Fehlerbehebung

Verbindungsprobleme

Clientansicht

Falsches XML

Überprüfen Sie, ob Ihr Client ein Zertifikat zur Authentifizierung besitzt und ob Sie das richtige verwenden WLAN-Konfigurationsprofil oder XML.

Probleme mit vertrauenswürdigen Stammzertifikaten

Überprüfen Sie, ob Sie Folgendes getan haben:

• Ihrem RADIUS-Server mitgeteilt haben, welche Zertifikate wie beschrieben verbinden dürfen hier

• das aktive RADIUS-Serverzertifikat wie beschrieben als vertrauenswürdige Stammzertifizierungsstelle auf Ihrem Client importiert haben hier

• Überprüfen Sie Ihre Protokolle. Dort befindet sich eine detaillierte Beschreibung des Fehlers. Vielleicht ist es ein diesem Problem.

Verbindung fortsetzen?

Wenn Ihre Clients beim ersten Verbindungsversuch eine Überprüfung durchführen müssen und Sie diesen Dialog sehen:

Stellen Sie sicher, dass Sie das RADIUS-Serverzertifikat in Ihrem WLAN-Profil referenziert und das SAN-Attribut des Serverzertifikats (FQDN) sowie den allgemeinen Namen (CN) angegeben haben:

Serveransicht

Unbekannte CA

Wenn Ihre Protokolle Fehlermeldungen ähnlich den unten gezeigten enthalten

kann dies die folgenden Ursachen haben:

• Client wirft Fehler TLS Alert read:fatal:unknown CA

  • Ihr Client kennt das Serverzertifikat nicht und lehnt die Verbindung ab. Prüfen Sie, ob Sie Ihr Serverzertifikat wie beschrieben hinzugefügt haben hier.

  • Sie haben ein neues geändert/hinzugefügt Serverzertifikat und Ihr XML-Profil auf dem Client verwendet noch das alte. In diesem Fall überprüfen Sie bitte, dass Sie entweder Ihr WLAN-/Kabelprofil aktualisiert oder Ihr XML neu generiert haben, nachdem Sie die Zertifikate hinzugefügt und dieses an Ihre Clients verteilt haben.

• Server wirft Fehler TLS Alert write:fatal:unknown CA

  • Ihr RADIUS-Server kennt den Aussteller des für die Authentifizierung verwendeten Zertifikats nicht. Fügen Sie Ihre CA wie beschrieben hinzu hier.

Zertifikat unbekannt

Wenn Sie macOS (und möglicherweise andere Apple-Plattformen) verwenden und wenn Ihre Protokolle Fehlermeldungen ähnlich der unten gezeigten enthalten

kann dies die folgenden Ursachen haben:

• Irgendwo im Zertifikatsservernamen in Ihrem WiFi oder Kabelgebundenes Konfigurationsprofil befindet sich ein Leerzeichen.

Entschlüsselungsfehler | Zugriff verweigert

Wenn Ihre Protokolle Fehlermeldungen ähnlich den unten gezeigten enthalten

... dann ist es wahrscheinlich ein Fehler der TPM-Software auf Ihren Windows-Maschinen. Weitere Informationen dazu finden Sie in der SCEPman-Dokumentation.

Wenn Sie so etwas in Ihren Protokolle

... kann es zwei Gründe geben. Einer ist, dass Ihr WLAN-Profil das falsche Stammzertifikat zur Servervalidierung referenziert. Bitte stellen Sie sicher, dass Ihr Profil korrekt eingerichtet ist. Wenn dies der Fall ist und das Problem weiterhin besteht, versuchen Sie, Ihren KSP auf Software-KSP.

Kann nicht fortfahren, da das Gegenüber sich falsch verhält

Wenn Ihre Protokolle Ablehnungen mit dem Fehler enthalten "Kann nicht fortfahren, da das Gegenüber sich falsch verhält" dann weist dies darauf hin, dass der Client die Kommunikation mit dem RADIUS-Dienst eingestellt hat, meist weil die Vertrauenseinstellungen falsch sind. In diesem Fall überprüfen Sie bitte die Zertifikate auf den betroffenen Geräten.

Falsches gemeinsames RADIUS-Geheimnis

Wenn Ihre (Proxy-) Protokolle Fehlermeldungen ähnlich den unten gezeigten enthalten

dann verwendet einer Ihrer Access Points oder Switches, der versucht, sich über einen RADIUS-Proxy mit Ihrer RADIUSaaS-Instanz zu verbinden, ein nicht übereinstimmendes Gemeinsames Geheimnis.

Um den betroffenen Access Point oder Switch zu identifizieren, bestimmen Sie zuerst den RADIUS-Proxy, indem Sie die Fehlermeldung erweitern und nach der proxyip Eigenschaft suchen. Nun, da Sie den Proxy kennen, verwenden Sie Ihr Inventar und Ihre Kenntnis über bestimmte Standorte oder Gerätegruppen, die sich nicht mit Ihrem Netzwerk verbinden können, um das falsch konfigurierte Netzwerkgerät zu identifizieren. Aktualisieren Sie schließlich das gemeinsame Geheimnis, damit es dem in Ihrer RADIUSaaS-Instanz für diesen Proxy konfigurierten Wert entspricht.

Zertifikatsprobleme

Zertifikatskette konnte nicht verifiziert werden

Wenn Sie Ihr eigenes Serverzertifikat verwenden möchten, benötigt Ihr RADIUS-Server die vollständige Zertifikatskette, damit andere Teilnehmer (Proxy, RadSec-Clients, Endpunkte, die eine Verbindung versuchen) die Identität des Servers verifizieren können. Wenn Sie diese Meldung sehen, kopieren & fügen Sie entweder das CA-Zertifikat unterhalb des Serverzertifikats in das Textfeld ein oder erstellen Sie ein PKCS8-Zertifikatbundle, das alle Zertifikate vom Server bis zur Stammzertifizierungsstelle enthält.

Probleme im Admin-Portal

Anmeldung

Um sich beim RADIUSaaS-Webportal ("RADIUSaaS Admin Portal") anzumelden, müssen die folgenden Voraussetzungen erfüllt sein:

• Die UPN/E-Mail-Adresse, die Sie als technischen Administrator angegeben haben, muss gegen einige Microsoft Entra ID (Azure AD) authentifizierbar sein (es muss keine Identität aus dem Mandanten sein, dessen Benutzer RADIUSaaS zur Netzwerk-Authentifizierung verwenden werden).

• Die UPN/E-Mail-Adresse, die Sie als technischen Administrator angegeben haben, muss wie beschrieben in Ihrer RADIUSaaS-Instanz registriert worden sein hier. Falls es sich um den initialen Admin handelt, bitte kontaktieren Sie uns wenn Sie glauben, dass wir den falschen Benutzer registriert haben.

• Das Microsoft Entra ID (Azure AD)-Benutzerobjekt hinter der UPN/E-Mail-Adresse muss berechtigt sein, der RADIUSaaS Enterprise-Anwendung die folgenden Berechtigungen zu gewähren (siehe Screenshot unten):

  • Lesen das grundlegende Benutzerprofil

  • Warten Zugriff auf Daten, denen Sie Zugriff gewährt haben (Anfordern eines Refresh-Tokens erlauben)

• Falls Ihr Microsoft Entra ID (Azure AD)-Benutzer nicht befugt ist, die erforderlichen Berechtigungen zu gewähren, wird keine entsprechende Enterprise-Anwendung automatisch in Ihrer Microsoft Entra ID (Azure AD) erstellt. Um dies zu umgehen, bitten Sie Ihre IT-Abteilung, Ihrem Benutzer die benötigten Berechtigungen zu erteilen.

Intune-Konfigurationsprobleme

Profilzuweisung

WLAN-Konfiguration wird nicht bereitgestellt, wenn WLAN-, SCEP- und Vertrauenszertifikatsprofile verschiedenen Gruppen zugewiesen sind. Sie könnten als "Ausstehend" angezeigt werden oder es gibt gar keinen Status. Bitte verwenden Sie die gleiche Gruppe oder „Alle Geräte“ bzw. „Alle Benutzer“ für alle verknüpften Profile.

Sie können das SCEP-Stammzertifikatprofil sowohl "Alle Benutzer" als auch "Alle Geräte" zuweisen, wenn Sie ein Gerät (zugewiesen zu "Alle Geräte") und ein Benutzerzertifikat (zugewiesen zu "Alle Benutzer") im Einsatz haben.

SCEP-Zertifikat

Android

Android scheint in neueren Versionen ein UPN im Subject Alternative Name zu verlangen (auch für Gerätezertifikate). Bitte fügen Sie dies in Ihrem SCEP-Profil hinzu (z. B. {{DeviceId}}@contoso.com):

WLAN-Profil

Android

Häufige Fehlercodes: 0xc7d24fc5 oder -942518331

Wichtige Punkte sind:

• wählen Sie das Root-CA-Zertifikat für Servervalidierung (wichtig: laden Sie nicht das Serverzertifikat des RADIUSaaS hoch) - und -

• definieren Sie einen RADIUS-Servernamen

  • Hinweis: Für dieses Feld scheint es eine Begrenzung der Zeichenanzahl zu geben. Um mögliche Probleme zu lösen, können Sie einfach den Domain-Teil ohne Subdomain verwenden, z. B. "radius-as-a-service.com" (anstatt "contoso.radius-as-a-service.com").

  • Android-Entwickler geben an: "[...] müssen konfigurieren sowohl ein Root-CA-Zertifikat, und entweder ein Domain-Suffix-Abgleich oder einen alternativen Subject-Abgleich". Das MDM kann also nach dem Hinzufügen eines Stammzertifikats zur WLAN-Konfiguration "setAltSubjectMatch" oder "setDomainSuffixMatch" verwenden. Intune scheint "setDomainSuffixMatch" zu verwenden, da bereits "radius-as-a-service.com" ausreicht.

• manchmal Identitätsverschleierung ist erforderlich (z. B. beobachtet bei Android-Kioskgeräten / Android Enterprise Dedicated)