Jump to content

NPS Fehlermeldung bei der Authentifizierung mit Zertifikaten

svengemen

Von svengemen
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

svengemen Rookie

svengemen   10

Geschrieben
Geschrieben

Hallo,

 

 

 

wir sind dabei ein WLAN Netz zu integrieren. Folgende Konstellation ist vorhanden

 

DC 4 Server 2008 Ent

 

DC 2 Server 2008 Std.

 

DC 3 Server 2008 Std.

 

Radius Server 2008 R2 Ent

 

Offline CA 2008 R2 Std.

 

Unternehmens CA Server 2008 R2 Ent (incl. Webregistrierung nur im internenen Netzwerk erreichbar)

 

Zertifikate wurden für Computer und User bereits ausgestellt. Ich erhalte nun in Eventlog des Radius Servers folgende Meldung und kann mich nicht einwählen:

 

siehe Fehlerprotokoll im Anhang

 

 

Zuvor hatte ich alles in einer autarken Testumgebung (allerdings nur mit einem DC) und dort funktionierte alles. Ich habe beide Umgebungen bereits

 

abgelichen und konnte keine Abweichungen feststellen. Hätte jemand noch einen Tipp für mich?

 

 

 

Danke

 

Gruß

fehlerprotokoll.txt

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben

Im Fehlerprotokoll steht: "Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war." Daraus ergeht, dass bei der Zertifikatsprüfung kein Zugriff auf die Zertifikatssperrliste besteht.

 

Wahrscheinliche Ursache ist die Konfiguration der PKI-Infrastruktur mit Offline-CA und untergeordneter ausstellender CA. Was mir aus der Ferne an möglichen Gründen und Hinweisen spontan einfällt:

 

- Publizierungsintervall für Sperrlisten der Offline CA ist zu kurz;

 

- die Veröffentlichungspfade für Sperrlisten der Offline CA und/oder deren Reihenfolge wurden in den Eigenschaften der Offline CA nicht angepasst (Timeout nach max. 20 Sekunden, erster Pfad wird während 15 Sekunden versucht, dann folgt der zweite Pfad, der dritte wird nicht mehr versucht; LDAP-Veröffentlichungspfad kann/muss bei einer Offline CA ohnehin gelöscht werden);

 

- Offline CA ist Domänenmitglied (sollte alleinstehend konfiguriert sein und mit dem restlichen Netzwerk nie in Berührung kommen -> NIC deaktivieren, Zertifizierungsanforderung der ausstellenden CA, Sperrliste und ausgestelltes Zertifikat der Offline CA für die untergeordnete CA per USB/Floppy transportieren).

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...