NPS mit Zertifikaten failed nach Migration 2008R2 -> 2012R2

[nic7575 13]

Hi Zusammen,

 

ich habe meinen NPS mittels xml in einen neuen 2012R2 migriert.

 

Ein erster Test ergibt, dass Authentication mit Benutzername und Kennwort für das WLAN mit der SSID (MOBILEDEVICE) funktioniert.

 

Bei der Authentifizierung mit Zertifikaten in ein brigded WLAN schlägt hingegen mit der ID6273 Reason 16 fehl.

 

Das Symptom ist interessant. Schalte ich wieder auf den 2008R2 als Radius um geht sofort alles.

 

Zertifikate etc sind alle gültig. Gibt es hier einen bekannten Fehler ?

 

 

Gruß

 

Nicolas

bearbeitet 8. April 2015 von nic7575

[nic7575 13]

Ich habe mittlerweile nochmal auf einen anderen 2008R2 geschwenkt. Auch hier gibt es keine Probleme:

 

Der Netzwerkrichtlinienserver hat einem Benutzer Vollzugriff erteilt, da der Host die Integritätsrichtlinien erfüllt.

 

Benutzer:

Sicherheits-ID: DOMAIN\NBNIC$

Kontoname: host/NBNIC.domain.local

Kontodomäne: DOMAIN

Vollqualifizierter Kontoname: DOMAIN\NBNIC$

 

Clientcomputer:

Sicherheits-ID: NULL SID

Kontoname: -

Vollqualifizierter Kontoname: -

Betriebssystemversion: -

Empfangs-ID: 00-1A-8C-28-5B-80:Zargari

Anrufer-ID: 24-77-03-30-4C-48

 

NAS:

NAS-IPv4-Adresse: -

NAS-IPv6-Adresse: -

NAS-ID: Zargari

NAS-Porttyp: Drahtlos - IEEE 802.11

NAS-Port: 2

 

RADIUS-Client:

Clientanzeigename: Sophos UTM

Client-IP-Adresse: 192.168.50.253

 

Authentifizierungsdetails:

Name der Verbindungsanforderungsrichtline: WLAN

Netzwerkrichtlinienname: Zargari

Authentifizierungsanbieter: Windows

Authentifizierungsserver: PFERD.domain.local

Authentifizierungstyp: EAP

EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat

Kontositzungs-ID: -

 

Quarantäneinformationen:

Ergebnis: Vollzugriff

Erweitertes Ergebnis: -

Sitzungs-ID: -

Hilfe-URL: -

Verifizierungsergebnis(se) der Systemintegrität: -

 

 

Hingegen der 2012R2 weigert sich strikt:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

 

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

 

Benutzer:

Sicherheits-ID: NULL SID

Kontoname: host/NBNIC.domain.local

Kontodomäne: DOMAIN

Vollqualifizierter Kontoname: DOMAIN\NBNIC$

 

Clientcomputer:

Sicherheits-ID: NULL SID

Kontoname: -

Vollqualifizierter Kontoname: -

Betriebssystemversion: -

Empfänger-ID: 00-1A-8C-28-5B-84:Zargari Mobile

Anrufer-ID: 24-77-03-30-4C-48

 

NAS:

NAS-IPv4-Adresse: -

NAS-IPv6-Adresse: -

NAS-ID: Zargari Mobile

NAS-Porttyp: Funk (IEEE 802.11)

NAS-Port: 2

 

RADIUS-Client:

Clientanzeigenname: UTM

Client-IP-Adresse: 192.168.50.253

 

Authentifizierungsdetails:

Name der Verbindungsanforderungsrichtlinie: WLAN

Netzwerkrichtlinienname: -

Authentifizierungsanbieter: Windows

Authentifizierungsserver: DOMAINDC.domain.local

Authentifizierungstyp: EAP

EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat

Kontositzungs-ID: -

Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Ursachencode: 16

Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

 

Unterscheid scheint hier NULL SID zu sein. Bin etwas ratlos ..... hat jemand eine Idee ?

bearbeitet 8. April 2015 von nic7575

[nic7575 13]

Niemand eine Idee ?

[Dunkelmann 96]

Moin,

 

nur mit den Fehlermeldungen lässt sich leider nicht viel anfangen.

Meine Migration per Ex- und Import der NPS Konfiguration lief ohne Probleme, so dass es wohl kein generelles Problem ist.

 

Scheinbar nutzt Du eine UTM. Ist eine aktuelle FW installiert?

Das NPS Log gibt etwas mehr Informationen als das Eventlog.

https://technet.microsoft.com/de-de/library/ee663944%28v=ws.10%29.aspx

https://technet.microsoft.com/de-de/library/cc753898%28v=ws.10%29.aspx

 

Der MS Netzwerkmonitor auf dem NPS kann hilfreich sein.