Wir benutzen für unsere internen Geräte ein zertifikatbasiertes WLAN (sog. WPA2-Enterprise). Letztes Jahr hat dieses wegen einem Windowsupdate nicht mehr funktioniert. Der veröffentlichte Workaround hat das Problem behoben (vgl. diesen Beitrag). Nun hat mich dieser Workaround wieder eingeholt.

Seit einiger Zeit verbinden sich unsere Surfaces nicht mehr gleich schnell mit unserem WLAN, wahrscheinlich wieder nach einem Update, aber ich konnte nicht eruieren, um welches Update es sich handelt. Bei einem Neustart geht die Verbindungsherstellung normal schnell. Aber nach einem Kaltstart dauert der Verbindungsaufbau manchmal (dummerweise nicht immer, was zur Fehlersuche deutlich einfacher wäre) bis zu 1 Minute . Zuerst sieht man ganz normal und nur sehr schnell dieses Bild:

Danach für längere Zeit das ausgegraute WLAN Symbol mit einem Stern.

Nach etwa einer Minute wird dann die vollständig hergestellte Verbindung durch das entsprechende Symbol angezeigt.

Wenn sich ein Benutzer am Netzwerk anmeldet, bevor die Verbindung ganz aufgebaut ist, passiert folgendes:

1. Falls sich der Benutzer schon einmal an diesem Gerät angemeldet hat, kann er sich mit den zwischengespeicherten Daten anmelden, aber Userhome und verbundene Laufwerke werden nicht angezeigt, weil die Gruppenrichtlinien bei der Anmeldung nicht ausgeführt werden können.
2. Falls sich der Benutzer noch nie an diesem Gerät angemeldet hat, kann er sich nicht anmelden und bekommt eine Meldung, dass die Anmeldeserver nicht verfügbar seien.

Beides ist natürlich gar nicht optimal. Wenn man nun den für den Workaround erstellten Registryeintrag HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\DisableEndEntityClientCertCheck wieder löscht, scheint das Problem behoben. Dazu ändert man in der Gruppenrichtlinie die Aktion von “Aktualisieren” auf “Löschen”.

Nachdem die Geräte die Gruppenrichtlinie ausgeführt haben, kann man sie ganz deaktivieren. Derselbe Registryeintrag sollten man auch vom Server löschen, falls man ihn damals dort auch erstellt hat.