802.11/Zertifikat/IAS funktioniert nicht mehr

Anmeldungsdatum: 12.11.2010 Beiträge: 3

Moin,

die im Topic gennante Authentifizierung funktioniert bei uns seit heute nicht mehr. Es wurde nichts verändert und es gab keine Updates. Ich habe mich auch an die Lancom-Anleitung gehalten: http://www2.lancom.de/kb.nsf/b8f10fe5665f9...enDocument

Das Client-Zertifikat wurde mit selfssl erstellt und eigentlich hat es wunderbar funktioniert - bis heute. Das Zertifikat ist gültig. Was könnte der Grund sein, dass es von heute auf morgen nicht funktioniert? Der IAS sagt folgendes (AP ist ein LANCOM L-321agn Wireless):

Code:

Ereignistyp: Warnung
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 2
Datum:    12.11.2010
Zeit:    13:28:29
Benutzer:    Nicht zutreffend
Computer: IASSERVER
Beschreibung:
Benutzer "host/NBSCHUL06.domäne.de" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = Domäne\NBSCHUL06$
NAS-IP-Adresse = 10.230.16.165
NAS-Kennung = AP3
Kennung der Anrufstation = 00-A0-57-16-90-91:SSIDWLAN2
Kennung der Empfängerstation = C4-46-19-60-08-CC
Clientanzeigename = Hörsaal
Client-IP-Adresse = 10.230.16.165
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = EAP
EAP-Typ = <unbestimmt>
Code = 48
Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 ....

Eigentlich sollte unten stehen (aus alten Logs):
Authentifizierungstyp = PEAP
EAP-Typ = Sicheres Kennwort (EAP-MSCHAP v2)

Hier ein Mitschnitt:

Code:

Frame: Number = 604, Captured Frame Length = 265, MediaType = ETHERNET
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[18-A9-05-70-06-C8],SourceAddress:[00-A0-57-16-7E-91]
+ Ipv4: Src = 10.230.16.165, Dest = 10.230.16.32, Next Protocol = UDP, Packet ID = 7653, Total IP Length = 251
+ Udp: SrcPort = 3072, DstPort = 1812, Length = 231
- Radius: Access Request, Id = 224, Length = 223
MessageType: Access Request, 1(0x01)
Identifier: 224 (0xE0)
AllLength: 223 (0xDF)
Authenticator: 70 38 1C 0E 07 23 B1 78 BC 5E 2F B7 7B 1D AE D7
- AttributeUserName: host/NBSCHUL06.domäne.de
Type: User Name, 1(0x1)
Length: 31 (0x1F)
UserName: host/NBSCHUL06.domäne.de
- AttributeServiceType: Framed, 2(0x2)
Type: Service Type, 6(0x6)
Length: 6 (0x6)
ServiceType: Framed, 2(0x2)
- AttributeNasIPAddress: 10.230.16.165
Type: NAS IP Address, 4(0x4)
Length: 6 (0x6)
NasIPAddress: 10.230.16.165
- AttributeNasPort: 1
Type: NAS Port, 5(0x5)
Length: 6 (0x6)
NasPort: 1 (0x1)
- AttributeNASPortID:
Type: NAS Port Id, 87(0x57)
Length: 3 (0x3)
NASPortID: Binary Large Object (1 Bytes)
- AttributeCalledStationID: 00-A0-57-16-90-91:SSIDWLAN2
Type: Called Station Id, 30(0x1e)
Length: 34 (0x22)
CalledStationID: 00-A0-57-16-90-91:SSIDWLAN2
- AttributeStationID: C4-46-19-60-08-CC
Type: Calling Station Id, 31(0x1f)
Length: 19 (0x13)
CallingStationID: C4-46-19-60-08-CC
- AttributeConnectInfo:
Type: Connect Info, 77(0x4d)
Length: 28 (0x1C)
ConnectInfo: Binary Large Object (26 Bytes)
- AttributeNASIdentifier: AP3
Type: NAS Identifier, 32(0x20)
Length: 10 (0xA)
NASIdentifier: CVUA_AP3
- AttributeRadiusNASPortType: Wireless - IEEE 802.11, 19(0x13)
Type: NAS Port Type, 61(0x3d)
Length: 6 (0x6)
NASPortType: Wireless - IEEE 802.11, 19(0x13)
- AttributeEAPMessage:
Type: EAP Message, 79(0x4f)
Length: 36 (0x24)
- AttributeMessageAuthenticator:
Type: Message Authenticator, 80(0x50)
Length: 18 (0x12)
MessageAuthenticator: Binary Large Object (16 Bytes)
- EAPMessage: Response, Type = Identity
Code: Response, 2(0x2)
Identifier: 1 (0x1)
Length: 34 bytes
Type: Identity, 1(0x1)
IdentityData: host/NBSCHUL06.domäne.de

Und hier die Antwort vom IAS:

Code:

Frame: Number = 632, Captured Frame Length = 62, MediaType = ETHERNET
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-A0-57-16-7E-91],SourceAddress:[18-A9-05-70-06-C8]
+ Ipv4: Src = 10.230.16.32, Dest = 10.230.16.165, Next Protocol = UDP, Packet ID = 19453, Total IP Length = 48
+ Udp: SrcPort = 1812, DstPort = 3072, Length = 28
- Radius: Access Reject, Id = 224, Length = 20
MessageType: Access Reject, 3(0x03)
Identifier: 224 (0xE0)
AllLength: 20 (0x14)
Authenticator: B1 59 39 FE 37 25 A5 5F 03 0D B8 B3 78 2E 31 DC

Wie gesagt, es wurde nichts verändert. Die Einstellungen und das Zertifikat kommen über die GPOs. rsop.msc zeigt alles richtig an und das Zertifikat ist auf dem Client an der richtigen Stelle installiert.

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

ich kenne mich mit dem IAS nicht aus, aber so wie ich das lese, hat das mit Zertifikaten gar nichts
zu tun, weil die 1x-Verhandlung direkt mit dem allerersten Identity-Response beendet wird.
Und so wie ich die Fehlermeldung vom IAS lese, hat der Benutzername 'host/NBSCHUL06.domäne.de'
nicht die erforderlichen Rechte. D.h., entweder hat doch jemand etwas an den Benutzerkonten auf
dem IAS geändert oder am Client/Notebook wurde etwas umkonfiguriert. Irgendetwas mit Host-
versus Benutzerauthentisierung? Und der Slash anstelle eines Backslashs zur Abtrennung der
Domäne kommt mir zumindest merkwürdig vor.

Gruß Alfred

Anmeldungsdatum: 12.11.2010 Beiträge: 3

Heute ist Freitag, hat wieder nicht funktioniert. Also habe ich mir die RAS-Richtlinie bzw. die Tageszeitbeschränkungen angeschaut. Diese waren auf Mo-Fr 6-22 Uhr eingestellt. Erst, als ich auf Samstag erweitert habe, hat es wieder funktioniert. Ich checke es nicht so ganz Sad

Anmeldungsdatum: 12.11.2010 Beiträge: 3

Ein Kollege meinte, bei den Tageszeitbeschränkungen zeigt Windows zwar das deutsche System an, benutzt aber in Wirklichkeit das englische. Könnte einiges erklären Very Happy