Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

Fehlerbehebung

Verbindungsprobleme

Client-Ansicht

Falsches XML

Verbindung nicht möglich, da Sie zum Anmelden ein Zertifikat benötigen. Wenden Sie sich an Ihre IT-Supportperson.

Überprüfen Sie, ob Ihr Client über ein Zertifikat zur Authentifizierung verfügt und ob Sie das richtige verwenden WiFi-Konfigurationsprofil oder XML.

Probleme mit vertrauenswürdigem Root

Verbindung zu diesem Netzwerk nicht möglich.

Stellen Sie sicher, dass Sie Folgendes getan haben:

  • Ihrem RADIUS-Server mitgeteilt, welche Zertifikate gemäß Beschreibung für die Verbindung zugelassen sind hier

  • Das aktive RADIUS-Serverzertifikat auf Ihrem Client gemäß Beschreibung als vertrauenswürdiges Root importiert hier

  • Überprüfen Sie Ihre Protokolle. Es gibt eine ausführliche Beschreibung des Fehlers. Vielleicht ist es ein diesem Problem.

Verbindung fortsetzen?

Verbindung fortsetzen? Wenn Sie an diesem Standort Corporate WiFi erwarten, fahren Sie fort und verbinden Sie sich. Andernfalls handelt es sich möglicherweise um ein anderes Netzwerk mit demselben Namen.

Zertifikatsdetails anzeigen.

Wenn Ihre Clients bei der ersten Verbindung verifizieren müssen und Sie diesen Dialog sehen:

Stellen Sie sicher, dass Sie das RADIUS-Serverzertifikat in Ihrem WiFi-Profil referenziert und das SAN-Attribut (FQDN) sowie den allgemeinen Namen (CN) des Serverzertifikats angegeben haben:

Anzeige des SAN-Attributs (FQDN) und des allgemeinen Namens (CN) des Serverzertifikats

Server-Ansicht

Unbekannte CA

Wenn Ihre Protokolle Fehlermeldungen enthalten, die den unten gezeigten ähneln

kann dies die folgenden Ursachen haben:

  • Client wirft Fehler aus TLS-Alarm read:fatal:unknown CA

    • Ihr Client kennt das Serverzertifikat nicht und lehnt die Verbindung ab. Stellen Sie sicher, dass Sie Ihr Serverzertifikat wie beschrieben hinzugefügt haben hier.

    • Sie haben ein neues Serverzertifikat geändert/hinzugefügt und Ihr XML-Profil auf dem Client verwendet das alte. In diesem Fall prüfen Sie bitte doppelt, ob Sie entweder Ihr WiFi-/Kabelprofil aktualisiert oder Ihr XML nach dem Hinzufügen der Zertifikate neu generiert und an Ihre Clients verteilt haben.

  • Server wirft Fehler aus TLS-Alarm write:fatal:unknown CA

    • Ihr RADIUS-Server kennt den Aussteller des für die Authentifizierung verwendeten Zertifikats nicht. Fügen Sie Ihre CA wie beschrieben hinzu hier.

Zertifikat unbekannt

Wenn Sie macOS (und möglicherweise andere Apple-Plattformen) verwenden und wenn Ihre Protokolle Fehlermeldungen enthalten, die der unten gezeigten ähneln

kann dies die folgenden Ursachen haben:

  • Irgendwo in der Zertifikat-Servername in Ihrem WLAN oder Kabelgebunden Konfigurationsprofil befindet sich ein Leerzeichen.

Entschlüsselungsfehler | Zugriff verweigert

Wenn Ihre Protokolle Fehlermeldungen enthalten, die den unten gezeigten ähneln

... dann ist es wahrscheinlich ein Fehler der TPM-Software auf Ihren Windows-Maschinen. Weitere Informationen dazu finden Sie in der SCEPman-Dokumentation.

Wenn Sie so etwas in Ihren Protokolle

... kann es zwei Gründe geben. Einer ist, dass Ihr WiFi-Profil das falsche Root-Zertifikat zur Servervalidierung referenziert. Bitte stellen Sie sicher, dass Ihr Profil korrekt eingerichtet ist. Falls das der Fall ist und das Problem weiterhin besteht, versuchen Sie bitte, Ihren KSP auf Software-KSP.

Die Einstellung Key Storage Provider (KSP) bestimmt den Speicherort des privaten Schlüssels für die Endbenutzerzertifikate. Die Speicherung im TPM ist sicherer als die Softwarespeicherung, da das TPM eine zusätzliche Sicherheitsebene bietet, um Schlüsseldiebstahl zu verhindern. Allerdings gibt es einen Fehler in einigen älteren TPM-Firmware-Versionen der einige mit einem TPM-gestützten privaten Schlüssel erstellte Signaturen ungültig macht. In solchen Fällen kann das Zertifikat nicht für EAP-Authentifizierung verwendet werden, wie sie bei Wi-Fi- und VPN-Verbindungen üblich ist. Betroffene TPM-Firmware-Versionen umfassen:

  • STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100

  • Intel: 11.8.50.3399, 2.0.0.2060

  • Infineon: 7.63.3353.0

  • IFX: Version 3.19 / Spezifikation 1.2

Wenn Sie TPM mit dieser Firmware verwenden, aktualisieren Sie entweder Ihre Firmware auf eine neuere Version oder wählen Sie "Software-KSP" als Schlüssel-Speicheranbieter.

Kann nicht fortfahren, da sich der Peer fehlerhaft verhält

Wenn Ihre Protokolle Ablehnungen mit dem Fehler enthalten "Kann nicht fortfahren, da sich der Peer fehlerhaft verhält" weist dies darauf hin, dass der Client die Kommunikation mit dem RADIUS-Dienst eingestellt hat, meistens weil die Vertrauenseinstellungen falsch sind. Bitte überprüfen Sie in diesem Fall die Zertifikate auf den betroffenen Geräten.

Falsches gemeinsam genutztes RADIUS-Geheimnis

Wenn Ihre (Proxy) Protokolle Fehlermeldungen enthalten, die den unten gezeigten ähneln

dann verwendet einer Ihrer Access Points oder Switches, der versucht, über einen RADIUS Proxy eine nicht übereinstimmende Gemeinsames Geheimnis.

Um den betroffenen Access Point oder Switch zu identifizieren, bestimmen Sie zunächst den RADIUS-Proxy, indem Sie die Fehlermeldung erweitern und nach dem proxyip Attribut suchen. Nachdem Sie nun den Proxy kennen, verwenden Sie Ihr Inventar und Ihr Wissen über bestimmte Standorte oder Gerätegruppen, die keine Verbindung zu Ihrem Netzwerk herstellen können, um das falsch konfigurierte Netzwerkgerät zu identifizieren. Aktualisieren Sie schließlich das gemeinsam genutzte Geheimnis, sodass es dem in Ihrer RADIUSaaS-Instanz für diesen Proxy konfigurierten Wert entspricht.

Zertifikatsprobleme

Zertifikatskette konnte nicht überprüft werden

Wenn Sie Ihr eigenes Serverzertifikat verwenden möchten, benötigt Ihr RADIUS-Server die vollständige Zertifikatskette, damit andere Teilnehmer (Proxy, RadSec-Clients, Endpunkte, die eine Verbindung herstellen möchten) die Identität des Servers überprüfen können. Wenn Sie diese Meldung sehen, kopieren Sie entweder das CA-Zertifikat unten in das Textfeld unter das Serverzertifikat oder erstellen Sie ein PCKS8-Zertifikat-Bundle, das alle Zertifikate vom Leaf bis zum Root enthält.

Probleme mit dem Admin-Portal

Anmeldung

Um sich beim RADIUSaaS-Webportal ("RADIUSaas Admin Portal") anzumelden, müssen die folgenden Voraussetzungen erfüllt sein:

  • Die von Ihnen als technischer Admin angegebene UPN/E-Mail-Adresse muss gegen einen beliebigen Microsoft Entra ID (Azure AD) authentifizierbar sein (es muss sich nicht um eine Identität aus dem Mandanten handeln, dessen Benutzer RADIUSaaS für die Netzwerkauthentifizierung nutzen werden).

  • Die von Ihnen als technischer Admin angegebene UPN/E-Mail-Adresse muss auf Ihrer RADIUSaaS-Instanz wie beschrieben registriert worden sein hier. Falls es sich um den ersten Admin handelt, bitte kontaktieren Sie uns wenn Sie glauben, dass wir den falschen Benutzer registriert haben.

  • Das Microsoft Entra ID (Azure AD)-Benutzerobjekt hinter der UPN/E-Mail-Adresse muss berechtigt sein, der RADIUSaaS Enterprise Application die folgenden Berechtigungen zu gewähren (siehe Screenshot unten):

    • Lesen das grundlegende Benutzerprofil

    • Verwalten Zugriff auf Daten behalten, für die Sie ihm Zugriff gewährt haben (Anforderung eines Aktualisierungstokens zulassen)

  • Falls Ihr Microsoft Entra ID (Azure AD)-Benutzer keine Rechte hat, die erforderlichen Berechtigungen zu gewähren, wird kein entsprechendes Enterprise Application in Ihrem Microsoft Entra ID (Azure AD) automatisch erstellt. Um dies zu umgehen, bitten Sie Ihre IT-Abteilung, Ihrem Benutzer die benötigten Berechtigungen zu gewähren.

Intune-Konfigurationsprobleme

Profilzuweisung

Die Wi-Fi-Konfiguration wird nicht bereitgestellt, wenn Wi-Fi-, SCEP- und Vertrauenszertifikatsprofile verschiedenen Gruppen zugewiesen sind. Sie können als "Ausstehend" erscheinen oder es gibt überhaupt keinen Status. Bitte verwenden Sie die gleiche Gruppe oder "Alle Geräte" bzw. "Alle Benutzer" für alle verknüpften Profile.

Sie können das SCEP-Root-Zertifikatsprofil sowohl "Allen Benutzern" als auch "Allen Geräten" zuweisen, wenn Sie ein Gerät (zugewiesen an "Allen Geräten") und ein Benutzerzertifikat (zugewiesen an "Allen Benutzern") verwenden.

SCEP-Zertifikat

Android

Android scheint in neueren Versionen eine UPN im SAN-Attribut (Subject Alternative Name) zu benötigen (selbst für Gerätezertifikate). Bitte fügen Sie dies in Ihrem SCEP-Profil hinzu (z. B. {{DeviceId}}@contoso.com):

Wi-Fi-Profil

Android

Häufige Fehlercodes: 0xc7d24fc5 oder -942518331

Wichtige Punkte sind:

  • wählen Sie das Root-CA-Zertifikat für Servervalidierung (wichtig: laden Sie nicht das Serverzertifikat von RADIUSaaS hoch) - und -

  • definieren Sie einen RADIUS-Servernamen

    • Hinweis: Für dieses Feld scheint es eine Zeichenbeschränkung zu geben. Um mögliche Probleme zu beheben, können Sie einfach den Domain-Teil ohne Subdomain verwenden, wie "radius-as-a-service.com" (anstelle von "contoso.radius-as-a-service.com").

    • Android-Entwickler stellen fest: "[...] muss konfigurieren sowohl ein Root-CA-Zertifikat, und entweder eine Übereinstimmung des Domain-Suffixes oder eine alternative Subject-Übereinstimmung". Daher kann das MDM nach dem Hinzufügen eines Root-Zertifikats zur Wi-Fi-Konfiguration "setAltSubjectMatch" oder "setDomainSuffixMatch" verwenden. Intune scheint "setDomainSuffixMatch" zu verwenden, da einfach "radius-as-a-service.com" ausreicht.

  • manchmal Identitätsschutz erforderlich ist (z. B. auf Android-Kioskgeräten / Android Enterprise dedicated)

Zuletzt aktualisiert

War das hilfreich?