802.11/Zertifikat/IAS funktioniert nicht mehr

[Reisender0815]

Moin,

die im Topic gennante Authentifizierung funktioniert bei uns seit heute nicht mehr. Es wurde nichts verändert und es gab keine Updates. Ich habe mich auch an die Lancom-Anleitung gehalten: http://www2.lancom.de/kb.nsf/b8f10fe566 ... enDocument

Das Client-Zertifikat wurde mit selfssl erstellt und eigentlich hat es wunderbar funktioniert - bis heute. Das Zertifikat ist gültig. Was könnte der Grund sein, dass es von heute auf morgen nicht funktioniert? Der IAS sagt folgendes (AP ist ein LANCOM L-321agn Wireless):

Code: Alles auswählen

Ereignistyp:	Warnung
Ereignisquelle:	IAS
Ereigniskategorie:	Keine
Ereigniskennung:	2
Datum:		12.11.2010
Zeit:		13:28:29
Benutzer:		Nicht zutreffend
Computer:	IASSERVER
Beschreibung:
Benutzer "host/NBSCHUL06.domäne.de" wurde Zugriff verweigert.
 Vollqualifizierter Benutzername = Domäne\NBSCHUL06$
 NAS-IP-Adresse = 10.230.16.165
 NAS-Kennung = AP3
 Kennung der Anrufstation = 00-A0-57-16-90-91:SSIDWLAN2
 Kennung der Empfängerstation = C4-46-19-60-08-CC
 Clientanzeigename = Hörsaal
 Client-IP-Adresse = 10.230.16.165
 NAS-Porttyp = Wireless - IEEE 802.11
 NAS-Port = 1
 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
 Authentifizierungsanbieter = Windows 
 Authentifizierungsserver = <unbestimmt> 
 Richtlinien-Name = <unbestimmt> 
 Authentifizierungstyp = EAP
 EAP-Typ = <unbestimmt> 
 Code = 48
 Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00               ....  

Eigentlich sollte unten stehen (aus alten Logs):
Authentifizierungstyp = PEAP
EAP-Typ = Sicheres Kennwort (EAP-MSCHAP v2)

Hier ein Mitschnitt:

Code: Alles auswählen

  Frame: Number = 604, Captured Frame Length = 265, MediaType = ETHERNET 
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[18-A9-05-70-06-C8],SourceAddress:[00-A0-57-16-7E-91]
+ Ipv4: Src = 10.230.16.165, Dest = 10.230.16.32, Next Protocol = UDP, Packet ID = 7653, Total IP Length = 251
+ Udp: SrcPort = 3072, DstPort = 1812, Length = 231
- Radius: Access Request, Id = 224, Length = 223
    MessageType: Access Request, 1(0x01)
    Identifier: 224 (0xE0)
    AllLength: 223 (0xDF)
    Authenticator: 70 38 1C 0E  07 23 B1 78  BC 5E 2F B7  7B 1D AE D7
  - AttributeUserName: host/NBSCHUL06.domäne.de
     Type: User Name, 1(0x1)
     Length: 31 (0x1F)
     UserName: host/NBSCHUL06.domäne.de
  - AttributeServiceType: Framed, 2(0x2)
     Type: Service Type, 6(0x6)
     Length: 6 (0x6)
     ServiceType: Framed, 2(0x2)
  - AttributeNasIPAddress: 10.230.16.165
     Type: NAS IP Address, 4(0x4)
     Length: 6 (0x6)
     NasIPAddress: 10.230.16.165
  - AttributeNasPort: 1
     Type: NAS Port, 5(0x5)
     Length: 6 (0x6)
     NasPort: 1 (0x1)
  - AttributeNASPortID: 
     Type: NAS Port Id, 87(0x57)
     Length: 3 (0x3)
     NASPortID: Binary Large Object (1 Bytes)
  - AttributeCalledStationID: 00-A0-57-16-90-91:SSIDWLAN2
     Type: Called Station Id, 30(0x1e)
     Length: 34 (0x22)
     CalledStationID: 00-A0-57-16-90-91:SSIDWLAN2
  - AttributeStationID: C4-46-19-60-08-CC
     Type: Calling Station Id, 31(0x1f)
     Length: 19 (0x13)
     CallingStationID: C4-46-19-60-08-CC
  - AttributeConnectInfo: 
     Type: Connect Info, 77(0x4d)
     Length: 28 (0x1C)
     ConnectInfo: Binary Large Object (26 Bytes)
  - AttributeNASIdentifier: AP3
     Type: NAS Identifier, 32(0x20)
     Length: 10 (0xA)
     NASIdentifier: CVUA_AP3
  - AttributeRadiusNASPortType: Wireless - IEEE 802.11, 19(0x13)
     Type: NAS Port Type, 61(0x3d)
     Length: 6 (0x6)
     NASPortType: Wireless - IEEE 802.11, 19(0x13)
  - AttributeEAPMessage: 
     Type: EAP Message, 79(0x4f)
     Length: 36 (0x24)
  - AttributeMessageAuthenticator: 
     Type: Message Authenticator, 80(0x50)
     Length: 18 (0x12)
     MessageAuthenticator: Binary Large Object (16 Bytes)
- EAPMessage: Response, Type = Identity
    Code: Response, 2(0x2)
    Identifier: 1 (0x1)
    Length: 34 bytes
    Type: Identity, 1(0x1)
    IdentityData: host/NBSCHUL06.domäne.de

Und hier die Antwort vom IAS:

Code: Alles auswählen

  Frame: Number = 632, Captured Frame Length = 62, MediaType = ETHERNET 
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-A0-57-16-7E-91],SourceAddress:[18-A9-05-70-06-C8]
+ Ipv4: Src = 10.230.16.32, Dest = 10.230.16.165, Next Protocol = UDP, Packet ID = 19453, Total IP Length = 48
+ Udp: SrcPort = 1812, DstPort = 3072, Length = 28
- Radius: Access Reject, Id = 224, Length = 20
    MessageType: Access Reject, 3(0x03)
    Identifier: 224 (0xE0)
    AllLength: 20 (0x14)
    Authenticator: B1 59 39 FE  37 25 A5 5F  03 0D B8 B3  78 2E 31 DC

Wie gesagt, es wurde nichts verändert. Die Einstellungen und das Zertifikat kommen über die GPOs. rsop.msc zeigt alles richtig an und das Zertifikat ist auf dem Client an der richtigen Stelle installiert.

[alf29]

Moin,

ich kenne mich mit dem IAS nicht aus, aber so wie ich das lese, hat das mit Zertifikaten gar nichts
zu tun, weil die 1x-Verhandlung direkt mit dem allerersten Identity-Response beendet wird.
Und so wie ich die Fehlermeldung vom IAS lese, hat der Benutzername 'host/NBSCHUL06.domäne.de'
nicht die erforderlichen Rechte. D.h., entweder hat doch jemand etwas an den Benutzerkonten auf
dem IAS geändert oder am Client/Notebook wurde etwas umkonfiguriert. Irgendetwas mit Host-
versus Benutzerauthentisierung? Und der Slash anstelle eines Backslashs zur Abtrennung der
Domäne kommt mir zumindest merkwürdig vor.

Gruß Alfred

[Reisender0815]

Heute ist Freitag, hat wieder nicht funktioniert. Also habe ich mir die RAS-Richtlinie bzw. die Tageszeitbeschränkungen angeschaut. Diese waren auf Mo-Fr 6-22 Uhr eingestellt. Erst, als ich auf Samstag erweitert habe, hat es wieder funktioniert. Ich checke es nicht so ganz

[Reisender0815]

Ein Kollege meinte, bei den Tageszeitbeschränkungen zeigt Windows zwar das deutsche System an, benutzt aber in Wirklichkeit das englische. Könnte einiges erklären