Windows XP – so beheben Sie Probleme beim Zugriff auf drahtlose IEEE 802.11-Netzwerke

  • Artikel

Inhalt

In diesem Artikel werden die Tools zur Problembehandlung für einen drahtlosen Client unter Windows XP, einen drahtlosen Zugriffspunkt (AP – Access Point) und den Internetauthentifizierungsdienst (IAS – Internet Authentication Service) bei der Verwendung von IEEE 802.1X-Authentifizierung für drahtlose Verbindungen auf Grundlage von IEEE 802.11 erläutert und wie diese Tools zum Abrufen von Informationen zur Problembehandlung eingesetzt werden. Außerdem werden die häufigsten Probleme bei der IAS-Authentifizierung und -Autorisierung, bei Zertifikateigenschaften und beim Überprüfen der Zertifikate für drahtlose Clients und IAS-Server beschrieben.

Informationen zur Problembehandlung bei drahtlosen Verbindungen in drahtlosen Netzwerken, bei denen nicht 802.1X-Authentifizierung verwendet wird, finden Sie unter Troubleshooting Microsoft Windows XP-based Wireless Networks in the Small Office or Home Office (in englischer Sprache).

Auf dieser Seite

Dn151215.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Tools zur Problembehandlung in Windows XP

Dn151215.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Tools zur Problembehandlung für drahtlose APs

Dn151215.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Tools zur Problembehandlung für IAS

Dn151215.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Problembehandlung bei IAS-Authentifizierung und -Autorisierung

Dn151215.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zusammenfassung

Dn151215.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verwandte Links

Tools zur Problembehandlung in Windows XP

Bei den Tools zur Problembehandlung für drahtlose Verbindungen unter Windows XP handelt es sich um den Ordner Netzwerkverbindungen und um die Ablaufverfolgung für Netzwerkverbindungen.

Ordner "Netzwerkverbindungen"

Der Ordner Netzwerkverbindungen und die Windows XP-Benachrichtigungssymbole stellen Informationen über den Status der Authentifizierung zur Verfügung. Wenn für eine Authentifizierung zusätzliche Informationen vom Benutzer erforderlich sind, wie z. B. die Auswahl eines Benutzerzertifikats, wird ein Textsymbol mit entsprechender Aufforderung eingeblendet. Der Status der Verbindung wird mithilfe eines Texts angegeben, der im Ordner Netzwerkverbindungen unter dem Verbindungsnamen angezeigt wird, der dem drahtlosen Netzwerkadapter entspricht.

In Abbildung 1 werden die im Windows XP-Ordner Netzwerkverbindungen verfügbaren Informationen für eine drahtlose Verbindung dargestellt.

Dn151215.B29A1E17679B2331C53CBDF7EA6022FD(de-de,TechNet.10).png

Abbildung 1 Eine drahtlose Netzwerkverbindung im Ordner "Netzwerkverbindungen"

Abbildung vergrößern

Windows XP Service Pack 2 (SP2) verfügt über erweiterte Reparaturmöglichkeiten für drahtlose Verbindungen. Die Funktion Reparieren kann mithilfe des Kontextmenüs Reparieren einer Verbindung oder im Dialogfeld Status einer Verbindung auf der Registerkarte Support mithilfe der Schaltfläche Reparieren aufgerufen werden. Wenn Sie eine drahtlose Verbindung reparieren, wird die Verbindung getrennt und erneut hergestellt. Durch diese Vorgehensweise werden viele Fehlerbedingungen von drahtlosen Netzwerkadaptern behoben.

Wenn ein drahtloser Client, auf dem Windows XP mit SP2 ausgeführt wird, versucht, eine drahtlose Verbindung herzustellen, durchläuft er folgende Authentifizierungsstatus, die im Ordner Netzwerkverbindungen als Status der drahtlosen Verbindung und im Dialogfeld Status der neuen drahtlosen Verbindung sowie im Dialogfeld Drahtlosnetzwerkverbindung angezeigt werden:

  • Identität wird bestätigt Für die Verbindung mit dem drahtlosen Netzwerk sind Anmeldeinformationen erforderlich.
  • Authentifizierungsversuch Die Anmeldeinformationen werden mit dem drahtlosen Netzwerk ausgetauscht, um eine drahtlose Verbindung zu authentifizieren.
  • Authentifizierung fehlgeschlagen Die Anmeldeinformationen zum Verbinden mit dem drahtlosen Netzwerk sind ungültig, die Authentifizierung ist fehlgeschlagen.
  • Verbunden Die Anmeldeinformationen zum Herstellen einer Verbindung mit dem drahtlosen Netzwerk sind gültig.

Bei erfolgreicher Authentifizierung versucht ein drahtloser Client, auf dem Windows XP mit SP2 ausgeführt wird, eine gültige IP-Adresskonfiguration zu erhalten. Dabei durchläuft er folgende Status, die im Ordner Netzwerkverbindungen als Status der drahtlosen Verbindung, im neuen Dialogfeld Status der drahtlosen Verbindung und im Dialogfeld Drahtlosnetzwerkverbindung angezeigt werden:

  • Netzwerkadresse beziehen Eine IP-Adresskonfiguration wird mithilfe des Dynamic Host Configuration-Protokolls (DHCP) abgerufen.
  • Eingeschränkte oder keine Konnektivität Ein DHCP-Server wurde nicht erreicht, und eine automatische private IP-Adressierungs-Adresse (APIPA – Automatic Private IP Addressing) des Bereichs 169.254.0.0/16 wurde zugewiesen. Dieser Status wird für drahtlose Ad-hoc-Netzwerke, die normalerweise nicht über DHCP-Server verfügen, nicht angezeigt. Stattdessen wird als Verbindungsstatus "Verbunden" angezeigt.
  • Verbunden Ein DHCP-Server wurde erreicht und eine gültige IP-Adresskonfiguration wurde abgerufen.

Durch diese Verbesserungen erhält der Benutzer und der für die Behandlung von Netzwerkproblemen Verantwortliche ausführlichere Informationen über den Fortschritt der drahtlosen Verbindung – von der anfänglichen Zuordnung bis zur Zuordnung einer gültigen IP-Adresse.

Wenn die drahtlose Verbindung eine APIPA-Adresse erhält, wird in Windows XP mit SP2 folgende Warnmeldung im Infobereich des Desktops angezeigt: "Diese Verbindung verfügt über keine bzw. eingeschränkte Konnektivität. Sie können eventuell nicht auf das Internet oder einige Netzwerkressourcen zugreifen. Klicken Sie auf diese Meldung, um weitere Informationen zu erhalten." Wenn Sie auf die Meldung klicken, wird in Windows XP die Registerkarte Support des Dialogfelds Status für die drahtlose Verbindung angezeigt. Hier werden weitere Informationen angezeigt, und Sie können versuchen, die Verbindung zu reparieren.

Außerdem können Sie beim Abrufen des Verbindungsstatus auf der Registerkarte Allgemein die Signalstärke sowie auf der Registerkarte Support die IP-Adresskonfiguration anzeigen. Wenn der drahtlose Adapter über eine APIPA-Adresse (169.254.0.0/16) oder die konfigurierte alternative IP-Adresse verfügt, ist die Authentifizierung fehlgeschlagen und dem drahtlosen Windows XP-Client ist noch der drahtlose Zugriffspunkt zugewiesen. Wenn die Authentifizierung fehlgeschlagen und die Zuordnung noch gültig ist, wird der drahtlose Adapter aktiviert und TCP/IP führt einen normalen Konfigurationsvorgang durch. Wird kein DHCP-Server erkannt, wird automatisch eine APIPA- oder alternative Adresse konfiguriert.

Verwenden Sie unter Windows 2000 ab Service Pack 4 (SP4) oder Windows 2000 Service Pack 3 (SP3) mit Microsoft 802.1X-Authentifizierungsclient das Tool Ipconfig, um den Adapterstatus und die IP-Adresskonfiguration des drahtlosen Netzwerkadapters anzuzeigen.

Ablaufverfolgung

Zum Abrufen ausführlicher Informationen zum konfigurationsfreien Dienst für drahtlose Verbindung für Windows XP SP2 und dem EAP-Authentifizierungsvorgang (EAP – Extensible Authentication Protocol) für alle Windows XP-Versionen müssen Sie die Ablaufverfolgung aktivieren, indem Sie netsh ras set tracing * enabled an einer Eingabeaufforderung eingeben.

Um ausführliche Informationen über die Verbindung des konfigurationsfreien Dienstes für drahtlose Verbindung mit einem drahtlosen Netzwerk für Computer, auf denen Windows XP mit SP2 ausgeführt wird, zu erhalten, versuchen Sie, die drahtlose Verbindung erneut herzustellen, und zeigen Sie die Dateien Wzcdlg.log und Wzctrace.log im Ordner SystemRoot\Tracing an.

Um ausführliche Informationen über den EAP-Authentifizierungsvorgang zu erhalten, führen Sie den Authentifizierungsvorgang erneut aus, und zeigen Sie die Dateien Eapol.log und Rastls.log im Ordner SystemRoot\Tracing an.

Unter Windows 2000 können Sie die Ablaufverfolgung auf die gleiche Weise aktivieren, um die Rastls.log-Dateien im Ordner SystemRoot\Tracing anzuzeigen.

Geben Sie zum Deaktivieren der Ablaufverfolgung netsh ras set tracing * disabled an einer Eingabeaufforderung ein.

Weitere Informationen zur Ablaufverfolgung finden Sie in diesem Artikel im Abschnitt "Tools zur Problembehandlung für IAS".

Servernamen

Unter Windows XP mit SP1, Windows XP mit SP2, Windows Server 2003 oder Windows 2000 mit SP4 können Sie auf der Registerkarte Authentifizierung für die Eigenschaften eines drahtlosen Netzwerks unter den Eigenschaften des Typs Smartcard oder anderer EAP-Zertifikattypen unter Verbindung mit diesen Servern herstellen die Namen der Server angeben, die den drahtlosen Client authentifizieren müssen. Die Servernamen müssen mit den Namen der authentifizierenden Server übereinstimmen, da sonst die Authentifizierung fehlschlägt. In Abbildung 2 sind die Standardeigenschaften des Typs Smartcard und anderer EAP-Zertifikattypen für Windows XP mit SP1, Windows XP mit SP2 und Windows Server 2003 abgebildet.

Dn151215.F75516A70D2D9697BBCD307C0D653AEB(de-de,TechNet.10).png

Abbildung 2 Die Eigenschaften des Typs Smartcard und anderer EAP-Zertifikattypen für Windows XP mit SP1, Windows XP mit SP2 und Windows Server 2003

Wenn der drahtlose Client unter Windows XP ohne installierte Service Packs und Windows 2000 das Serverzertifikat überprüft (diese Funktion ist in der Standardeinstellung aktiviert) und die Zeichenfolge Verbinden, wenn der Servername folgende Endung hat nicht korrekt ist, schlägt die Authentifizierung fehl. Überprüfen Sie mithilfe der Eigenschaften des Typs Smartcard und anderer EAP-Zertifikattypen auf der Registerkarte Authentifizierung der Eigenschaften der drahtlosen Verbindung, die dem drahtlosen LAN-Adapter entspricht, dass die Zeichenfolge korrekt ist. In Abbildung 3 sind die Standardeigenschaften des Typs Smartcard und anderer EAP-Zertifikattypen für Windows XP ohne installierte Service Packs und Windows 2000 abgebildet.

Dn151215.F7E92CC90261814E21C007345F4DA6A7(de-de,TechNet.10).png

Abbildung 3 Die Eigenschaften des Typs Smartcard und anderer EAP-Zertifikattypen für Windows XP ohne installierte Service Packs

Informationen zur allgemeinen Problembehandlung für drahtlose Clients unter Windows XP finden Sie im Microsoft Knowledgebase-Artikel Q313242, "Problembehandlung bei drahtlosen Netzwerkverbindungen in Windows XP”.

Für drahtlose Clients auf Grundlage von Windows Server 2003 können Sie das neue Drahtlosmonitor-Snap-In zum Anzeigen von drahtlosen APs und Ereignisinformationen für drahtlose Clients verwenden.

Dn151215.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Tools zur Problembehandlung für drahtlose APs

Welche Tools zur Problembehandlung für drahtlose APs eingesetzt werden können, ist davon abhängig, welche Tools und welche Verwaltungssoftware mit dem drahtlosen AP zur Verfügung gestellt werden. Zum Beispiel:

  • Einige drahtlose APs stellen Tools zur Analyse der Signalstärke zur Verfügung, mit denen Sie Probleme durch zu geringe Signalstärke und unzureichende Gebietsabdeckung beheben können.
  • Ein drahtloser AP stellt möglicherweise auch eine Pingfunktion zur Verfügung, mit der Sie die Erreichbarkeit des drahtlosen APs mit Standardprotokollen oder proprietären Protokollen für drahtlose Verbindungen überprüfen können.
  • Ein drahtloser AP kann außerdem Simple Network Management Protocol (SNMP) und die 802.11 Management Information Base (MIB) unterstützen.

Weitere Informationen über Tools und Methoden zur Problembehandlung finden Sie in der dem drahtlosen AP beiliegenden Dokumentation.

Dn151215.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Tools zur Problembehandlung für IAS

Es stehen folgende Tools zur Verfügung, um Informationen zur Problembehandlung für IAS zu sammeln:

  • IAS-Ereignisprotokollierung und -Ereignisanzeige
  • Netzwerkmonitor
  • Ablaufverfolgung
  • SNMP-Dienst
  • Systemmonitorindikatoren

IAS-Ereignisprotokollierung und -Ereignisanzeige

Stellen Sie zur Problembehandlung bei IAS-Authentifizierungsversuchen sicher, dass die Option zur Aktivierung der Ereignisprotokollierung für alle IAS-Ereignistypen (abgelehnte, verworfene, und erfolgreiche Authentifizierungsereignisse) aktiviert ist. Diese Option ist in der Standardeinstellung im Authentifizierungsdienst-Snap-In auf der Registerkarte Dienst für die Eigenschaften eines IAS-Servers aktiviert.

Es folgt eine Beispielbeschreibung eines erfolgreichen Authentifizierungsereignisses (Quelle: IAS, Ereignis-ID: 1):

User client@example.com was granted access. 
Fully-Qualified-User-Name = example.com/Users/Client 
NAS-IP-Address = 10.7.0.4 
NAS-Identifier = <not present>  
Client-Friendly-Name = Building 7 Wireless AP 
Client-IP-Address = 10.7.0.4 
NAS-Port-Type = Wireless-IEEE 802.11 
NAS-Port = 6 
Policy-Name = Wireless Remote Access Policy 
Authentication-Type = EAP 
EAP-Type = Smart Card or other Certificate

Fehlgeschlagene Authentifizierungsereignisse sind wie folgt gekennzeichnet: Quelle: IAS, Ereignis-ID: 2.

Das Anzeigen der Authentifizierungsereignisse in diesem Protokoll ist für die Problembehandlung bei RAS-Richtlinien hilfreich. Wenn Sie mehrere RAS-Richtlinien konfiguriert haben, können Sie mithilfe des Systemereignisprotokolls den Namen der RAS-Richtlinie feststellen, die den Verbindungsversuch entweder akzeptiert oder abgelehnt hat (unter Richtlinienname in der Ereignisbeschreibung). Das Aktivieren der IAS-Ereignisprotokollierung und das Lesen des Textes zu den IAS-Authentifizierungsereignissen im Systemereignisprotokoll sind die hilfreichsten Methoden für die Problembehandlung bei fehlgeschlagenen IAS-Authentifizierungen.

Netzwerkmonitor

Zum Sammeln und Anzeigen von RADIUS-Authentifizierungs- und RADIUS-Kontoführungsmeldungen, die an den IAS-Server und vom IAS-Server gesendet werden, können Sie folgende Tools verwenden: Netzwerkmonitor (steht in Microsoft Systems Management Server oder den Windows 2000 Server- und Windows Server 2003-Produktfamilien zur Verfügung) oder ein kommerzielles Programm zur Analyse von Datenpaketen (auch "Network Sniffer" genannt). Netzwerkmonitor beinhaltet einen RADIUS-Parser, mit dem die Attribute einer RADIUS-Meldung angezeigt und Verbindungsprobleme behoben werden können.

Ablaufverfolgung

Windows Server 2003 verfügt über umfassende Funktionen zur Ablaufverfolgung, mit denen Sie komplexe Probleme spezifischer Komponenten beheben können. Mithilfe des Befehls Netsh können Sie die Protokollierung von Ablaufverfolgungsinformationen in Dateien für bestimmte oder für alle Komponenten in Windows Server 2003 aktivieren. Mit folgender Syntax können Sie die Ablaufverfolgung für bestimmte Komponenten aktivieren bzw. deaktivieren:

netsh ras set tracingKomponenteenabled|disabled

Dabei ist Komponente eine Komponente aus der Komponentenliste in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing. Mit folgendem Befehl wird z. B. die Ablaufverfolgung für die Komponente IASRAD aktiviert:

netsh ras set tracing iasrad enabled

Die Ablaufverfolgung kann zwar für einzelne Komponenten aktiviert werden, normalerweise ist es jedoch hilfreicher, die Ablaufverfolgung für alle Komponenten zu aktivieren und sich dann die Datei Rastls.log und die Dateien, die mit "IAS" beginnen, anzusehen.

Mit folgendem Befehl wird die Ablaufverfolgung für alle Komponenten aktiviert:

netsh ras set tracing * enabled

Verwenden Sie folgenden Befehl, um die Ablaufverfolgung für alle Komponenten zu deaktivieren:

netsh ras set tracing * disabled

Die erstellten Protokolldateien werden im Ordner Systemroot\tracing gespeichert.

Da durch die Ablaufverfolgung Systemressourcen in Anspruch genommen werden, sollte sie nur gezielt für die Identifizierung von Netzwerkproblemen verwendet werden. Die Ablaufverfolgung sollte sofort nach Sammlung der Ablaufverfolgungsinformationen oder der Identifizierung des Problems deaktiviert werden. Bei Multiprozessorcomputern darf die Ablaufverfolgung nicht dauerhaft aktiviert sein.

SNMP-Dienst

Mithilfe des SNMP-Dienstes können Sie Statusinformationen des IAS-Servers überwachen. IAS unterstützt die RADIUS- Authentifizierungsserver-MIB (RFC 2619) und die RADIUS-Kontoführungsserver-MIB (RFC 2621).

Systemmonitorindikatoren

Mit Systemmonitor können Sie die Ressourcenverwendung spezifischer Komponenten und Programmprozesse überwachen. Mithilfe von Systemmonitor können Sie Diagramme und Berichte verwenden, um festzustellen, wie effizient der Server IAS verwendet, und um potenzielle Probleme zu identifizieren und zu beheben.

Mit Systemmonitor können folgende IAS-bezogene Leistungsobjekte überwacht werden:

  • IAS-Kontoführungsclient
  • IAS-Kontoführungsserver
  • IAS-Authentifizierungsclient
  • IAS-Authentifizierungsserver

Dn151215.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Problembehandlung bei IAS-Authentifizierung und -Autorisierung

Überprüfen Sie folgende Bedingungen, um die häufigsten Probleme bei der IAS-Authentifizierung und -Autorisierung zu beheben:

  • Der drahtlose AP kann die IAS-Server erreichen.

    Um dies zu testen, versuchen Sie, die IP-Adresse des nicht gesteuerten Ports des drahtlosen APs vom IAS-Server aus zu pingen. Stellen Sie außerdem sicher, dass die IPSec-Richtlinien, IP-Paketfilter, Firewalls und andere Mechanismen, die den Netzwerkverkehr einschränken, nicht den Austausch von RADIUS-Meldungen (UDP-Ports 1812 und 1813) zwischen dem drahtlosen AP und dessen konfigurierten IAS-Servern verhindern.

  • Jedes Paar bestehend aus IAS-Server und drahtlosem AP wird mit einem gemeinsamen geheimen Schlüssel konfiguriert.

  • Überprüfen Sie bei Verwendung einer Zertifizierungsstelle eines Drittanbieters, dass der IAS-Server Internetressourcen erreichen kann, um Überprüfungen auf Zertifikatssperrungen der eigenen Computerzertifikate und von Zertifikaten der drahtlosen Clients durchzuführen. Weitere Informationen finden Sie im Abschnitt "Using a Third-Party CA" des Artikels Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows (in englischer Sprache).

  • Die IAS-Server können einen globalen Katalogserver und einen Active Directory-Domänencontroller erreichen.

  • Die Computerkonten des IAS-Servers sind Mitglieder der RAS- und IAS-Servergruppe der entsprechenden Domänen.

  • Das Benutzer- oder Computerkonto ist weder gesperrt, noch abgelaufen oder deaktiviert, und die Zeit des Verbindungsaufbaus stimmt mit den zugelassenen Anmeldezeiten überein.

  • Das Benutzerkonto wurde nicht durch RAS-Kontosperrung gesperrt.

    RAS-Kontosperrung ist ein Authentifizierungszähl- und Sperrmechanismus, der online ausgeführte Angriffe auf Benutzerkennwörter mithilfe von Wörterbüchern verhindern soll. Weitere Informationen finden Sie unter "Remote Access Account Lockout" im Whitepaper "Internet Authentication Service for Windows 2000" unter https://technet.microsoft.com/en-us/library/bb742380.aspx (in englischer Sprache).

  • Die Verbindung ist autorisiert. Für eine Autorisierung müssen die Parameter des Verbindungsversuchs folgende Bedingungen erfüllen:

    • Die Parameter müssen mit allen Bedingungen von mindestens einer RAS-Richtlinie übereinstimmen.
    • Den Parametern muss durch das Benutzer- oder Computerkonto eine RAS-Berechtigung gewährt werden (Einstellung Zugriff gestatten), oder für die RAS-Berechtigung der ersten übereinstimmenden RAS-Richtlinie muss die Option RAS-Berechtigung erteilen ausgewählt sein, wenn für das Benutzer- oder Computerkonto die Option Zugriff über RAS-Richtlinien steuern ausgewählt ist.
    • Die Parameter müssen allen Profileinstellungen entsprechen.
    • Die Parameter müssen allen Einstellungen der DFÜ-Eigenschaften des Benutzer- oder Computerkontos entsprechen.

    Um den Namen der RAS-Richtlinie zu erhalten, die den Verbindungsversuch abgelehnt hat, müssen Sie sicherstellen, dass die IAS-Ereignisprotokollierung aktiviert ist, und nach Ereignissen suchen, deren Quelle IAS ist und deren Ereignis-ID den Wert 2 hat. Suchen Sie im Text der Ereignismeldung den Namen der RAS-Richtlinie neben dem Feld Richtlinienname.

  • Wenn Sie die Active Directory-Domäne gerade vom gemischten Modus in den systemeigenen Modus umgeschaltet haben, können IAS-Server keine gültigen Verbindungsanfragen mehr authentifizieren. Zum Replizieren der Änderung müssen Sie jeden Domänencontroller neu starten.

Überprüfen des Zertifikats des drahtlosen Clients

Damit der IAS-Server das Zertifikat des drahtlosen Clients überprüfen kann, müssen folgende Bedingungen für jedes Zertifikat der Zertifikatkette, die vom drahtlosen Client gesendet wird, erfüllt sein:

  • Das aktuelle Datum muss sich innerhalb des Gültigkeitsdatumsbereichs des Zertifikats befinden.

    Zertifikate werden mit einem Gültigkeitsdatumsbereich ausgestellt. Vor Beginn des Gültigkeitsdatums können sie nicht verwendet werden, nach dem Gültigkeitsdatum gelten sie als abgelaufen.

  • Das Zertifikat wurde nicht gesperrt.

    Ausgestellte Zertifikate können jederzeit gesperrt werden. Jede ausstellende Zertifizierungsstelle verwaltet durch Veröffentlichen einer aktuellen Zertifikatssperrliste (CRL – Certificate Revocation List) eine Liste von Zertifikaten, die als nicht mehr gültig betrachtet werden sollten. In der Standardeinstellung überprüft der IAS-Server alle Zertifikate der Zertifikatkette des drahtlosen Clients (die Zertifikatreihe vom Zertifikat des drahtlosen Clients zur Stammzertifizierungsstelle) auf Sperrung. Die Zertifikatsbestätigung schlägt fehl, wenn eines der Zertifikate in der Kette gesperrt wurde. Dieses Verhalten kann mithilfe von Registrierungseinstellungen geändert werden, die später unter diesem Thema erläutert werden.

    Rufen Sie zum Anzeigen der Sperrlisten-Verteilungspunkte für ein Zertifikat im Zertifikats-Snap-In die Zertifikatseigenschaften ab, klicken Sie auf die Registerkarte Details und dann auf das Feld Sperrlisten-Verteilungspunkte.

    Die Überprüfung auf Zertifikatssperrung funktioniert nur so gut wie das System zur Sperrlistenveröffentlichung und -verteilung. Wenn die Sperrliste in einem Zertifikat nur selten aktualisiert wird, kann ein bereits gesperrtes Zertifikat immer noch als gültig gelten und verwendet werden, da die vom IAS-Server überprüfte veröffentlichte Sperrliste veraltet ist.

  • Das Zertifikat verfügt über eine gültige digitale Signatur.

    Die Zertifizierungsstellen signieren die ausgestellten Zertifikate digital. Die digitale Signatur jedes Zertifikats der Kette wird vom IAS-Server überprüft (mit Ausnahme des Zertifikats der Stammzertifizierungsstelle), indem der öffentliche Schlüssel der ausgebenden Zertifizierungsstelle abgerufen und die digitale Signatur mathematisch überprüft wird.

Das Zertifikat des drahtlosen Clients muss ebenfalls über den Zertifizierungszweck der Clientauthentifizierung verfügen (auch bekannt als erweiterte Schlüsselverwendung [EKU – Enhanced Key Usage ]) (OID 1.3.6.1.5.5.7.3.2) und muss entweder einen Benutzerprinzipalnamen eines gültigen Benutzerkontos oder einen vollqualifizierten Domänennamen eines gültigen Computerkontos für die Eigenschaft des alternativen Antragstellernamens des Zertifikats beinhalten.

Zum Anzeigen der EKU eines Zertifikats im Zertifikats-Snap-In doppelklicken Sie auf das entsprechende Zertifikat im Inhaltsbereich, klicken Sie auf die Registerkarte Details und anschließend in das Feld Erweiterte Schlüsselverwendung. Doppelklicken Sie zum Anzeigen der Eigenschaft des alternativen Antragstellernamens eines Zertifikats im Zertifikats-Snap-In auf das entsprechende Zertifikat im Inhaltsbereich, klicken Sie auf die Registerkarte Details und anschließend in das Feld Alternativer Antragstellername.

Damit der IAS-Server die vom drahtlosen Client angebotene Zertifikatkette als vertrauenswürdig einstufen kann, muss auf diesem das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Zertifikats des drahtlosen Clients im Speicher vertrauenswürdiger Stammzertifizierungsstellen installiert sein.

Zusätzlich überprüft der IAS-Server, ob die in der EAP-Response/Identity-Nachricht gesendete Identität mit dem Namen in der Eigenschaft des alternativen Antragstellernamens des Zertifikats übereinstimmt. Dadurch wird verhindert, dass sich ein böswilliger Benutzer als ein anderer Benutzer ausgibt als der in der EAP-Response/Identity-Nachricht angegebene.

Durch folgende Registrierungseinstellungen in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 auf dem IAS-Server kann das Verhalten von EAP-TLS (TLS – Transport Level Security) bei der Zertifikatssperrung geändert werden:

  • IgnoreNoRevocationCheck

    Wenn diese Einstellung den Wert 1 erhält, ermöglicht IAS EAP-TLS-Clients, eine Verbindung herzustellen, auch wenn IAS keine Sperrungsüberprüfung der Zertifikatkette des Clients (mit Ausnahme des Stammzertifikats) ausführt oder abschließen kann. Normalerweise schlagen Sperrungsüberprüfungen fehl, da das Zertifikat keine Sperrlisteninformationen enthält.

    IgnoreNoRevocationCheck hat in der Standardeinstellung den Wert 0 (deaktiviert). Ein EAP-TLS-Client kann nur dann eine Verbindung herstellen, wenn der Server eine Sperrungsüberprüfung der Zertifikatkette des Clients (einschließlich des Stammzertifikats) abschließt und bestätigt, dass keines der Zertifikate gesperrt wurde.

    Diese Einstellung können Sie zum Authentifizieren von Clients verwenden, wenn im Zertifikat keine Sperrlisten-Verteilungspunkte enthalten sind, wie dies zum Beispiel bei Zertifikaten einer dritten Zertifizierungsstelle der Fall ist.

  • IgnoreRevocationOffline

    Wenn diese Einstellung den Wert 1 erhält, ermöglicht IAS EAP-TLS-Clients das Herstellen einer Verbindung, auch wenn ein Server, auf dem eine Sperrliste gespeichert ist, dem Netzwerk nicht zur Verfügung steht. IgnoreRevocationOffline hat in der Standardeinstellung den Wert 0. IAS ermöglicht Clients das Herstellen einer Verbindung erst, wenn eine Sperrungsüberprüfung ihrer Zertifikatkette abgeschlossen und bestätigt wurde, dass keines der Zertifikate gesperrt wurde. Wenn die Verbindung zu einem Server, auf dem eine Sperrliste gespeichert ist, nicht hergestellt werden kann, betrachtet EAP-TLS die Sperrungsüberprüfung als fehlgeschlagen.

    Das Setzen der Einstellung IgnoreRevocationOffline auf den Wert 1 verhindert das Fehlschlagen einer Zertifikatsüberprüfung aufgrund der Tatsache, dass schlechte Netzwerkbedingungen die erfolgreiche Sperrungsüberprüfung verhindert haben.

  • NoRevocationCheck

    Wenn diese Einstellung den Wert 1 erhält, verhindert IAS das Durchführen einer Sperrungsüberprüfung des Zertifikats des drahtlosen Clients durch EAP-TLS. Bei der Sperrungsüberprüfung wird überprüft, ob das Zertifikat des drahtlosen Clients und die Zertifikate seiner Zertifikatkette nicht gesperrt wurden. NoRevocationCheck hat in der Standardeinstellung den Wert 0.

  • NoRootRevocationCheck

    Wenn diese Einstellung den Wert 1 erhält, verhindert IAS das Durchführen einer Sperrungsüberprüfung für das Stamm-Zertifizierungsstellenzertifikat des drahtlosen Clients durch EAP-TLS. NoRootRevocationCheck hat in der Standardeinstellung den Wert 0. Dieser Eintrag schließt nur die Sperrungsüberprüfung des Stamm-Zertifizierungsstellenzertifikats des Clients aus. Alle anderen Zertifikate der Zertifikatkette des drahtlosen Clients werden weiterhin einer Sperrungsüberprüfung unterzogen.

    Diese Einstellung können Sie zum Authentifizieren von Clients verwenden, wenn im Zertifikat keine Sperrlisten-Verteilungspunkte enthalten sind, wie dies zum Beispiel bei Zertifikaten einer dritten Zertifizierungsstelle der Fall ist. Mit diesem Eintrag können Sie außerdem zertifizierungsbezogene Verzögerungen verhindern, die durch Sperrlisten verursacht werden, die offline oder abgelaufen sind.

Diese Registrierungseinträge müssen als DWORD-Typ hinzugefügt werden und die gültigen Werte 0 oder 1 haben. Diese Einstellungen werden vom drahtlosen Client nicht verwendet.

Überprüfen der MS-CHAP v2-Anmeldeinformationen des drahtlosen Clients

Wenn Sie für die Authentifizierung PEAP-MS-CHAP v2 statt EAP-TLS verwenden, müssen Benutzername und Kennwort, die vom drahtlosen Client gesendet werden, mit den Anmeldeinformationen eines gültigen Benutzerkontos übereinstimmen. Das erfolgreiche Überprüfen der MS-CHAP v2-Anmeldeinformationen durch den IAS-Server ist von folgenden Bedingungen abhängig:

  • Der Domänenteil des Benutzernamens entspricht einer Domäne, die entweder die IAS-Serverdomäne oder eine Domäne mit bidirektionaler Vertrauensstellung zur IAS-Serverdomäne ist.
  • Der Kontonamensteil des Benutzernamens entspricht einem gültigen Konto innerhalb der Domäne.
  • Das Kennwort ist das gültige Kennwort des Kontos.

Zum Überprüfen der Anmeldeinformationen muss sich der Benutzer des drahtlosen Clients mithilfe eines Computers, der bereits mit dem Netzwerk verbunden ist, z. B. über eine Ethernetverbindung (wenn möglich), an der Domäne anmelden.

Überprüfen des Zertifikats des IAS-Servers

Damit der drahtlose Client das Zertifikat des IAS-Servers für die EAP-TLS- oder PEAP-MS-CHAP v2-Authentifizierung überprüfen kann, müssen folgende Bedingungen für jedes Zertifikat der Zertifikatkette, die vom IAS-Server gesendet wird, erfüllt sein:

  • Das aktuelle Datum muss sich innerhalb des Gültigkeitsdatumsbereichs des Zertifikats befinden.

    Zertifikate werden mit einem Gültigkeitsdatumsbereich ausgestellt. Vor Beginn des Gültigkeitsdatums können sie nicht verwendet werden, nach dem Gültigkeitsdatum gelten sie als abgelaufen.

  • Das Zertifikat verfügt über eine gültige digitale Signatur.

    Die Zertifizierungsstellen signieren die ausgestellten Zertifikate digital. Die digitale Signatur jedes Zertifikats der Kette wird vom drahtlosen Client überprüft (mit Ausnahme des Zertifikats der Stammzertifizierungsstelle), indem der öffentliche Schlüssel der ausgebenden Zertifizierungsstelle abgerufen und die digitale Signatur mathematisch überprüft wird.

Außerdem muss das IAS-Servercomputerzertifikat die Serverauthentifizierung EKU (OID 1.3.6.1.5.5.7.3.1) enthalten. Zum Anzeigen der EKU eines Zertifikats im Zertifikat-Snap-In doppelklicken Sie auf das entsprechende Zertifikat im Inhaltsbereich, klicken Sie auf die Registerkarte Details, und klicken Sie anschließend in das Feld Erweiterte Schlüsselverwendung.

Damit der drahtlose Client die vom IAS-Server angebotene Zertifikatkette als vertrauenswürdig einstufen kann, muss auf dem drahtlosen Client das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des IAS-Serverzertifikats im Speicher vertrauenswürdiger Stammzertifizierungsstellen installiert sein.

Beachten Sie, dass der drahtlose Client keine Zertifikatssperrungsüberprüfung für die Zertifikate der Zertifikatkette des IAS-Servercomputerzertifikats durchführt. Es wird davon ausgegangen, dass der drahtlose Client noch keine physische Verbindung zum Netzwerk hat und aus diesem Grund nicht zur Zertifikatssperrungsüberprüfung auf Webseiten oder andere Ressourcen zugreifen kann.

Dn151215.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Zusammenfassung

In diesem Artikel werden die verschiedenen Tools und Methoden für die Problembehandlung bei drahtlosen Verbindungen auf Grundlage von IEEE 802.11 erläutert. Verwenden Sie unter Windows XP die Informationen im Ordner Netzwerkverbindungen und die Funktionen zur Ablaufverfolgung. Verwenden Sie für drahtlose APs die Möglichkeiten zur Problembehandlung des jeweiligen APs. Verwenden Sie für IAS die Ereignisprotokollierung, die Kontoführungsprotokollierung, Netzwerkmonitor und die Funktionen zur Ablaufverfolgung. Verwenden Sie für die Problembehandlung bei IAS-Überprüfungen und Zertifikatsüberprüfungen die in diesem Artikel zur Verfügung gestellten Listen und Informationen.

Dn151215.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

| Home | Technische Artikel | Community