lkaderavek
Goto Top

WiFi PreLogon MachineCert Authentication

Hallo,
ich habe auf einem Server 2016 den NPS laufen und für die Computer- und Benutzer Zertifikats-Registrierung aktiviert.

Die Benutzer und Computer bekommen von der AD-Zertifizierungsstelle die Zertifikate ausgestellt.

Über GPO verteile ich das WLAN-AutoConfig Profil.

Ich habe das Setup schon mehrfach so eingerichtet und es klappt theoretisch alles.

Praktisch sieht es aber so aus, als wäre das Zertifikat bei der Benutzeranmeldung nicht lesbar und das WiFi wird vor dem Logon nicht verbunden, es wird gemeldet, dass das Zertifikat nicht auffindbar ist.

Nachdem Login kann man das WiFi problemlos verbinden.

Im EventLog des Clients sind folgende Einträge zu finden; der NPS meldet zum Zeitpunkt der Anmeldung keine Einträge, es ist also ein Client-Problem:

The certficate for network authentication could not be found.
Event 12013 > EAP-Error: 0x80420014, EAP-Reason: 0x80420100
Event 11006 > EAP-Error: 0x80420014
Event 8002

Ich habe bereits die Verteilung des Zertifikats überprüft und testweise vom Client gelöscht und eine neue Anforderung gestellt, das Zertifikat wird sowohl für Computer, als auch Benutzer sofort richtig und neu ausgestellt.
Die "alten" Zertifikate habe ich dann als abgelaufen in der Zertifizierungsstelle gemeldet.

Weiter habe ich bereits die Vorlagen für die Zertifikate neu erstellt und auch das WLAN-AutoConfig Profil neu erstellt, ebenso die RADIUS-Konfiguration neu erstellt.

Die beiden Konfiguration (NPS, AutoConfig) habe ich bereits aus funktionierenden Sites exportiert, angepasst und importiert.

In der Regel benötige ich für so eine Konfiguration ca. 2 Stunden, gestern habe ich den ganzen Abend bereits mit Troubleshooting verbracht und komme nicht weiter.

Das Problem betrifft alle Clients, die Treiber sind aktualisiert, die Uhrzeit ist auch korrekt, das Netzwerk und auch die Internet-Optionen habe ich bereits zurückgesetzt.

Ich hoffe jemand von euch kann mir weiterhelfen, ich stehe jedenfalls momentan an und habe keine Idee mehr.

Danke

LG

Lukas

Content-Key: 3111445387

Url: https://administrator.de/contentid/3111445387

Printed on: February 23, 2024 at 06:02 o'clock

Member: LKaderavek
LKaderavek Oct 13, 2023 at 08:16:02 (UTC)
Goto Top
über rsop.msc am Client habe ich bereits die Richtlinien-Verteilung geprüft, das ist auch alles korrekt.
Member: LKaderavek
LKaderavek Oct 13, 2023 at 08:47:09 (UTC)
Goto Top
Auf den Clients habe ich überall Windows 10 x64 22H2 - die CU Stände ist unterschiedlich - aber auch welche mit 2023-10 - an dem liegt es also mMn. auch nicht.
Member: DerMaddin
DerMaddin Oct 13, 2023 at 09:22:17 (UTC)
Goto Top
Moin,

wenn ich dein Problem richtig verstehe, dann wird via RADIUS eine Wifi-Verbindung nach dem User-Login mit dem AD-User-Zertifikat durchgeführt aber eine vor der Anmeldung mit Computer-Zertifikat nicht?

Scheint hier auch nach der Meldung aus dem Log ein Problem mit dem Computer-Zertifikat bzw. der Vorlage zu geben. Hast du eine vorhandene Vorlage verwendet oder eine angepasste? Ich habe eine angepasste Vorlage mit zusätzlich diesen Werten:

compcert
Member: LKaderavek
LKaderavek Oct 13, 2023 at 09:38:52 (UTC)
Goto Top
Hallo,
ich habe aus den Vorlagen Kopien erstellt und angepasst.
-) RAS- und IAS-Server > NPS Server Certificate
-) Benutzer > WiFi-Users
-) Computer > WiFi-Clients

Die einzelnen Einstellungen kann ich gerne teilen, muss nur schnell die Screenshots anfertigen.
Poste ich gleich.
Danke
Member: LKaderavek
LKaderavek Oct 13, 2023 updated at 09:59:04 (UTC)
Goto Top
NPS Server Certificate:
nps-cert_001
nps-cert_002
nps-cert_003
nps-cert_004
nps-cert_005
nps-cert_006
nps-cert_007
nps-cert_008
nps-cert_009
nps-cert_010
nps-cert_011
Member: LKaderavek
LKaderavek Oct 13, 2023 updated at 09:59:39 (UTC)
Goto Top
WiFi-Clients (Computer):
wifi-clients_001
wifi-clients_002
wifi-clients_003
wifi-clients_004
wifi-clients_005
wifi-clients_006
wifi-clients_007
wifi-clients_008
wifi-clients_009
wifi-clients_010
wifi-clients_011
Member: LKaderavek
LKaderavek Oct 13, 2023 updated at 10:00:04 (UTC)
Goto Top
WiFi-Users (Benutzer):
wifi-users_001
wifi-users_002
wifi-users_003
wifi-users_004
wifi-users_005
wifi-users_006
wifi-users_007
wifi-users_008
wifi-users_009
wifi-users_010
wifi-users_011
Member: LKaderavek
LKaderavek Oct 13, 2023 at 09:52:16 (UTC)
Goto Top
Und ja, du verstehst richtig, dass die Machine-Cert-Auth derzeit nicht arbeitet.
Member: DerMaddin
DerMaddin Oct 13, 2023 at 10:10:53 (UTC)
Goto Top
soweit ich sehen kann, ist der Unterschied zw. deiner Computer-Vorlage zu meiner, dass du Format des Antragstellernamens: DNS hast und auch nur DNS-Name angehakt ist. Probier vielleicht testweise meine Einstellungen aus mit einer separaten GPO für einen Testlaptop.
Member: LKaderavek
Solution LKaderavek Oct 13, 2023 at 10:15:10 (UTC)
Goto Top
Es ist echt zum Mäuse melken:

https://community.spiceworks.com/topic/2359596-802-1x-using-group-policy ...
https://www.edugeek.net/forums/windows-10/190222-windows-10-1709-nps-wir ...

Ich habe es gefixt und werde das jetzt noch in die GPO für AutoConfig einbauen.

HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet > EnableActiveProbing > 0

Habe das jetzt nur einmal lokal in die Registry gesetzt und neu gestartet > es war sofort, wie gewohnt, vor der Anmeldung verbunden.
Member: LKaderavek
LKaderavek Oct 13, 2023 at 10:38:26 (UTC)
Goto Top
Versteh mich bitte nicht falsch, aber welchen Sinn macht es beim Computer-Zertifikat die UPN mit einzubeziehen, die spielt da gar nicht mit.
Member: DerMaddin
DerMaddin Oct 13, 2023 at 11:23:21 (UTC)
Goto Top
Ja du hast Recht, UPN spielt keine Rolle. Was den Regkey angeht, nun ich habe weder eine solche Einstellung in der GPO noch die Einträge auf den Win 10/11 Maschinen und es funktioniert. Von daher ist es für mich nicht nachvollziehbar.
Member: LKaderavek
LKaderavek Oct 13, 2023 at 12:18:02 (UTC)
Goto Top
Für mich auch nicht und ich habe das, wie gesagt, bereits mehrmals überall gleich durchgezogen und dort das erste Mal Probleme gehabt - den RegKey kannte ich bis dahin auch nicht - ist jedenfalls gefixt und wird so dokumentiert.

Danke für deine Hilfe!
LG