PCs scheitern am WLAN, Smartphones nicht

[h3adbang3r.de]

Ahoi,

ich habe ein etwas anderes Problem und weiß nicht wo ich suchen soll.

Erstmal die Eckdaten:

3x AccessPoints (AP)
1x Windows Server 2008

Die Sicherheit ist auf WPA mit TKIP gesetzt. Die AP reichen die Verbindungsanfrage als Radius-Client direkt an den Windows Server 2008 durch und dieser prüft mittels Netzwerkrichtlinie gegen das ActiveDirectory ob die LoginDaten korrekt sind und der Zugang erlaubt ist.

Jetzt zu meinem Problem.
Ein Login mittels Smartphone (getestet mit Android (2.3.6 und 4.0.3) sowie iOS) klappt problemlos.

Der Netzwerkrichtlinienserver gewährte einem Benutzer Zugriff.

Benutzer:
Sicherheits-ID: BLUELIGHTS\******
Kontoname: *****
Kontodomäne: BLUELIGHTS
Vollqualifizierter Kontoname: BLUELIGHTS\*****

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfangs-ID: MAC-Server
Anrufer-ID: d4206d0ce403

NAS:
NAS-IPv4-Adresse: 192.168.2.248
NAS-IPv6-Adresse: -
NAS-ID: MAC-Server
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 43

RADIUS-Client:
Clientname: AP_Schulungsraum
Client-IP-Adresse: 192.168.2.248

Authentifizierungsdetails:
Proxyrichtlinienname: WLAN_FF6320
Netzwerkrichtlinienname: WLAN_FF6320
Authentifizierungsanbieter: Windows
Authentifizierungsserver: FF6320.bluelights.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
Kontositzungs-ID: -

Quarantäneinformationen:
Ergebnis: Vollzugriff
Sitzungs-ID: -

Nehme ich jetzt einen PC (gestetet mit Windows 7 und Windows XP SP3) wird der Zugriff verweigert.

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: BLUELIGHTS\*****
Kontoname: *****
Kontodomäne: BLUELIGHTS
Vollqualifizierter Kontoname: BLUELIGHTS\*****

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfangs-ID: MAC-Server
Anrufer-ID: 0012f02f2369

NAS:
NAS-IPv4-Adresse: 192.168.2.248
NAS-IPv6-Adresse: -
NAS-ID: MAC-Server
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 37

RADIUS-Client:
Clientname: AP_Schulungsraum
Client-IP-Adresse: 192.168.2.248

Authentifizierungsdetails:
Proxyrichtlinienname: WLAN_FF6320
Netzwerkrichtlinienname: WLAN_FF6320
Authentifizierungsanbieter: Windows
Authentifizierungsserver: FF6320.bluelights.local
Authentifizierungstyp: PEAP
EAP-Typ: -
Kontositzungs-ID: -
Begründungscode: 266
Grund: Das Format der empfangenen Nachricht war unerwartet oder fehlerhaft.

Google war bisher alles andere als hilfreich, weshalb ich mich nun an Euch wende.

 

[HighTech-Freak]

http://www.administrator.de/forum/IAS-Server-113195.html
Das hat nicht geholfen?

WZC bzw. auch Windows VPN-Client sind beide etwas frickelig...

MfG, Thomas

 

[h3adbang3r.de]

Nein,

zum einen habe ich kein alternatives Tool, sondern nur Windows-Boardmittel, und zum anderen hab ich das Problem mit Windows XP (SP3) und Windows 7. Wenn es nur XP wäre, würde ich sagen "Ok, liegt am OS", da es aber beide betrifft, bzw. sogar Win7, Win XP und Win Vista, ist es schon etwas komisch.

Es hat ja auch bis vor ein paar Tagen (17.04. 07:54:42) funktioniert.

Der Netzwerkrichtlinienserver hat einem Benutzer Vollzugriff erteilt, da der Host die Integritätsrichtlinien erfüllt.

Benutzer:
Sicherheits-ID: BLUELIGHTS\*****
Kontoname: *****
Kontodomäne: BLUELIGHTS
Vollqualifizierter Kontoname: BLUELIGHTS\*****

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfangs-ID: MAC-Server
Anrufer-ID: 74de2b87e0a4

NAS:
NAS-IPv4-Adresse: 192.168.2.248
NAS-IPv6-Adresse: -
NAS-ID: MAC-Server
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 3

RADIUS-Client:
Clientname: AP_Schulungsraum
Client-IP-Adresse: 192.168.2.248

Authentifizierungsdetails:
Proxyrichtlinienname: WLAN_FF6320
Netzwerkrichtlinienname: WLAN_FF6320
Authentifizierungsanbieter: Windows
Authentifizierungsserver: FF6320.bluelights.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
Kontositzungs-ID: -

Quarantäneinformationen:
Ergebnis: Vollzugriff
Erweitertes Ergebnis: -
Sitzungs-ID: -
Hilfe-URL: -
Verifizierungsergebnis(se) der Systemintegrität: -

Ich habe keine Ahnung wo ich jetzt noch suchen könnte.

 

[g30rg]

Ich habe exakt das gleiche Problem. Ich habe das neueste Server Update eingespielt inkl. dem Update der Stammzertifikate. Du auch?

 

[h3adbang3r.de]

Ich mache meine Updates mittels WSUS, es sollten alle drauf sein. ATM haben sich die Kameraden mit Notebook damit abgefunden das sie ausgesperrt sind.
Wie gesagt, alle mobilen Systeme (Android 2.3.x und 4.x, iOS, Blackberry als auch WindowsPhone 7 und 8) laufen, ausser ebend Windows Desktop.

Ich teste es aber die Tage noch einmal.

 

[g30rg]

Die Lösung ist in http://support.microsoft.com/kb/2464556/de zu finden.

Ich habe Option 3 aus dem Artikel gewählt und folgendes in die Server-Registry eingetragen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Wertname: SendTrustedIssuerList
Werttyp: REG_DWORD
Wert: 0 (falsch)

Nach einem Restart der relevanten Dienste funktioniert wieder alles.