01.07.2025
1307
8
0NPS Authentifizierung Zertifikatproblem
Hallo,
ich habe ein Problem mit einem NPS Server.
Das Zertifikat an unserer Zertifizierungsstelle war abgelaufen, somit ging auch keine NPS Authentifizierung mehr, da auch alle Cleintzertifikate abgelaufen waren.
Nun habe ich heute morgen das Zertifikat der CA erneuert und auch gesehen, dass wieder Client-Zertifikate ausgestellt wurden. Das passt soweit. Auch konnte ich beim NPS wieder bei den Zertifikaten in der Config die CA auswählen.
Bis dahin sieht es für mich alles ok aus.
Jetzt ist es jedoch so, dass der NPS die Authentifizeriung weiterhin bei der Zertifikatsauthentifizierung ablehnt. Die Eingabe von Benutzer und Kennwort (bei denen wo es erlaubt ist) funktioniert die Authentifizierung, somit begrenzt sich das Problem auf die Zertifikatsauthentifizierung.
In der Ereignisanzeige vom NPS sehe ich dann folgendes:
Wenn ich mir am Client die Zertifikate für den Computer und Benutzer anschaue sind die soweit ok.
Der Zeitstempel scheint jedoch GMT +0 zu sein, was aber nicht weiter stören sollte...
Auch der Neustart des Computers hilft hier nicht so dass er sich die GPO's und Zertifikate zieht.
Der NPS protokolliert dann immer wieder oben gezeigte Meldung. Am Client kommt nur
"Keine Verbindung mit diesem Netzwerk möglich."
ich habe ein Problem mit einem NPS Server.
Das Zertifikat an unserer Zertifizierungsstelle war abgelaufen, somit ging auch keine NPS Authentifizierung mehr, da auch alle Cleintzertifikate abgelaufen waren.
Nun habe ich heute morgen das Zertifikat der CA erneuert und auch gesehen, dass wieder Client-Zertifikate ausgestellt wurden. Das passt soweit. Auch konnte ich beim NPS wieder bei den Zertifikaten in der Config die CA auswählen.
Bis dahin sieht es für mich alles ok aus.
Jetzt ist es jedoch so, dass der NPS die Authentifizeriung weiterhin bei der Zertifikatsauthentifizierung ablehnt. Die Eingabe von Benutzer und Kennwort (bei denen wo es erlaubt ist) funktioniert die Authentifizierung, somit begrenzt sich das Problem auf die Zertifikatsauthentifizierung.
In der Ereignisanzeige vom NPS sehe ich dann folgendes:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: domain\client1$
Kontoname: host/client1.domain.local
Kontodomäne: Domain
Vollqualifizierter Kontoname: ************
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: F4-92-BF-72-15-ED:Rohde_Gruppe
ID der Anrufstation: EC-5C-68-A4-24-DF
NAS:
NAS-IPv4-Adresse: 10.0.1.29
NAS-IPv6-Adresse: -
NAS-ID: f492bf7215ed
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: -
RADIUS-Client:
Clientanzeigename: IT
Client-IP-Adresse: 10.0.1.29
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WiFi
Netzwerkrichtlinienname: WiFi Auth.
Authentifizierungsanbieter: Windows
Authentifizierungsserver: NPS.domain.local
Authentifizierungstyp: EAP
EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat
Kontositzungs-ID: 46373230393230373036344446363532
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 278
Ursache: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.Wenn ich mir am Client die Zertifikate für den Computer und Benutzer anschaue sind die soweit ok.
Der Zeitstempel scheint jedoch GMT +0 zu sein, was aber nicht weiter stören sollte...
Auch der Neustart des Computers hilft hier nicht so dass er sich die GPO's und Zertifikate zieht.
Der NPS protokolliert dann immer wieder oben gezeigte Meldung. Am Client kommt nur
"Keine Verbindung mit diesem Netzwerk möglich."
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673621
Url: https://administrator.de/forum/nps-zertifikat-authentifizierung-problem-673621.html
Ausgedruckt am: 23.07.2025 um 08:07 Uhr
8 Kommentare
Neuester Kommentar
Auch konnte ich beim NPS wieder bei den Zertifikaten in der Config die CA auswählen.
Du meinst ein passendes "Server-Zertifikat" das für den NPS ausgestellt wurde, nicht das CA cert selber ...NPS und Client neu starten, oder das Credential-Caching anpassen , dir Creds werden für eine gewisse Zeit zwischengespeichert.
learn.microsoft.com/en-us/windows-server/networking/technologies ...
NPS.domain.local
@aqui it's again time to throw the first stone 😂2
Lass mal die geschichtlichen Sachen weg... Gefällt mir auch nicht, aber läuft... :D
Das Caching schaue ich mir gleich an, das könnte evtl. nen Hinweis sein.
Zitat von @BiberMan:
NPS und Client neu starten, oder das Credential-Caching anpassen , dir Creds werden für eine gewisse Zeit zwischengespeichert.
Auch konnte ich beim NPS wieder bei den Zertifikaten in der Config die CA auswählen.
Du meinst ein passendes "Server-Zertifikat" das für den NPS ausgestellt wurde, nicht das CA cert selber ...NPS und Client neu starten, oder das Credential-Caching anpassen , dir Creds werden für eine gewisse Zeit zwischengespeichert.
CA neu gestartet, NPS neu gestartet, Client neu gestartet, ohne Erfolg.
Es wurden in diesem Fall Alle Zertifikate erneuert. Die der CA (Die war abgelaufen),
der NPS hat sich dann automatisch erneuert, die Clientcomputer die per LAN angebunden sind haben sich auch gleich ein neues Zertifikat erstellt.
Habe die Cache Registrywerte gesetzt und anschließend den NPS und den Client neu gestartet.
Meldung bleibt wie sie war.
Meldung bleibt wie sie war.
Dann check mal deine Wireless GPO ob da noch das alte CA-Cert für die eingeschränkte Auswahl des Client-Certs hinterlegt ist, denn das würde dazu passen das der Client noch das alte abgelaufene Cert für die Auth verwendet statt das neu ausgestellte.
1
Ich fürchte dass da wirklich irgendwo noch was in irgendeinem Cache hängt...
Moin,
die Ursache steht ja im Log "Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei."
In den NPS-Netzwerkrichtlinien muss das CA-Zertifikat entsprechend ausgetauscht werden, wenn es auf erneuert wurde.
die Ursache steht ja im Log "Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei."
In den NPS-Netzwerkrichtlinien muss das CA-Zertifikat entsprechend ausgetauscht werden, wenn es auf erneuert wurde.
Hi,
System geht jetzt wieder. Ich hatte die ClientCacheTime im Client und nicht im Server hinterlegt, hatte ich überlesen.
Des weiteren habe ich die Root CA aktiviert in der GPO, das Zertifikat ist gültig.
Gruß
System geht jetzt wieder. Ich hatte die ClientCacheTime im Client und nicht im Server hinterlegt, hatte ich überlesen.
Des weiteren habe ich die Root CA aktiviert in der GPO, das Zertifikat ist gültig.
Gruß
