Bei privaten WLAN Installationen muss man meist einfach ein Passwort eingeben, damit man sich mit dem WLAN verbinden kann. Im Gegensatz dazu verbinden sich unsere Clients mit dem WLAN, indem sie sich mit einem Computerzertifikat an einem Radiusserver authentifizieren. Dies wird auch als Enterprise Modus bezeichnet (z.B. WPA2-Enterprise). Genauere Informationen dazu findet man in diesem Beitrag. Diese Umsetzung gilt als sehr sicher und wird häufig in grösseren Netzwerken eingesetzt, ist dafür aber entsprechend komplex. Heute konnten sich unsere mobilen Geräte nicht mehr mit dem WLAN verbinden.

Der Netzwerkrichtlinienserver (engl. Network Policy Server, NPS) protokollierte den versuchten Zugriff mit der Ereignis-ID 6273 im Sicherheits Eventlog:

“Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. … Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.”

Nachdem einer Internetrecherche und dem Überprüfen aller Einstellungen der Umsetzung kam ich nicht wirklich weiter. Da das Problem zeitlich mit der Installation von Updates auf dem Server auftrat, wollte ich in einem nächsten Schritt die Updates probehalber wieder entfernen. In Frage kamen die drei Updates, die ich letzte Nacht installiert habe (KB4033428, KB4034681, KB890830).

Um besser abschätzen zu können, welches Update allenfalls verantwortlich sein könnte (und darum zuerst deinstalliert werden sollte), habe ich die Updatebeschreibungen studiert. Bei KB4034681 bin ich dann über den Hinweis “Known issues in this update”: “NPS authentication may break, and wireless clients may fail to connect.” gestolpert. Zum Glück war da auch gerade ein funktionierender Workaround publiziert: “On the server, set the following DWORD registry key’s value to = 0: SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\DisableEndEntityClientCertCheck”

Man muss also die Registry öffnen und zu dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 navigieren. Dort erstellt man über einen neuen DWORD-Wert mit der Zeichenkette “DisableEndEntityClientCertCheck” und dem Wert 0.

Danach funktioniert das WLAN wieder….