kodach
Goto Top

NPS - WLAN Verbindung nach Update nicht mehr möglich

Ich habe hier eine WLAN Verbindung über Computerzertifikate. Seit einem Windows Update erhalte ich den Fehler 6273 "Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch."

Ob das Update mit dem Fehler zusammenhängt bin ich mir nicht sicher. Die Zugangsdaten stimmen, das Client Zertifikat sowie das Computerzertifikat auf dem NPS Server ist ebenfalls noch gültig.

Im Internet habe ich schon den ein oder anderen Tipp gefunden. Unteranderem auf dem NPS den Registry Key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\SendTrustedIssuerList" oder "SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\DisableEndEntityClientCertCheck" zu setzen was auch nicht zum Erfolg geführt hat. Ich habe auch mal die abgelaufenen Stammzertifikate gelöscht. Aber auch das hat noch nicht zu einem Erfolg geführt.

Hat da vielleicht jemand eine Idee für mich?

Content-ID: 2748916037

Url: https://administrator.de/forum/nps-wlan-verbindung-nach-update-nicht-mehr-moeglich-2748916037.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

colinardo
colinardo 11.05.2022 aktualisiert um 15:28:08 Uhr
Goto Top
Servus,
überprüfe penibel folgende Informationen im Eventlog des NPS in der Message:
Benutzer:
	Sicherheits-ID:			*******
	Kontoname:			******
	Kontodomäne:			*****
	Vollqualifizierter Kontoname:	******
Wenn die Infos hier nicht mit dem AD stimmen und der Computer tatsächlich noch existiert und dessen Computer-Passwort nicht abgelaufen ist, dann ist evt. die Verbindung zum DC gestört. Alternativ könnte es auch Probleme beim Beschreiben des NPS Logs gegeben haben denn dann lehnt NPS per Default Authentifizierungs-Anfragen ab.

Wenn im Security Eventlog keine NPS infos geloggt werden schalte sie ein unter

screenshot

Oder mittels Konsole
auditpol /set /subcategory:"Netzwerkrichtlinienserver" /success:enable /failure:enable  

Grüße Uwe
KodaCH
KodaCH 11.05.2022 um 15:58:44 Uhr
Goto Top
Danke für deine Antwort

überprüfe penibel folgende Informationen im Eventlog des NPS in der Message
Die Daten sind identisch mit den Daten der letzten Tage an denen es funktioniert hat.

Wenn die Infos hier nicht mit dem AD stimmen und der Computer tatsächlich noch existiert und dessen Computer->>Passwort nicht abgelaufen ist, dann ist evt. die Verbindung zum DC gestört.
Das Kennwort des Benutzers ist nicht abgelaufen. Es betrifft allgemein alle Benutzer.
Die Verbindung zum DC kann ich mir nicht vorstellen, da der NPS auf dem DC installiert ist und die Logs ja auch entsprechend erscheinen.

Wenn im Security Eventlog keine NPS infos geloggt werden schalte sie ein unter
Ist eingeschaltet
colinardo
colinardo 11.05.2022 aktualisiert um 16:06:32 Uhr
Goto Top
Zitat von @KodaCH:
Das Kennwort des Benutzers ist nicht abgelaufen.
Das meinte ich nicht, ich meinte ich das der Computer evt. seine Vertrauensstellung verloren hat. Du machst ja eine Computer-Auth.
Es betrifft allgemein alle Benutzer.
Nur an einem Computer oder auch auf anderen Computern? Du sagst ja das du eine Computer Authentifizerung machst da ist der "User" ja nicht von Belang, da diese unabhängig vom User stattfindet!

Die Verbindung zum DC kann ich mir nicht vorstellen, da der NPS auf dem DC installiert ist und die Logs ja auch entsprechend erscheinen.
Auch da kann es haken, doppelt prüfen vor allem im erweiterten Log, einfach bspw. mit dem IAS-Viewer.
KodaCH
KodaCH 11.05.2022 um 16:07:06 Uhr
Goto Top
Bisher weiss ich von sicher 30 Clients (Auch gem. Logs)

Das meinte ich nicht, ich meinte ich das der Computer evt. seine Vertrauensstellung verloren hat.
Sieht eigentlich nicht danach aus. Gibt es hier ggf. eine sichere Methode das zu testen?
colinardo
colinardo 11.05.2022 aktualisiert um 16:18:56 Uhr
Goto Top
Gut bei der Menge ist das eher unwahrscheinlich.
Lade dir mal den Iasviewer und prüfe das Logfile genauer
https://www.deepsoftware.com/iasviewer/download.html
Dort sind oft mehr Informationen zur genauen Ursache hinterlegt.
KodaCH
KodaCH 11.05.2022 aktualisiert um 17:00:18 Uhr
Goto Top
Danke.

Dort sehe ich auch nicht mehr. Das Programm gibt eine tolle übersicht.
Name Value
Connect Request IAS_AUTH_FAILURE
Terminate Cause AUTH_FAILURE

Was ich nicht verstehe. Zwei Clients konnten sich verbinden.
colinardo
colinardo 11.05.2022 aktualisiert um 18:05:28 Uhr
Goto Top
Dann prüfe mal was an den Clients von der Richtlinie tatsächlich in der Praxis angekommen ist (rsop.msc und das Profil im Klartext unter C:\Windows\wlansvc\Policies\*). Vor allem die Parts in der PEAP Section "Identitätsschutz" und "Anderen Benutzernamen für die Verbindung verwenden".
Für den exakten Dateinamen für das Klartext-Profil siehe die Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy

Was ich nicht verstehe. Zwei Clients konnten sich verbinden.
Cached Cred. / nicht übernommene GPO usw.

Wenn du ein Update vermutest, rolle es halt mal testweise auf einem betroffenen Client zurück.
KodaCH
KodaCH 11.05.2022 aktualisiert um 19:27:03 Uhr
Goto Top
Wenn du ein Update vermutest, rolle es halt mal testweise auf einem betroffenen Client zurück.
Das kann ich unterdessen ausschliessen. Ich habe Testweise einen anderen Server als NPS eingerichtet und die Einstellungen Importiert. Auf diesem war das Update noch nicht installiert.

Dann prüfe mal was an den Clients von der Richtlinie tatsächlich in der Praxis angekommen ist
Die GPOs scheinen aktuell zu sein und alle werden gezogen.

Ich kann mir langsam nur noch erklären das irgendetwas mit den Zertifikaten nicht stimmt oder vielleicht mit deaktivierten LM/NTLM wobei das schon eine ganze weile her ist und bisher nur auf den Clients ist und nicht den Servern
Dani
Dani 11.05.2022 um 23:01:27 Uhr
Goto Top
Moin,
evtl. ist ein Lösungsweg für dich dabei:
https://www.borncity.com/blog/2022/05/11/windows-office-mai-2022-patchda ...
Du hast leider keine detailierten Informationen geschrieben.


Gruß,
Dani
KodaCH
KodaCH 12.05.2022 um 07:49:37 Uhr
Goto Top
Danke auch für deine Antwort.
Leider keine Lösung aber so weiss ich schonmal das ich nicht der einzige bin. Nach dem entfernen des Updates KB5013952 funktioniert alles wieder.
Nun hoffe ich auf eine baldige Lösung da KB5013952 ein nicht gerade unwichtiges Update ist.
Dani
Dani 12.05.2022 um 20:38:02 Uhr
Goto Top
colinardo
colinardo 12.05.2022 aktualisiert um 22:16:53 Uhr
Goto Top
KodaCH
KodaCH 13.05.2022 um 06:05:09 Uhr
Goto Top
Manuelle Zuweisung bei zwei Maschinen mag ja in Ordnung sein aber wenn man 100 aufwärts hat...
Hoffe MS bringt bald ein Update
colinardo
colinardo 13.05.2022 aktualisiert um 10:26:27 Uhr
Goto Top
Zitat von @KodaCH:

Manuelle Zuweisung bei zwei Maschinen mag ja in Ordnung sein aber wenn man 100 aufwärts hat...
Hoffe MS bringt bald ein Update

Da kommt kein Update für die oben verlinkte Neuerung. Stell die Zertifikate mit der SID Extension neu aus und das war's. Bitte den Beitrag mal etwas aufmerksamer lesen, das Mapping ist nur als Workaround gedacht falls man die Zertifikate momentan nicht neu ausstellen will/kann/darf . 😉

screenshot

Enterprise Certificate Authorities (CA) will start adding a new non-critical extension with Object Identifier (OID) (1.3.6.1.4.1.311.25.2) by default in all the certificates issued against online templates after you install the May 10, 2022 Windows update. You can stop the addition of this extension by setting the 0x00080000 bit in the msPKI-Enrollment-Flag value of the corresponding template. For example, you run the following certutil command to exclude certificates of the user template from getting the new extension.
KodaCH
KodaCH 17.05.2022 um 08:16:45 Uhr
Goto Top
Da kommt kein Update für die oben verlinkte Neuerung.
Microsoft hat das Problem ja bereits bestätigt. Weshalb denkst du das hier kein Update mehr kommt?

Stell die Zertifikate mit der SID Extension neu aus und das war's.
Ich habe bei zwei Clients das alte Zertifikat gelöscht und ein neues ausgestellt. Die entsprechende OID ist nun im Zertifikat vorhanden. Trotzdem bleibt der Fehler bestehen. Das mit der OID habe ich vorallem um Zusammenhang mit Server 2012 gelesen. Eventuell ist dies für Server 2016 nicht die Lösung?
colinardo
colinardo 17.05.2022 aktualisiert um 09:33:50 Uhr
Goto Top
Zitat von @KodaCH:

Da kommt kein Update für die oben verlinkte Neuerung.
Microsoft hat das Problem ja bereits bestätigt. Weshalb denkst du das hier kein Update mehr kommt?
Weil wir offensichtlich von zwei unterschiedlichen Dingen sprechen. Ich sprach von der SID Neuerung die ich oben verlinkt hatte, du vermutlich von dem aktuellen DC Authentifizierungsproblem.
Das mit der OID habe ich vorallem um Zusammenhang mit Server 2012 gelesen.
Nein, das gilt für alle NPS mit aktuellen Sicherheits-Patches, denn das ist eine schwerwiegende Sicherheitslücke wenn sich der NPS hier von einfachen Namen im Abgleich mit dem AD täuschen lässt.
KodaCH
KodaCH 17.05.2022 um 09:56:12 Uhr
Goto Top
Weil wir offensichtlich von zwei unterschiedlichen Dingen sprechen. Ich sprach von der SID Neuerung die ich oben verlinkt hatte, du vermutlich von dem aktuellen DC Authentifizierungsproblem.
Da habe ich dich wirklich falsch verstanden. Dachte das könnte die Lösung für mein Authentifizierungsproblem sein face-smile
Dani
Lösung Dani 20.05.2022 um 10:07:29 Uhr
Goto Top
Moin,
Microsoft hat das Problem ja bereits bestätigt. Weshalb denkst du das hier kein Update mehr kommt?
Ding Dong... dein Wunsch wurde erhört: https://docs.microsoft.com/en-us/windows/release-health/resolved-issues- ...


Gruß,
Dani
3616243009
3616243009 12.08.2022 um 08:28:40 Uhr
Goto Top
Hallo werte Kollegen und Leidensgenossen. Ich habe eine Lösung entwickelt für das Problem, dass die neue SID-Zertifkaterweiterung nur bei Zertifikatvorlagen eingetragen wird, die für AD-(Auto)Enrollment konfiguriert sind. Microsoft hat laut ihrem KB ja vor, das "Full Enforcement" am 09. Mai 2023 hart zu erzwingen, was meiner Ansicht nach alle MDM (Intune, Airwatch und Co.) verwalteten Endgeräte aus dem 802.1x rauswerfen wird wenn das Unternehmen den Network Policy Server einsetzt.

Die Lösung ist ein sog. Policy Modul für die Zertifizierungsstelle. Es kann eingehende Zertifikatanforderungen analysieren, die beantragte Identität ermitteln und auf das zugehörige AD Objekt mappen. So kann es die SID für das entsprechende Konto ermitteln und in das ausgestellte Zertifikat eintragen. Das funktioniert mit allen von der Microsoft CA zur Verfügung gestellten Protokollen, Clients und allen MDM Systemen.

Hier findet ihr das Modul: TameMyCerts auf GitHub
Es ist Open Source, kann also kostenlos eingesetzt werden. Unter "releases" liegt eine fertig kompilierte digital signierte Version davon. Ich hoffe, dass es euch einen Nutzen stiften kann. Meldet euch wenn ihr Schwierigkeiten beim Einsatz oder andere Fragen haben solltet. Mitarbeit am Projekt ist ebenfalls herzlich willkommen.