none
NPS/Radius User/Passwort Authentifizierung WLAN schlägt fehl RRS feed

  • Frage

  • Hi

    aktuell habe ich das Problem das bei einigen Benutzern die Radius Authentifizierung des WLANS mit Benutzer/Passwort fehl schlägt.

    Eventlog sagt dazu folgendes:

    Name der Verbindungsanforderungsrichtlinie: XXXXXX
    Netzwerkrichtlinienname: -
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: RADIUS.domain.net
    Authentifizierungstyp: EAP
    EAP-Typ: -
    Kontositzungs-ID: 424344344333324544XXXXXXXXX
    Ursachencode: 2
    Ursache: Es liegen keine ausreichenden Zugriffsrechte vor, um diese Anforderung verarbeiten zu können.

    Bei den Usern bei denen es funktioniert  sieht das Eventlog wie folge aus

    Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie: XXXXXX
    Netzwerkrichtlinienname: XXXXXX
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: RADIUS.domain.net
    Authentifizierungstyp: PEAP
    EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
    Kontositzungs-ID: 3433413033343xxxxx

    Einziger Unterschied den ich bisher festgestellt habe, ist das bei den Usern bei denen es nicht funktioniert, ein User-Zertifikat in der AD hinterlegt ist.
    Dieses habe ich aus der AD entfernt, da es nur für Tests angefordert wurde, jedoch hatte dies keine Auswirkung.

    Auch ist das Verhalten zwischen verschiedenen WLAN-AP-Hersteller identisch.

    Anbei noch die Netzwerkverbindungsrichtlinie die greifen sollte

    

    Habt Ihr eine Idee?

    Mittwoch, 20. November 2019 10:57

Antworten

  • Hi,

    konnte das Problem finden und beheben!

    Basis:

    User Accounts werden mit Copy und Paste angelegt.
    Einer dieser Quell-Accounts war irgendwann mal Administrator in der AD.
    Das Recht wurde Ihm genommen, aber die Auswirkungen sind bei jedem neuen User mitkopiert worden.

    Lösung:

    Bei den betroffenen Accounts hatte:

    - durch den Umstand das bei Admin-Accounts die Vererbung deaktiviert wird
    - nach entfernen des Admin-Rechts diese auch nicht wieder sauber funktioniert/hinzugefügt wird

    der RAS- und IAS-Server keine Berechtigung auf das User-Objekt.

    Nach dem bei den betroffenen Usern unter Sicherheit --> Erweitert "Standard wiederhestellen" ausgeführt wurde, konnten sich die betroffenen User wieder am Radius Authentifizieren.

    Aufmerksam bin ich auf das Problem geworden da bei den Usern in den AD-Attributen der Wert "admincount =0" gesetzt war.
    Siehe auch hier:

    https://www.msxfaq.de/konzepte/adminsdholder.htm


    Gruß

    Para


    • Als Antwort markiert Para el Mundo Freitag, 29. November 2019 10:10
    Freitag, 29. November 2019 10:10

Alle Antworten

  • Hi,

    es betrifft nicht nur User mit meinem User-Zertifikat.

    Je älter der User-Account ist, desto Wahrscheinlicher ist das auftreten.

    Montag, 25. November 2019 09:47
  • Hi,

    konnte das Problem finden und beheben!

    Basis:

    User Accounts werden mit Copy und Paste angelegt.
    Einer dieser Quell-Accounts war irgendwann mal Administrator in der AD.
    Das Recht wurde Ihm genommen, aber die Auswirkungen sind bei jedem neuen User mitkopiert worden.

    Lösung:

    Bei den betroffenen Accounts hatte:

    - durch den Umstand das bei Admin-Accounts die Vererbung deaktiviert wird
    - nach entfernen des Admin-Rechts diese auch nicht wieder sauber funktioniert/hinzugefügt wird

    der RAS- und IAS-Server keine Berechtigung auf das User-Objekt.

    Nach dem bei den betroffenen Usern unter Sicherheit --> Erweitert "Standard wiederhestellen" ausgeführt wurde, konnten sich die betroffenen User wieder am Radius Authentifizieren.

    Aufmerksam bin ich auf das Problem geworden da bei den Usern in den AD-Attributen der Wert "admincount =0" gesetzt war.
    Siehe auch hier:

    https://www.msxfaq.de/konzepte/adminsdholder.htm


    Gruß

    Para


    • Als Antwort markiert Para el Mundo Freitag, 29. November 2019 10:10
    Freitag, 29. November 2019 10:10