RADIUS-WLAN funktioniert nicht unter Windows 8.1 und Windows 10 mit Domänenbenutzern

10219
St0rmi

BEARBEITEN:

Ich konnte das Problem eingrenzen. Anscheinend ist dies kein Problem mit dem Surface, sondern mit Windows 8.1 (wahrscheinlich auch mit 8) und 10. Dieses Problem wurde mir zunächst nicht klar, da ich mit einem Nicht-Domänen-Laptop und -Benutzer zuerst mit Windows 8.1 getestet habe.

Wenn ich ein lokales Benutzerkonto verwende, funktioniert die Verbindung zum RADIUS-WLAN einwandfrei. Sobald ich dies mit einem Domänenbenutzerkonto ausprobiere (ich habe eines mit und eines ohne lokale Administratorrechte versucht), wird keine Verbindung hergestellt. Bitte beachten Sie, dass ich über eine Domäne und nicht über AD spreche, da wir immer noch Samba 3 verwenden.

Original:

Wir betreiben ein Radius-WLAN-Netzwerk mit einem FreeRADIUS-Server (PEAP mit MSChapv2). Es funktioniert einwandfrei auf allen Rechnern (getestet unter Windows 7 und 8.1, Android 4.3, Arch Linux), außer auf allen unseren Surface Pro 3. Die Windows-Rechner verwenden genau die gleichen Einstellungen, da die WLAN-Einrichtung mithilfe eines Powershell-Skripts automatisiert wird. Ich habe es auch schon oft versucht, es manuell mit verschiedenen Optionen zu konfigurieren. Wir verwenden ein Zertifikat, das von der benutzerdefinierten Zertifizierungsstelle unseres Unternehmens für den FreeRADIUS-Server unterzeichnet wurde. Ich habe überprüft, dass die Zertifizierungsstelle ordnungsgemäß in Windows installiert ist, und auch eine Verbindung ohne Überprüfung des Zertifikats versucht.

Dies wird in der FreeRADIUS-Protokolldatei angezeigt:

Wed Jul 15 10:32:52 2015 : Auth: Login OK: [someuser] (from client stg-wlan-core port 0 via TLS tunnel) Wed Jul 15 10:32:55 2015 : Auth: Login incorrect: [someuser] (from client stg-wlan-core port 217 cli C0-33-5E-33-10-8F)

Dies wird angezeigt, wenn Sie das Debugging unter FreeRADIUS verwenden:

[eap] EAP packet type response id 221 length 43 [eap] Continuing tunnel setup. ++[eap] returns ok Found Auth-Type = EAP # Executing group from file /etc/freeradius/sites-enabled/default +- entering group authenticate {...} [eap] Request found, released from the list [eap] EAP/peap [eap] processing type peap [peap] processing EAP-TLS [peap] eaptls_verify returned 7 [peap] Done initial handshake [peap] eaptls_process returned 7 [peap] EAPTLS_OK [peap] Session established. Decoding tunneled attributes. [peap] Peap state send tlv success [peap] Received EAP-TLV response. [peap] Client rejected our response. The password is probably incorrect. [peap] We sent a success, but received something weird in return. [eap] Handler failed in EAP/peap [eap] Failed in EAP select ++[eap] returns invalid Failed to authenticate the user. Login incorrect: [someuser] (from client stg-wlan-core port 112 cli 50-1A-C5-F4-F6-87) Using Post-Auth-Type Reject

Es sagt etwas über ein falsches Passwort aus. Ich bin nicht sicher, über welches Passwort es sich handelt, da ich sicher bin, dass das Benutzerkonto existiert und das Passwort korrekt ist.

Spur von der Oberfläche:

[500] 07-15 10:19:48:898: RasEapCreateConnectionProperties, eap type id = 26 [500] 07-15 10:19:48:899: CopyXmlDoc returned: 0x0 [500] 07-15 10:19:48:899: ReadConnectionData [500] 07-15 10:19:48:900: Setting the defaults to use win-logon [500] 07-15 10:19:48:900: Use Winlogon credentials is set to No [500] 07-15 10:19:48:900: Successfully generated blob for MSChapV2 Connection Properties [500] 07-15 10:19:49:831: RasEapCreateConnectionProperties, eap type id = 26 [500] 07-15 10:19:49:831: CopyXmlDoc returned: 0x0 [500] 07-15 10:19:49:832: ReadConnectionData [500] 07-15 10:19:49:833: Setting the defaults to use win-logon [500] 07-15 10:19:49:833: Use Winlogon credentials is set to No [500] 07-15 10:19:49:833: Successfully generated blob for MSChapV2 Connection Properties [500] 07-15 10:19:49:843: RasEapCreateConnectionProperties, eap type id = 26 [500] 07-15 10:19:49:843: CopyXmlDoc returned: 0x0 [500] 07-15 10:19:49:844: ReadConnectionData [500] 07-15 10:19:49:845: Setting the defaults to use win-logon [500] 07-15 10:19:49:845: Use Winlogon credentials is set to No [500] 07-15 10:19:49:845: Successfully generated blob for MSChapV2 Connection Properties [500] 07-15 10:19:50:109: InitLSA. [500] 07-15 10:19:50:109: InitLSA: returning 0x0 [500] 07-15 10:19:50:109: ChapInit: exit: fInitialize=0x1, g_dwRefCount = 0x1, g_hLsa = 0x1147e5d0 [500] 07-15 10:19:50:109: EapMSCHAPv2Initialize Exit: fInitizlize = 1, dwRefCount = 0x1, [500] 07-15 10:19:50:109: EapMSCHAPv2Initialize: fInitizlize = 0, dwRefCount = 0x1, [500] 07-15 10:19:50:109: ChapInit: fInitialize=0x0, g_dwRefCount = 0x1, g_hLsa = 0x1147e5d0 [500] 07-15 10:19:50:135: RasEapGetIdentity [500] 07-15 10:19:50:135: ReadUserData [500] 07-15 10:19:50:135: NULL user blob is passed, size: 0 [500] 07-15 10:19:50:135: ReadConnectionData

Der einzige Grund, an den ich mehr denken kann, ist, dass es sich um ein Problem mit dem WLAN-Adapter oder seinem Treiber handelt. Wenn Sie Ideen haben oder weitere Informationen benötigen, lass es mich wissen.

1
Haben Sie die neuesten Treiber für den Surface Pro 3 Marvell Wireless-Adapter heruntergeladen? Wir hatten ein Problem mit einigen Broadcom Wireless-Karten und dem eduroam Wireless (für Schulungen). Windows 8 (und höher) "In-the-Box" -Treiber funktionieren auf der Karte, aber sie funktionieren nicht mit unserer Authentifizierung. Dies könnte Ihrem Problem ähneln. Aktualisieren Sie die Treiber (möglicherweise müssen Sie überprüfen, ob Sie können die Treiber nicht von der Microsoft-Website beziehen - sie stellen nur Treiber bereit, die mit ihren Geräten funktionieren und oft veraltet sind. Kinnectus vor 8 Jahren 0
Ich konnte keine Fahrer von Marvell direkt finden. Ich habe jedoch die neuesten Intel-Treiber für ein Windows 10-Notebook mit demselben Problem installiert. Es hat das Problem leider nicht gelöst. St0rmi vor 8 Jahren 0
Wenn Sie die Hardware-IDs des Laptop-WLAN-Adapters sowie den aktuell installierten Treiber und dessen Version angeben können, ist dies möglicherweise einfacher, um das Problem zu ermitteln. Die Oberflächen können schmerzhaft sein ... Kinnectus vor 8 Jahren 0
Es ist ein Intel Centrino Advanced-N 6205 WLAN-Adapter, der den Intel-Treiber verwendet. Hardware-ID: PCI \ VEN_8086 & DEV_0082 & SUBSYS_13218086 & REV_34 Treiberversion: 15.18.0.1 St0rmi vor 8 Jahren 0
Wenn Ihre Benutzer ihren Benutzernamen und ihr Kennwort eingeben, um eine Verbindung herzustellen, geben sie dann das Domänenformat ("Domäne \ Benutzername") ein? Wir haben dies bereits zuvor erlebt (nicht bei FreeRADIUS, aber es sollte dasselbe gelten), wenn der Rechnername der RADIUS-Authentifizierung und nicht der richtige Domänenname übergeben wurde. Ich bin nicht sicher, ob Windows 7 und früher (Domäne) hat die Domäne hinzugefügt, und Windows 8 ist jetzt nicht mehr standardmäßig ..? Kinnectus vor 8 Jahren 0

3 Antworten auf die Frage

1
Andrea Zauli

Das Problem ist, dass Sie Windows 8 und Windows 10 nicht mehr für die Verwendung der gewünschten Einstellungen über die GUI konfigurieren können.

Um das zu lösen

Sie können ein Konfigurationsprofil von einem Windows 7-Client aus exportieren und auf Ihren Windows 8- und / oder 10-Clients importieren.

  1. Öffnen Sie eine Eingabeaufforderung auf dem Windows 7-Client

  2. Geben Sie den folgenden Befehl ein

    netsh wlan show profiles

  3. Wählen Sie aus der angezeigten Liste das Profil aus, das Sie exportieren möchten (das WLAN-Radius-Profil)

  4. Exportieren Sie es mit dem folgenden Befehl

    netsh wlan export profile <profile name>

    Dadurch wird das Profil in eine XML-Datei exportiert.

  5. Suchen Sie die XML-Datei und kopieren Sie sie auf Ihre Windows 8- und 10-Clients

  6. Importieren Sie es mit dem folgenden Befehl:

    netsh wlan add profile <profile name>.xml

  7. Geben Sie die entsprechenden Anmeldeinformationen ein und Sie sind fertig.

Hinweis: Manchmal muss ich das alte (ungültige) Profil in Windows 8 und / oder 10 Clients löschen:

netsh wlan delete profile <invalid profile>

Hinweis: Ein Neustart kann manchmal erforderlich sein

Wir haben bereits ein kleines Powershell-Skript verwendet, das genau das tut. Wie oben beschrieben, funktioniert es mit einem Nicht-Domänenbenutzerprofil, jedoch nicht mit einem Domänenprofil. St0rmi vor 8 Jahren 0
0
Krzysztof Stasiak

Es ist kein Radiusproblem. Ich denke, dass dies ein Problem mit der Speicherung von Anmeldeinformationen ist, wenn Windows 8-10 mit Samba Nt4 wie der Domäne verbunden ist. Wenn Windows 8-10 eine Verbindung mit einem lokalen Benutzerkonto (nicht von der Domäne) her herstellt, wird die Radiusliste und die Netzwerkkarte ordnungsgemäß ausgeführt.

-1
Arucard

Bei meinem Lenovo ThinkPad Yoga 14 (Intel N 7265) sind ähnliche Probleme aufgetreten. Ich habe den neuesten Treiber der PROSet-Software (18.30) installiert und eine Verbindung zum WLAN über PROSet hergestellt. Dies schien das Problem für mich zu lösen.

Vielen Dank für Ihren Beitrag zu SuperUser. Stellen Sie sicher, dass Sie Ihre Antworten in Zukunft gründlicher erklären. Schauen Sie sich meine Bearbeitung für ein Beispiel an. RookieTEC9 vor 8 Jahren 1

Verwandte Probleme