Jump to content

NPS Fehlermeldung bei der Authentifizierung mit Zertifikaten

svengemen

Von svengemen
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

svengemen Rookie

svengemen   10

Geschrieben
Geschrieben

Hallo,

 

 

 

wir sind dabei ein WLAN Netz zu integrieren. Folgende Konstellation ist vorhanden

 

DC 4 Server 2008 Ent

 

DC 2 Server 2008 Std.

 

DC 3 Server 2008 Std.

 

Radius Server 2008 R2 Ent

 

Offline CA 2008 R2 Std.

 

Unternehmens CA Server 2008 R2 Ent (incl. Webregistrierung nur im internenen Netzwerk erreichbar)

 

Zertifikate wurden für Computer und User bereits ausgestellt. Ich erhalte nun in Eventlog des Radius Servers folgende Meldung und kann mich nicht einwählen:

 

siehe Fehlerprotokoll im Anhang

 

 

Zuvor hatte ich alles in einer autarken Testumgebung (allerdings nur mit einem DC) und dort funktionierte alles. Ich habe beide Umgebungen bereits

 

abgelichen und konnte keine Abweichungen feststellen. Hätte jemand noch einen Tipp für mich?

 

 

 

Danke

 

Gruß

fehlerprotokoll.txt

dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben

Im Fehlerprotokoll steht: "Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war." Daraus ergeht, dass bei der Zertifikatsprüfung kein Zugriff auf die Zertifikatssperrliste besteht.

 

Wahrscheinliche Ursache ist die Konfiguration der PKI-Infrastruktur mit Offline-CA und untergeordneter ausstellender CA. Was mir aus der Ferne an möglichen Gründen und Hinweisen spontan einfällt:

 

- Publizierungsintervall für Sperrlisten der Offline CA ist zu kurz;

 

- die Veröffentlichungspfade für Sperrlisten der Offline CA und/oder deren Reihenfolge wurden in den Eigenschaften der Offline CA nicht angepasst (Timeout nach max. 20 Sekunden, erster Pfad wird während 15 Sekunden versucht, dann folgt der zweite Pfad, der dritte wird nicht mehr versucht; LDAP-Veröffentlichungspfad kann/muss bei einer Offline CA ohnehin gelöscht werden);

 

- Offline CA ist Domänenmitglied (sollte alleinstehend konfiguriert sein und mit dem restlichen Netzwerk nie in Berührung kommen -> NIC deaktivieren, Zertifizierungsanforderung der ausstellenden CA, Sperrliste und ausgestelltes Zertifikat der Offline CA für die untergeordnete CA per USB/Floppy transportieren).

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...