# Fehlerbehebung
## Verbindungsprobleme
### Client-Ansicht
#### Falsches XML
{% hint style="warning" %}
Verbindung nicht möglich, da Sie zum Anmelden ein Zertifikat benötigen. Wenden Sie sich an Ihre IT-Supportperson.
{% endhint %}
Überprüfen Sie, ob Ihr Client über ein Zertifikat zur Authentifizierung verfügt und ob Sie das richtige verwenden [WiFi-Konfigurationsprofil](/de/profilbereitstellung/microsoft-intune/wifi-profile.md) oder [XML](/de/admin-portal/settings/trusted-roots.md#xml).
#### Probleme mit vertrauenswürdigem Root
{% hint style="warning" %}
Verbindung zu diesem Netzwerk nicht möglich.
{% endhint %}
Stellen Sie sicher, dass Sie Folgendes getan haben:
* Ihrem RADIUS-Server mitgeteilt, welche Zertifikate gemäß Beschreibung für die Verbindung zugelassen sind [hier](/de/admin-portal/settings/trusted-roots.md#add)
* Das aktive RADIUS-Serverzertifikat auf Ihrem Client gemäß Beschreibung als vertrauenswürdiges Root importiert [hier](/de/profilbereitstellung/microsoft-intune/trusted-root.md#to-add-a-trusted-root-profile-for-your-clients)
* Überprüfen Sie Ihre [Protokolle](/de/admin-portal/insights/log.md#logs). Es gibt eine ausführliche Beschreibung des Fehlers. Vielleicht ist es ein [diesem](/de/andere/troubleshooting.md#fatal-decrypt-error) Problem.
#### Verbindung fortsetzen?
{% hint style="warning" %}
Verbindung fortsetzen? \
Wenn Sie an diesem Standort Corporate WiFi erwarten, fahren Sie fort und verbinden Sie sich. Andernfalls handelt es sich möglicherweise um ein anderes Netzwerk mit demselben Namen.
Zertifikatsdetails anzeigen.
{% endhint %}
Wenn Ihre Clients bei der ersten Verbindung verifizieren müssen und Sie diesen Dialog sehen:
Stellen Sie sicher, dass Sie das RADIUS-Serverzertifikat in Ihrem WiFi-Profil referenziert und das SAN-Attribut (FQDN) sowie den allgemeinen Namen (CN) des Serverzertifikats angegeben haben:
Anzeige des SAN-Attributs (FQDN) und des allgemeinen Namens (CN) des Serverzertifikats
### Server-Ansicht
#### Unbekannte CA
Wenn Ihre [Protokolle](/de/admin-portal/insights/log.md#logs) Fehlermeldungen enthalten, die den unten gezeigten ähneln
```
FEHLER: (14872) eap_tls: FEHLER: SSL meldet Fehler 20 : lokales Ausstellerzertifikat konnte nicht abgerufen werden
FEHLER: (14872) eap_tls: FEHLER: TLS Alert write:fatal:unknown CA
Fehler: tls: TLS_accept: Fehler im Fehler
Auth: (14872) Anmeldedaten falsch (eap_tls: SSL meldet Fehler 20 : lokales Ausstellerzertifikat konnte nicht abgerufen werden): [host/8dc38402-20fb-41db-a8f3-4e4e95637173/] (von Client contoso Port 1 cli 18-9K-EA-0H-7F-C5)
```
kann dies die folgenden Ursachen haben:
* Client wirft Fehler aus `TLS-Alarm read:fatal:unknown CA`
* Ihr Client kennt das **Serverzertifikat** nicht und lehnt die Verbindung ab. Stellen Sie sicher, dass Sie Ihr **Serverzertifikat** wie beschrieben hinzugefügt haben [hier](/de/profilbereitstellung/microsoft-intune/trusted-root.md#adding-a-trusted-root-profile-for-your-clients).
* Sie haben ein neues **Serverzertifikat** geändert/hinzugefügt und Ihr XML-Profil auf dem Client verwendet das alte. In diesem Fall prüfen Sie bitte doppelt, ob Sie entweder Ihr WiFi-/Kabelprofil aktualisiert oder Ihr [XML](/de/admin-portal/settings/trusted-roots.md#xml) nach dem Hinzufügen der Zertifikate neu generiert und an Ihre Clients verteilt haben.
* Server wirft Fehler aus `TLS-Alarm write:fatal:unknown CA`
* Ihr RADIUS-Server kennt den Aussteller des für die Authentifizierung verwendeten Zertifikats nicht. Fügen Sie Ihre CA wie beschrieben hinzu [hier](/de/admin-portal/settings/trusted-roots.md#add).
#### Zertifikat unbekannt
Wenn Sie macOS (und möglicherweise andere Apple-Plattformen) verwenden und wenn Ihre [Protokolle](/de/admin-portal/insights/log.md#logs) Fehlermeldungen enthalten, die der unten gezeigten ähneln
```
eap_tls: (TLS) TLS - Alert read:fatal:certificate unknown
```
kann dies die folgenden Ursachen haben:
* Irgendwo in der **Zertifikat-Servername** in Ihrem [WLAN](/de/profilbereitstellung/microsoft-intune/wifi-profile/apple-devices.md) oder [Kabelgebunden](/de/profilbereitstellung/microsoft-intune/wired-profile/mac.md) Konfigurationsprofil befindet sich ein Leerzeichen.
#### Entschlüsselungsfehler | Zugriff verweigert
Wenn Ihre [Protokolle](/de/admin-portal/insights/log.md#logs) Fehlermeldungen enthalten, die den unten gezeigten ähneln
```
Auth: (312) Anmeldedaten falsch (eap_tls: TLS-Alarm write:fatal:decrypt error): [host/00128t09-cbna-469c-9768-2783d28eikl9/] (von Client contoso Port 1 cli 84-FD-D1-8C-0E-33)
FEHLER: (320) eap_tls: FEHLER: TLS-Alarm write:fatal:decrypt error
Fehler: tls: TLS_accept: Fehler im Fehler
```
... dann ist es wahrscheinlich ein Fehler der TPM-Software auf Ihren Windows-Maschinen. Weitere Informationen dazu finden Sie in der [SCEPman-Dokumentation](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
Wenn Sie so etwas in Ihren [Protokolle](/de/admin-portal/insights/log.md#logs)
```
FEHLER: (95878) eap_tls: FEHLER: (TLS) Alert read:fatal:access denied
Auth: (95878) Anmeldedaten falsch (eap_tls: (TLS) Alert read:fatal:access denied): [host/kad933-161d-4aa8-aeaa-b5a4d3d53b12]
FEHLER: (95717) eap_tls: FEHLER: (TLS) Alert read:fatal:access denied
```
... kann es zwei Gründe geben. Einer ist, dass Ihr WiFi-Profil das falsche Root-Zertifikat zur Servervalidierung referenziert. Bitte stellen Sie sicher, dass Ihr Profil korrekt eingerichtet ist. Falls das der Fall ist und das Problem weiterhin besteht, versuchen Sie bitte, Ihren KSP auf [**Software-KSP**](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
{% hint style="warning" %}
Die Einstellung Key Storage Provider (KSP) bestimmt den Speicherort des privaten Schlüssels für die Endbenutzerzertifikate. Die Speicherung im TPM ist sicherer als die Softwarespeicherung, da das TPM eine zusätzliche Sicherheitsebene bietet, um Schlüsseldiebstahl zu verhindern. Allerdings gibt es **einen Fehler in einigen älteren TPM-Firmware-Versionen** der einige mit einem TPM-gestützten privaten Schlüssel erstellte Signaturen ungültig macht. In solchen Fällen kann das Zertifikat nicht für EAP-Authentifizierung verwendet werden, wie sie bei Wi-Fi- und VPN-Verbindungen üblich ist. Betroffene TPM-Firmware-Versionen umfassen:
* STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100
* Intel: 11.8.50.3399, 2.0.0.2060
* Infineon: 7.63.3353.0
* IFX: Version 3.19 / Spezifikation 1.2
Wenn Sie TPM mit dieser Firmware verwenden, aktualisieren Sie entweder Ihre Firmware auf eine neuere Version oder wählen Sie "Software-KSP" als Schlüssel-Speicheranbieter.
{% endhint %}
#### Kann nicht fortfahren, da sich der Peer fehlerhaft verhält
Wenn Ihre Protokolle Ablehnungen mit dem Fehler enthalten *"Kann nicht fortfahren, da sich der Peer fehlerhaft verhält"* weist dies darauf hin, dass der Client die Kommunikation mit dem RADIUS-Dienst eingestellt hat, meistens weil die Vertrauenseinstellungen falsch sind. Bitte überprüfen Sie in diesem Fall die Zertifikate auf den betroffenen Geräten.
#### Falsches gemeinsam genutztes RADIUS-Geheimnis
Wenn Ihre (Proxy) [Protokolle](/de/admin-portal/insights/log.md#logs) Fehlermeldungen enthalten, die den unten gezeigten ähneln
```
- Nachrichtenauthentifikator, falscher Wert
- buf2radmsg: Nachrichtenauthentifizierung fehlgeschlagen
- radsrv: Anfrage von default (8.222.246.231) ignorieren, Validierung fehlgeschlagen
```
dann verwendet einer Ihrer Access Points oder Switches, der versucht, über einen [RADIUS Proxy](/de/admin-portal/settings/settings-proxy.md) eine nicht übereinstimmende [Gemeinsames Geheimnis](/de/admin-portal/settings/settings-server.md#properties-1).
Um den betroffenen Access Point oder Switch zu identifizieren, bestimmen Sie zunächst den RADIUS-Proxy, indem Sie die Fehlermeldung erweitern und nach dem `proxyip` Attribut suchen. Nachdem Sie nun den Proxy kennen, verwenden Sie Ihr Inventar und Ihr Wissen über bestimmte Standorte oder Gerätegruppen, die keine Verbindung zu Ihrem Netzwerk herstellen können, um das falsch konfigurierte Netzwerkgerät zu identifizieren. Aktualisieren Sie schließlich das gemeinsam genutzte Geheimnis, sodass es dem in Ihrer RADIUSaaS-Instanz für diesen Proxy konfigurierten Wert entspricht.
## Zertifikatsprobleme
### Zertifikatskette konnte nicht überprüft werden
Wenn Sie Ihr eigenes Serverzertifikat verwenden möchten, benötigt Ihr RADIUS-Server die vollständige Zertifikatskette, damit andere Teilnehmer (Proxy, RadSec-Clients, Endpunkte, die eine Verbindung herstellen möchten) die Identität des Servers überprüfen können. \
Wenn Sie diese Meldung sehen, kopieren Sie entweder das CA-Zertifikat unten in das Textfeld unter das Serverzertifikat oder erstellen Sie ein PCKS8-Zertifikat-Bundle, das alle Zertifikate vom Leaf bis zum Root enthält.
## Probleme mit dem Admin-Portal
### Anmeldung
Um sich beim RADIUSaaS-Webportal ("RADIUSaas Admin Portal") anzumelden, müssen die folgenden Voraussetzungen erfüllt sein:
* Die von Ihnen als technischer Admin angegebene UPN/E-Mail-Adresse muss gegen **einen beliebigen** Microsoft Entra ID (Azure AD) authentifizierbar sein (es muss sich nicht um eine Identität aus dem Mandanten handeln, dessen Benutzer RADIUSaaS für die Netzwerkauthentifizierung nutzen werden).
* Die von Ihnen als technischer Admin angegebene UPN/E-Mail-Adresse muss auf Ihrer RADIUSaaS-Instanz wie beschrieben registriert worden sein [hier](/de/admin-portal/settings/permissions.md). Falls es sich um den ersten Admin handelt, bitte [kontaktieren Sie uns](https://www.radius-as-a-service.com/help/) wenn Sie glauben, dass wir den falschen Benutzer registriert haben.
* Das Microsoft Entra ID (Azure AD)-Benutzerobjekt hinter der UPN/E-Mail-Adresse muss berechtigt sein, der RADIUSaaS Enterprise Application die folgenden Berechtigungen zu gewähren (siehe Screenshot unten):
* **Lesen** das grundlegende Benutzerprofil
* **Verwalten** Zugriff auf Daten behalten, für die Sie ihm Zugriff gewährt haben (Anforderung eines Aktualisierungstokens zulassen)\
* Falls Ihr Microsoft Entra ID (Azure AD)-Benutzer keine Rechte hat, die erforderlichen Berechtigungen zu gewähren, wird kein entsprechendes **Enterprise Application** in Ihrem Microsoft Entra ID (Azure AD) automatisch erstellt. Um dies zu umgehen, bitten Sie Ihre IT-Abteilung, Ihrem Benutzer die benötigten Berechtigungen zu gewähren.
## Intune-Konfigurationsprobleme
### Profilzuweisung
Die Wi-Fi-Konfiguration wird nicht bereitgestellt, wenn Wi-Fi-, SCEP- und Vertrauenszertifikatsprofile verschiedenen Gruppen zugewiesen sind. Sie können als "Ausstehend" erscheinen oder es gibt überhaupt keinen Status. Bitte verwenden Sie die **gleiche Gruppe oder "Alle Geräte" bzw. "Alle Benutzer"** für **alle verknüpften Profile**.
Sie können das SCEP-Root-Zertifikatsprofil sowohl "Allen Benutzern" als auch "Allen Geräten" zuweisen, wenn Sie ein Gerät (zugewiesen an "Allen Geräten") und ein Benutzerzertifikat (zugewiesen an "Allen Benutzern") verwenden.
### SCEP-Zertifikat
#### Android
Android scheint in neueren Versionen eine UPN im SAN-Attribut (Subject Alternative Name) zu benötigen (selbst für Gerätezertifikate). Bitte fügen Sie dies in Ihrem SCEP-Profil hinzu (z. B. {{DeviceId}}@contoso.com):
### Wi-Fi-Profil
#### Android
Häufige Fehlercodes: 0xc7d24fc5 oder -942518331
Wichtige Punkte sind:
* wählen Sie das **Root-CA-Zertifikat** für **Servervalidierung** (wichtig: laden Sie nicht das Serverzertifikat von RADIUSaaS hoch)\
\&#xNAN;**- und -**
* definieren Sie einen **RADIUS-Servernamen**
* Hinweis: Für dieses Feld scheint es eine Zeichenbeschränkung zu geben. Um mögliche Probleme zu beheben, können Sie einfach den Domain-Teil ohne Subdomain verwenden, wie "radius-as-a-service.com" (anstelle von "contoso.radius-as-a-service.com").
* [Android-Entwickler](https://developer.android.com/guide/topics/connectivity/wifi-enterprise) stellen fest: "\[...] muss konfigurieren **sowohl ein Root-CA-Zertifikat**, und entweder eine **Übereinstimmung des Domain-Suffixes** oder eine alternative Subject-Übereinstimmung". Daher kann das MDM nach dem Hinzufügen eines Root-Zertifikats zur Wi-Fi-Konfiguration "setAltSubjectMatch" oder "setDomainSuffixMatch" verwenden. Intune scheint "setDomainSuffixMatch" zu verwenden, da einfach "radius-as-a-service.com" ausreicht.
* manchmal **Identitätsschutz** erforderlich ist (z. B. auf Android-Kioskgeräten / Android Enterprise dedicated)
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/de/andere/troubleshooting.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.