13
WiFi PreLogon MachineCert Authentication
Hallo,
ich habe auf einem Server 2016 den NPS laufen und für die Computer- und Benutzer Zertifikats-Registrierung aktiviert.
Die Benutzer und Computer bekommen von der AD-Zertifizierungsstelle die Zertifikate ausgestellt.
Über GPO verteile ich das WLAN-AutoConfig Profil.
Ich habe das Setup schon mehrfach so eingerichtet und es klappt theoretisch alles.
Praktisch sieht es aber so aus, als wäre das Zertifikat bei der Benutzeranmeldung nicht lesbar und das WiFi wird vor dem Logon nicht verbunden, es wird gemeldet, dass das Zertifikat nicht auffindbar ist.
Nachdem Login kann man das WiFi problemlos verbinden.
Im EventLog des Clients sind folgende Einträge zu finden; der NPS meldet zum Zeitpunkt der Anmeldung keine Einträge, es ist also ein Client-Problem:
The certficate for network authentication could not be found.
Event 12013 > EAP-Error: 0x80420014, EAP-Reason: 0x80420100
Event 11006 > EAP-Error: 0x80420014
Event 8002
Ich habe bereits die Verteilung des Zertifikats überprüft und testweise vom Client gelöscht und eine neue Anforderung gestellt, das Zertifikat wird sowohl für Computer, als auch Benutzer sofort richtig und neu ausgestellt.
Die "alten" Zertifikate habe ich dann als abgelaufen in der Zertifizierungsstelle gemeldet.
Weiter habe ich bereits die Vorlagen für die Zertifikate neu erstellt und auch das WLAN-AutoConfig Profil neu erstellt, ebenso die RADIUS-Konfiguration neu erstellt.
Die beiden Konfiguration (NPS, AutoConfig) habe ich bereits aus funktionierenden Sites exportiert, angepasst und importiert.
In der Regel benötige ich für so eine Konfiguration ca. 2 Stunden, gestern habe ich den ganzen Abend bereits mit Troubleshooting verbracht und komme nicht weiter.
Das Problem betrifft alle Clients, die Treiber sind aktualisiert, die Uhrzeit ist auch korrekt, das Netzwerk und auch die Internet-Optionen habe ich bereits zurückgesetzt.
Ich hoffe jemand von euch kann mir weiterhelfen, ich stehe jedenfalls momentan an und habe keine Idee mehr.
Danke
LG
Lukas
ich habe auf einem Server 2016 den NPS laufen und für die Computer- und Benutzer Zertifikats-Registrierung aktiviert.
Die Benutzer und Computer bekommen von der AD-Zertifizierungsstelle die Zertifikate ausgestellt.
Über GPO verteile ich das WLAN-AutoConfig Profil.
Ich habe das Setup schon mehrfach so eingerichtet und es klappt theoretisch alles.
Praktisch sieht es aber so aus, als wäre das Zertifikat bei der Benutzeranmeldung nicht lesbar und das WiFi wird vor dem Logon nicht verbunden, es wird gemeldet, dass das Zertifikat nicht auffindbar ist.
Nachdem Login kann man das WiFi problemlos verbinden.
Im EventLog des Clients sind folgende Einträge zu finden; der NPS meldet zum Zeitpunkt der Anmeldung keine Einträge, es ist also ein Client-Problem:
The certficate for network authentication could not be found.
Event 12013 > EAP-Error: 0x80420014, EAP-Reason: 0x80420100
Event 11006 > EAP-Error: 0x80420014
Event 8002
Ich habe bereits die Verteilung des Zertifikats überprüft und testweise vom Client gelöscht und eine neue Anforderung gestellt, das Zertifikat wird sowohl für Computer, als auch Benutzer sofort richtig und neu ausgestellt.
Die "alten" Zertifikate habe ich dann als abgelaufen in der Zertifizierungsstelle gemeldet.
Weiter habe ich bereits die Vorlagen für die Zertifikate neu erstellt und auch das WLAN-AutoConfig Profil neu erstellt, ebenso die RADIUS-Konfiguration neu erstellt.
Die beiden Konfiguration (NPS, AutoConfig) habe ich bereits aus funktionierenden Sites exportiert, angepasst und importiert.
In der Regel benötige ich für so eine Konfiguration ca. 2 Stunden, gestern habe ich den ganzen Abend bereits mit Troubleshooting verbracht und komme nicht weiter.
Das Problem betrifft alle Clients, die Treiber sind aktualisiert, die Uhrzeit ist auch korrekt, das Netzwerk und auch die Internet-Optionen habe ich bereits zurückgesetzt.
Ich hoffe jemand von euch kann mir weiterhelfen, ich stehe jedenfalls momentan an und habe keine Idee mehr.
Danke
LG
Lukas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3111445387
Url: https://administrator.de/contentid/3111445387
Printed on: April 27, 2024 at 10:04 o'clock
13 Comments
Latest comment
über rsop.msc am Client habe ich bereits die Richtlinien-Verteilung geprüft, das ist auch alles korrekt.
Auf den Clients habe ich überall Windows 10 x64 22H2 - die CU Stände ist unterschiedlich - aber auch welche mit 2023-10 - an dem liegt es also mMn. auch nicht.
Moin,
wenn ich dein Problem richtig verstehe, dann wird via RADIUS eine Wifi-Verbindung nach dem User-Login mit dem AD-User-Zertifikat durchgeführt aber eine vor der Anmeldung mit Computer-Zertifikat nicht?
Scheint hier auch nach der Meldung aus dem Log ein Problem mit dem Computer-Zertifikat bzw. der Vorlage zu geben. Hast du eine vorhandene Vorlage verwendet oder eine angepasste? Ich habe eine angepasste Vorlage mit zusätzlich diesen Werten:
wenn ich dein Problem richtig verstehe, dann wird via RADIUS eine Wifi-Verbindung nach dem User-Login mit dem AD-User-Zertifikat durchgeführt aber eine vor der Anmeldung mit Computer-Zertifikat nicht?
Scheint hier auch nach der Meldung aus dem Log ein Problem mit dem Computer-Zertifikat bzw. der Vorlage zu geben. Hast du eine vorhandene Vorlage verwendet oder eine angepasste? Ich habe eine angepasste Vorlage mit zusätzlich diesen Werten:
Hallo,
ich habe aus den Vorlagen Kopien erstellt und angepasst.
-) RAS- und IAS-Server > NPS Server Certificate
-) Benutzer > WiFi-Users
-) Computer > WiFi-Clients
Die einzelnen Einstellungen kann ich gerne teilen, muss nur schnell die Screenshots anfertigen.
Poste ich gleich.
Danke
ich habe aus den Vorlagen Kopien erstellt und angepasst.
-) RAS- und IAS-Server > NPS Server Certificate
-) Benutzer > WiFi-Users
-) Computer > WiFi-Clients
Die einzelnen Einstellungen kann ich gerne teilen, muss nur schnell die Screenshots anfertigen.
Poste ich gleich.
Danke
NPS Server Certificate:
WiFi-Clients (Computer):
WiFi-Users (Benutzer):
Und ja, du verstehst richtig, dass die Machine-Cert-Auth derzeit nicht arbeitet.
soweit ich sehen kann, ist der Unterschied zw. deiner Computer-Vorlage zu meiner, dass du Format des Antragstellernamens: DNS hast und auch nur DNS-Name angehakt ist. Probier vielleicht testweise meine Einstellungen aus mit einer separaten GPO für einen Testlaptop.
Es ist echt zum Mäuse melken:
https://community.spiceworks.com/topic/2359596-802-1x-using-group-policy ...
https://www.edugeek.net/forums/windows-10/190222-windows-10-1709-nps-wir ...
Ich habe es gefixt und werde das jetzt noch in die GPO für AutoConfig einbauen.
Habe das jetzt nur einmal lokal in die Registry gesetzt und neu gestartet > es war sofort, wie gewohnt, vor der Anmeldung verbunden.
https://community.spiceworks.com/topic/2359596-802-1x-using-group-policy ...
https://www.edugeek.net/forums/windows-10/190222-windows-10-1709-nps-wir ...
Ich habe es gefixt und werde das jetzt noch in die GPO für AutoConfig einbauen.
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet > EnableActiveProbing > 0
Habe das jetzt nur einmal lokal in die Registry gesetzt und neu gestartet > es war sofort, wie gewohnt, vor der Anmeldung verbunden.
Versteh mich bitte nicht falsch, aber welchen Sinn macht es beim Computer-Zertifikat die UPN mit einzubeziehen, die spielt da gar nicht mit.
Ja du hast Recht, UPN spielt keine Rolle. Was den Regkey angeht, nun ich habe weder eine solche Einstellung in der GPO noch die Einträge auf den Win 10/11 Maschinen und es funktioniert. Von daher ist es für mich nicht nachvollziehbar.
Für mich auch nicht und ich habe das, wie gesagt, bereits mehrmals überall gleich durchgezogen und dort das erste Mal Probleme gehabt - den RegKey kannte ich bis dahin auch nicht - ist jedenfalls gefixt und wird so dokumentiert.
Danke für deine Hilfe!
LG
Danke für deine Hilfe!
LG