Logo faq-o-matic.net
Logo faq-o-matic.net

WLAN-Verbindungsausfall nach Windows-Updates auf NPS-Server

20 Dez 2012
von veröffentlicht am20. Dezember 2012, 06:56 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Windows Server 2008 R2   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Ein Microsoft Network Policy Server kann unter anderem dafür eingesetzt werden, um WLAN-Clients einen Zugang zu ermöglichen, bei denen die Authentifizierung über Client-Zertifikate abgewickelt wird. Der Server schickt dem Client eine Liste der vertrauenswürdigen Stammzertifikate, denen der Server vertraut. Der Client überprüft die Liste seiner Zertifikate und sendet dem Server dann ein Zertifikat, das von einer Zertifizierungsstelle aus dieser Liste (bzw. einer entsprechenden Sub-CA) ausgestellt wurde.

Nun schickt Microsoft mit den Updates ab und zu auch mal ein Update der Stammzertifizierungsstellen raus (z.B. KB931125). Das führte bei einem Kunden zu einem interessanten Fehler auf dem Network Policy Server.

Nach dem Einspielen des Updates und einem Reboot konnten die Clients keine Verbindung mehr zum WLAN aufbauen. Auf dem Network Policy Server gab es sehr viele Fehlermeldungen mit der Quelle "SChannel". Schaute man genauer hin, sah man eine Warnung mit derselben Quelle (Event-ID 36885). Diese Warnung führte uns dann zur Lösung. Im Internet gab es einige Artikel dazu; auch Microsoft hat einen KB-Artikel dazu. In dem Microsoft-Artikel wird auch erklärt, wo der Fehler liegt: die Größe der Liste, die der Server zurückliefert, ist auf 12.228 Bytes begrenzt. Ist die Liste größer, dann schneidet der Server einen Teil ab und sendet die modifizierte Liste an den Client. Das führt dann natürlich zu einem Problem, wenn in dem abgeschnittenen Teil das Stammzertifikat der CA war, die das Client-Zertifikat herausgegeben hat.

Es gibt nun mehrere Lösungsvorschläge. In dem MS-Artikel wird auf einen Hotfix für Windows Server 2003 verwiesen (das Problem tritt also nicht zum ersten Mal auf); da bei uns der Fehler unter Windows Server 2008 R2 auftrat, brachte uns das nicht weiter. Ein anderer KB-Artikel schlug drei weitere Möglichkeiten vor:

  • nicht benötigte Stammzertifikate löschen
  • per Gruppenrichtlinie den Client anweisen, Zertifikate aus "Vertrauenswürdige Stammzertifizierungsstellen" zu ignorieren (der Client betrachtet dann nur noch Zertifikate   aus "Enterprise-Stammzertifizierungsstelle"
  • per Registrierungsschlüssel den Server anweisen, die Liste nicht mehr zu versenden

Wir haben uns für die erste Lösung entschieden und haben außer dem Stammzertifikat der Kunden-CA nur noch Stammzertifikate von Microsoft in "Vertrauenswürdige Stammzertifikate" belassen. In einem weiteren KB-Artikel findet man eine Liste der Stammzertifizierungsstellen, die man laut Microsoft nicht entfernen sollte.

Sobald die Liste der Stammzertifizierungsstellen verkleinert war, konnten sich die WLAN-Clients wieder verbinden.

Links:

[1] http://social.technet.microsoft.com/Forums/en-US/winserveressentials/thread/2636b892-7113-4692-a4f4-53d330ca6062

[2] http://support.microsoft.com/kb/933430/de

[3] http://support.microsoft.com/kb/2464556/en-us

[4] http://support.microsoft.com/kb/293781

Verwandte Beiträge:

  1. WLAN mit IEEE 802.1X und RADIUS in einer Windows Server-Umgebung sicher umsetzen
    Dieser Artikel erschien zuerst auf Bents Blog. Kürzlich habe ich in unserem Unternehmen ein sicheres WLAN aufgebaut – eigentlich zu...
  2. WLAN nach Standby neu starten
    Der WLAN-Treiber meines Notebooks unter Windows 7 mag nach dem Standby und dem Ruhezustand manchmal nicht wieder aufwachen. Dadurch funktioniert...
  3. Windows-Updates auf einem TMG-Server
    Bei einem Kunden fand ich jüngst einen TMG-Server vor (Forefront TMG 2010 auf Windows Server 2008 R2), der seit seiner...
  4. Windows 8 und Windows Server 2012: Die Release Preview ist da!
    Vor wenigen Minuten hat Microsoft die letzte Vorabversion von Windows 8 und Windows Server 2012 zum Download freigegeben. Die “Release...
  5. Dynamische DNS-Updates seit Vista nicht mehr per DHCP-Client
    Gerade machte Yusuf Dikmenoglu auf ein Detail aufmerksam, das ich noch nicht wusste: Seit Windows Vista bzw. Windows Server 2008...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=4738
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!