifikate noch mal angepackt. Die Zertifikate habe ich um das Attribut UPN erweitert. Es stand nur der DNS drin. Jetzt scheint es zu laufen. Von daher war der Tipp schon Gold Wert face-smile

Naja, der UPN war eigentlich schon sehr lange in den Mindestanforderungen für die Client-Zertfikate für EAP von MS drin, insofern ein hausgemachtes Problem face-wink

Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen
Bei EAP-TLS oder PEAP-TLS akzeptiert der Server den Clientauthentifizierungsversuch, wenn das Zertifikat die folgenden Anforderungen erfüllt:
...
Bei Benutzerzertifikaten enthält die Subject Alternative Name -Erweiterung (SubjectAltName) im Zertifikat den Benutzerprinzipalnamen (UPN).
...

Member: killtec
killtec May 25, 2022 at 08:19:12 (UTC)
Goto Top
Beim Zertifikat ja, stimmt. Hatte ich bei der Einrichtung damals nicht drauf geachtet, bzw. war die Anleitung wohl zu alt dazu face-sad

Was eher irritierend war ist, dass es nur an einem Standort von mehreren der Fall war.