WLAN (Radius) und Profilpfad fuehren zu Unterbrechung der Verbindung

[schtebo]

Hi zusammen,

hatte vielleicht auch schon mal jemand folgendes Problem?

Wir haben WLAN mit Radius (NPS / Cisco) bei uns am Werkeln, welches tadellos funktioniert.

Servergespeicherte Profile kamen bisher nicht zum Einsatz.

Da nun aber mehrere User zwischen den Laptops wechseln müssen, haben wir nun im AD beim Benutzer unter Profil ein Profilpfad angeben, wo er das Profil laden/speichern soll.

Meldet sich der User kabelgebunden an, funktioniert dies auch wunderbar, sobald er aber sich ein Laptop schnapp bricht die Verbindung ab.

Entfernen wir den Profilpfad wieder beim Userkonto, kann er wieder ohne Probleme arbeiten.

Jemand ne Idee, warum die Verbindung abbricht, sobald dem User ein Profilpfad zugewiesen wird?

Folgende Meldung sehe ich im NPS-Log:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:

Sicherheits-ID: AD\vorname.nachname

Kontoname: AD\vorname.nachname

Kontodomäne: AD

Vollqualifizierter Kontoname: AD\vorname.nachname

Clientcomputer:

Sicherheits-ID: NULL SID

Kontoname: -

Vollqualifizierter Kontoname: -

Betriebssystemversion: -

Empfänger-ID: bb-bb-bb-bb-bb-bb:WLAN_Ort

Anrufer-ID: 00-22-a6-11-cc-00

NAS:

NAS-IPv4-Adresse: 172.2.0.1

NAS-IPv6-Adresse: -

NAS-ID: WLAN_1

NAS-Porttyp: Drahtlos - IEEE 802.11

NAS-Port: 1

RADIUS-Client:

Clientanzeigenname: WLAN_1

Client-IP-Adresse: 172.2.0.1

Authentifizierungsdetails:

Name der Verbindungsanforderungsrichtlinie: WLAN

Netzwerkrichtlinienname: WLAN

Authentifizierungsanbieter: Windows

Authentifizierungsserver: AD01NPS.AD.local

Authentifizierungstyp: PEAP

EAP-Typ: -

Kontositzungs-ID: -

Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Ursachencode: 262

Ursache: Die angegebene Nachricht ist unvollständig. Die Signatur wurde nicht verifiziert.

Bearbeitet 5. Dezember 2012 von schtebo

[lupo49]

D. h. bei einer Anmeldung an einem Notebook mit einem Account der ein servergespeichertes Benutzerprofil besitzt, bricht während der Anmeldung die WLAN-Verbindung weg? Oder schon im Anmeldefenster? Oder erst fünf Minuten nach er Anmeldung?

Treten WLAN-Aussetzer auch beim Kopien von vielen kleinen und großen Dateien von einem Netzwerkshare auf?

Tritt das Problem auch bei deaktivierter 802.1x-Authentifizierung auf?

Ursache: Die angegebene Nachricht ist unvollständig. Die Signatur wurde nicht verifiziert.

Das sieht so aus, als wenn das Zertifikat, das der NPS-Server nutzt nicht gültig ist bzw. vom Benutzer nicht automatisiert als trusted eingestuft wird. Ist das ein selbst-signiertes Zertifikat? Wenn ja, ist es in den Stammzertifizierungsstellen eingetragen?

[schtebo]

genau, sobald sich der user mit servergespeichertem profil versucht anzumelden, bricht die verbindung ab.

wenn sich der rechner im anmeldefenster befindet kann er angepingt werden und sobald der user sich wieder abmeldet ist der rechner auch wieder erreichbar.

keine netzwerkaussetzer. wenn user kein servergespeichertes profil hat

selbst-signiertes zertifikat ist eingetragen und auch entsprechend verteilt. wie gesagt, sonst funktioniert es ja auch, nur eben wenn der profilpfad eingetragen wird nicht mehr.

echt komisch

[lupo49]

Normal ist es so, dass sich der Computer mit einem Maschinen-basierten Zertifikat am Radius authentifiziert bevor ein User angemeldet ist (Sonst könnte sich ja nie ein Account anmelden). Wenn dann ein Benutzer den Anmeldeprozess durchläuft, wird am Radius neu-authentifiziert und zwar mit den Accountdaten des Benutzers. -> Also passt etwas mit dem WLAN-Profil des Benutzers nicht.

Was passiert, wenn du dich nach der Anmeldung händisch mit dem WLAN verbinden willst?

[schtebo]

mit profilpfad erhalte ich die oben genannte fehlermeldung

ohne profilpfad bekomme ich sofort eine verbindung

oder habe ich dich fasch verstanden?

[lupo49]

Ja, aber du willst ja auch eine Verbindung hinbekommen mit Profilpfad, oder? Deswegen wäre eine Fehlersuche nützlich, warum die Verbindung abbricht.

Es liegt vermutlich ja nicht daran, dass ein Profilpfad eingetragen wurde, sondern dass mit eingetragen Profilpfad irgendwelche Dateien/Konfiguration vom servergespeicherten Benutzerprofil diese Störung verursachen?

[schtebo]

ja genau, hab dann auch lokal und aufm server das profil gelöscht. dann eine anmeldung mit dem user durchgeführt ohne profilpfad, hat alles geklappt und lokal das profil geschrieben. dann dem user ein profilpfad hinterlegt und nochmals eine anmeldung getätigt, welche fehlgeschlagen ist. bin auch hingegangen und hab das laptop mal per kabel angeschlossen, so dass das profil aufn server geschieben werden kann, hat aber auch nichts gebracht.

[schtebo]

kurzer nachtrag: also profil wurde (kabelgebunden + profilpfad angegeben) sowohl lokal als auch aufm server korrekt angelegt.

es ist auch nicht auf ein laptop oder ein user beschränkt, sondern das problem haben alle laptops und alle user.

neuinstallation des laptops oder ein neuer user haben auch nichts gebracht. bin echt ratlos. danke euch für die hilfe.

Bearbeitet 5. Dezember 2012 von schtebo

[Crash2001]

Was steht denn in den Sicherheitsrichtlinien?

Eventuell ist ja keine Authentifizierung mit servergespeichertem Profil über WLAN erlaubt. (Keine Ahnung, ob man diesen Fall einstellen kann.)

[schtebo]

so hab das nun nochmals etwas genauer analysiert. problem ist nicht der profilpfad sondern das mandatory profile.

obwohl ich hingehe und das profil dann von nem user nehme, bei dems geht und es dann in ein mandatory profil abändere fehlen wohl infos die zur erfolgreichen authentifizierung führen...

bin derzeit etwas ratlos, ... wird wohl auf "kein" mandatory profil rauslaufen