westberliner
Goto Top

Windows NPS nach Umzug auf Server 2022 EventID 6273

Hallo Zusammen,

ich habe hier einen Zertifikatsserver + Radius auf einer W2012R2 Maschine am Laufen gehabt.

Nachdem ein Inplace-Upgrade nicht funktioniert hat, habe ich sowohl die Zertifizierungsstelle als auch den Radius anhand der gängigen Anleitungen auf einen w2022 umgezogen.

Der Host-Name hat sich geändert, den Registry-Wert habe ich angepasst.

Die Windows-Clients fressen die Änderung ohne größere Probleme.


Nur meine MDE-Geräte von Zebra wollen nicht. Ich habe zu jedem MDE ein Computer-Objekt in der AD, welches den DNS-Namen enthält. Da hat sich auch erstmal nichts geändert.

Hierbei wird die Event-ID 6273 Error Code 16 geworfen: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

IAS LOG: IAS_AUTH_FAILURE


screenshot1


Ich habe mal testweise das Zertifikat für ein Gerät komplett neu erstellt und am Gerät installiert, der Fehler bleibt der selbe. Es scheint, als würde das CA-Zert nicht passen, aber dies hatte ich von der alten Stelle exportiert und in die neue importiert.

Komme nicht dahinter. Hat jemand eine Idee?

Danke.

Content-ID: 32982891422

Url: https://administrator.de/forum/windows-nps-nach-umzug-auf-server-2022-eventid-6273-32982891422.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

LauneBaer
LauneBaer 02.11.2023 um 09:42:31 Uhr
Goto Top
Servus,

hast du das MDE (welches Modell?) mal zum Test auf Werkseinstellungen gesetzt und nochmal probiert?
Die zicken gerne mal rum...

Grüße
8030021182
8030021182 02.11.2023 aktualisiert um 10:02:50 Uhr
Goto Top
Hallo,
Schau doch mal hier rein, hatte das vor ein paar Tagen auch, nur einfach das Computer-Objekt erstellen reicht nicht, es muss schon richtig provisioniert sein wenn man Zertifikate verwendet
NPS 802.1x Radius Authentication with EAP-TLS and strong certificate mapping for non domain joined devices

Gruß Katrin
westberliner
westberliner 02.11.2023 um 10:33:17 Uhr
Goto Top
Hallo,

sind MC3300-Geräte. Es hat ja bis zum Umzug auch sauber funktioniert.

Ich habe mir die Anleitung mal angesehen, dort wird die ObjectID noch zusätzlich hinzugefügt - ich bekomme aber die Befehle mit meiner PowerShell nicht hin. Muss ich hier noch ein zusätzliches Modul oder so installieren?
8030021182
8030021182 02.11.2023 aktualisiert um 10:52:00 Uhr
Goto Top
Zitat von @westberliner:

Hallo,

sind MC3300-Geräte. Es hat ja bis zum Umzug auch sauber funktioniert.
Aber halt auf dem alten Server 😉
Ich habe mir die Anleitung mal angesehen, dort wird die ObjectID noch zusätzlich hinzugefügt - ich bekomme aber die Befehle mit meiner PowerShell nicht hin. Muss ich hier noch ein zusätzliches Modul oder so installieren?
Klappt hier mit installiertem ActiveDirectory Modul im Test problemlos.

Ohne Fehlermeldung wird dir da hier wohl keiner helfen ...
westberliner
westberliner 02.11.2023 um 11:04:29 Uhr
Goto Top
Es tut mir leid, aber ich bin gerade scheinbar zu blöde dafür.

Ich mach ein Import-Module ActiveDirectory - das lädt er auch, danach führ ich den Befehl aus um die SID zu erhalten aber bekomme, dass der Get-Befehl nicht erkannt wird....
8030021182
8030021182 02.11.2023 aktualisiert um 11:12:00 Uhr
Goto Top
Zitat von @westberliner:

Es tut mir leid, aber ich bin gerade scheinbar zu blöde dafür.

Ich mach ein Import-Module ActiveDirectory - das lädt er auch, danach führ ich den Befehl aus um die SID zu erhalten aber bekomme, dass der Get-Befehl nicht erkannt wird....

Öhm, du musst die Funktion die auf der Seite aufgeführt ist ja erst mal in die Konsole Kopieren und ausführen damit sie verfügbar wird ... Die Funktion ist ja kein Bestandteil des AD-Moduls sondern vom Beitragsersteller erstellt worden ... 🧐

Und nicht vergessen das Computer-Konto mit djoin zu provisionieren denn sonst klappt es nicht mit der SID.
westberliner
westberliner 02.11.2023 um 11:16:59 Uhr
Goto Top
So, habe jetzt das Zertifikat mit der OID ausgestellt, auf dem Gerät installiert, die Fehlermeldung bleibt die Gleiche wie im Eingangspost.
8030021182
8030021182 02.11.2023 aktualisiert um 11:34:51 Uhr
Goto Top
Beachte den wichtigen Hinweis im Beitrag wie man das Computer-Konto erstellen muss. Den Fehler habe ich am Anfang auch gemacht, nur das Konto regulrär anlegen reicht nicht, musst du mit djoin machen sonst kommt nämlich genau diese Fehlermeldung!
westberliner
westberliner 02.11.2023 um 12:01:10 Uhr
Goto Top
Habe jetzt ein neues Computerobjekt und Zertifikat nach Anleitung erstellt.

Ich Importiere am Zebra das Clientzertifikat. Hier muss ich folgendes auswählen:

Client-Zertifikat - mein ausgestelltes
CA-Zertifikat - hier wähle ich auch mein ausgestelltes, das sollte die CA beinhalten.

Dann bekomme ich einen Fehler am NPS:
Ursachencode: 265
Ursache: Die Zertifikatskette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.

Füge ich mein CA-Zertifikat manuell hinzu, dann kommt der gleiche Fehler.

Wähle ich bei CA-Zertifikat: nicht validieren, dann funktioniert die Verbindung nur mit dem Client Zertifikat.
8030021182
8030021182 02.11.2023 aktualisiert um 12:04:37 Uhr
Goto Top
CA-Zertifikat - hier wähle ich auch mein ausgestelltes, das sollte die CA beinhalten.
Nein, exportiere stattdessen ausschließlich das Zertifikat der CA und nutze nicht das Client-Cert! Ein Client-Cert ist kein CA Cert.
westberliner
westberliner 02.11.2023 um 12:12:26 Uhr
Goto Top
Auch in dem Fall bekomme ich keine Verbindung hin mit dem Hinweis, das Zertifikat ist von einer nicht vertrauenswürdigen CA.
8030021182
8030021182 02.11.2023 aktualisiert um 12:58:31 Uhr
Goto Top
Dann wurde die CA nicht vollständig umgezogen, und der CA wird nicht vertraut.
Ist das richtige Server-Cert im NPS in der Policy hinterlegt?
westberliner
westberliner 02.11.2023 um 13:04:59 Uhr
Goto Top
Ja, irgendwas läuft da quer. Ich habe selbst der CA ein komplett neues Zertifikat ausgestellt über den Erneuern-Dialog und das ist auch korrekt in den Richtlinien hinterlegt. Im Client-Zertifikat ist auch diese Root-CA korrekt drin.
westberliner
westberliner 02.11.2023 um 13:57:28 Uhr
Goto Top
Ich überlege schon, ob ich die neue CA nicht wieder lösche und eine neue aufsetze mit dem gleichen Namen und da das Backup wiederherstelle....wird vermutlich einfacher gehen, als weitere Fehlersuche.
westberliner
Lösung westberliner 03.11.2023 um 11:33:29 Uhr
Goto Top
Ich habe gestern eine neue VM aufgesetzt, die alten Server korrekt aus der Domäne genommen und dem neuen Server den gleichen Namen gegeben und Backups wieder eingespielt. Nun läufts, aber die Zertifikate für die Scanner muss ich dennoch manuell neu ausstellen. Kein Hexenwerk, nur bisschen manueller Aufwand.