Ich habe mittlerweile nochmal auf einen anderen 2008R2 geschwenkt. Auch hier gibt es keine Probleme:
Der Netzwerkrichtlinienserver hat einem Benutzer Vollzugriff erteilt, da der Host die Integritätsrichtlinien erfüllt.
Benutzer:
Sicherheits-ID: DOMAIN\NBNIC$
Kontoname: host/NBNIC.domain.local
Kontodomäne: DOMAIN
Vollqualifizierter Kontoname: DOMAIN\NBNIC$
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfangs-ID: 00-1A-8C-28-5B-80:Zargari
Anrufer-ID: 24-77-03-30-4C-48
NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: Zargari
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 2
RADIUS-Client:
Clientanzeigename: Sophos UTM
Client-IP-Adresse: 192.168.50.253
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtline: WLAN
Netzwerkrichtlinienname: Zargari
Authentifizierungsanbieter: Windows
Authentifizierungsserver: PFERD.domain.local
Authentifizierungstyp: EAP
EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat
Kontositzungs-ID: -
Quarantäneinformationen:
Ergebnis: Vollzugriff
Erweitertes Ergebnis: -
Sitzungs-ID: -
Hilfe-URL: -
Verifizierungsergebnis(se) der Systemintegrität: -
Hingegen der 2012R2 weigert sich strikt:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: host/NBNIC.domain.local
Kontodomäne: DOMAIN
Vollqualifizierter Kontoname: DOMAIN\NBNIC$
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 00-1A-8C-28-5B-84:Zargari Mobile
Anrufer-ID: 24-77-03-30-4C-48
NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: Zargari Mobile
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 2
RADIUS-Client:
Clientanzeigenname: UTM
Client-IP-Adresse: 192.168.50.253
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DOMAINDC.domain.local
Authentifizierungstyp: EAP
EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
Unterscheid scheint hier NULL SID zu sein. Bin etwas ratlos ..... hat jemand eine Idee ?