Wenn man WLAN zuhause einsetzt, verwendet man meistens einen Schlüssel, den man beim Laptop und dem Accesspoint (häufig auch ein Router mit eingebautem Accesspoint) eintragen muss. Dies heisst dann z.B. WPA2-PSK, wobei das WPA2 für die Art der Verschlüsselung und das PSK für “PreShared Key” steht. In einem Firmen- oder eben Schulumfeld macht dies aus diversen Gründen nicht so viel Sinn. Dieser Schlüssel lässt sich nicht ohne weiteres auf die Clients verteilen und ihn auf allen Clients manuell einzutragen kann auch nicht die Lösung sein.

Besser verwendet man einen Radius-Server, der die Clients authentifiziert. Wenn sich jetzt ein Client mit einem Accesspoint verbinden will, wird die Anfrage an diesen Server weitergegeben. Microsoft Server bieten das von Haus aus unter “Netzwerkrichtlinien- und Zugriffsdienste” an.

Man kann auf diesem Radiusserver angeben, wie die Clients authentifiziert werden sollen. Eine Möglichkeit ist eine Benutzernamen/Passwort Kombination. Dann kann dieser Benutzer aber mit jedem Gerät ins interne Netzwerk, was sicherheitstechnisch nicht sinnvoll ist. Ausserdem sollte der Client schon vorher über WLAN verbunden sein, damit die Gruppenrichtlinien vom Server schon beim Computerstart übernommen werden.

Dies kann man z.B. mit Zertifikaten erreichen. Dazu benötigt man eine sogenannte PKI (public-key infrastructure). Auch das bieten die Microsoft Server von Haus aus.

Mit so einer Microsoft CA (Certificate Authority) kann man Zertifikate ausstellen lassen, denen innerhalb einer Domäne vertraut wird und die sich über Gruppenrichtlinien auf die einzelnen Clients verteilen lassen. Mit folgender Einstellung werden die Zertifikate automatisch ausgestellt und erneuert, wenn sie ablaufen.

Vereinfacht sieht der Ablauf dann so aus:
Der Client hat ein Zertifikat installiert, und verbindet sich mit dem Accesspoint. Dieser reicht das Zertifikat an den Netzwerkrichtlinienserver weiter. Dieser überprüft das Zertifikat und erlaubt dem Accesspoint, den Client ins Netzwerk zu verbinden. Die Zertifikate werden automatisch von der CA herausgegeben und erneuert.

Nun zum Problem

Plötzlich konnten sich alle Clients nicht mehr verbinden. Zertifikate und Netzwerkrichtlinienserver schienen aber in Ordnung zu sein. Trotzdem wurde alles nochmals überprüft und diverse Möglichkeiten getestet. Der Ausfall schien zeitnah mit der Installation von Windowsupdates begonnen zu haben. Im Systemlog fand ich dann folgenden Hinweis: Ereignis-ID: 36885, Quelle Schannel.

Scheinbar hatte der Server eine zu lange Liste mit vertrauenswürdigen Zertifizierungsstellen, so dass bei der Übermittlung an den Client ein Teil davon abgeschnitten wurde. Dummerweise darunter auch das unser eigenen CA.

Bei den letzten Updates wurden auch die Stammzertifikate ergänzt (und damit die Liste zu gross).

Gemäss Kollege Google kann man einfach die nicht benötigten Zertifikate aus den “Vertrauenswürdigen Stammzertifizierungsstellen” löschen. Dabei muss man mindestens die eigene CA und die im Knowledgebase Artikel 293781 aufgeführten, von Windows benötigten, drin lassen. Zur Sicherheit habe ich zuerst alle exportiert.

Nun verbinden sich die Clients wieder wie gewünscht…