Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Problembeschreibung

Nach Anwenden des Windows 10 November Updates auf einem Gerät, kann es keine Verbindung mehr zu einem WPA-2-Unternehmensnetzwerk aufbauen, das Zertifikate für die Server- oder gegenseitige Authentifizierung (TTLS TUNNELED TLS EAP, PEAP) verwendet

Ursache

Im Windows-Update vom 10 November wurde EAP aktualisiert, um TLS 1.2 zu unterstützen. Dies bedeutet, dass der Server während der TLS-Aushandlung Unterstützung für TLS 1.2 ankündigt, sodass TLS 1.2 verwendet wird.

Wir haben Berichte erhalten, nach denen einige Implementationen des RADIUS-Server einen Fehler mit TLS 1.2 aufweisen. In diesem Fehlerszenario wird die EAP-Authentifizierung zunächst erfolgreich abgeschlossen, aber die MPPE-Schlüssel Berechnung schlägt fehl, weil ein falsches PRF (Pseudo-Random-Funktion) verwendet wird.

RADIUS-Server, bei denen bekanntermaßen Probleme auftreten

Hinweis Diese Informationen basieren auf Forschung und Partner Berichten. Wir werden weitere Details hinzufügen, sobald wir weitere Daten zur Verfügung gestellt bekommen.

Server

Weitere Informationen

Update verfügbar

FreeRADIUS 2. x

2.2.6 für alle TLS-basierte Methoden 2.2.6 - 2.2.8 für TTLS

Ja

FreeRADIUS 3. x

3.0.7 für alle TLS-Methoden, 3.0.7-3.0.9 für TTLS

Ja

Kühler

4.14 Net::SSLeay 1.52 oder früher

Ja

Aruba ClearPass Policy-Manager

6.5.1

Ja

Puls Richtlinien sicher

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Getestete beheben

Cisco identifizieren Services-Modul 2. x

2.0.0.306 patch 1

Getestete beheben


Problemlösung

Empfohlene Updates

Arbeiten Sie mit Ihrem IT-Administrator den Radius-Server die entsprechende Version aktualisieren, die ein Update beinhaltet.

Temporäre Abhilfe für Windows-Computern, die November-Update angewendet.

Hinweis Microsoft empfiehlt die Verwendung von TLS 1.2 für EAP-Authentifizierung immer unterstützt wird. Obwohl alle bekannten Probleme in TLS 1.0 Patches zur Verfügung gestellt haben, erkennen wir, dass TLS 1.0 ein älterer Standard, der anfällig erwiesen ist.

TLS-Version konfigurieren, EAP standardmäßig, muss mit der TlsVersion der Registrierungsunterschlüssel hat einen DWORD-Wert hinzufügen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Der Wert dieses Registrierungsschlüssels kann 0xC0, 0x300 oder 0xC00.

Hinweise

  • Dieser Registrierungsschlüssel ist nur für EAP-TLS und PEAP. Es wirkt sich nicht auf TTLS Verhalten.

  • Wenn EAP-Client und EAP-Server falsch konfiguriert sind, so dass keine TLS-Version konfiguriert Authentifizierung fehl und der Benutzer die Verbindung verloren. Daher wird empfohlen, dass IT-Administratoren diese Einstellung angewendet und die Einstellungen vor der Bereitstellung getestet werden. Allerdings kann Benutzer TLS-Versionsnummer manuell konfigurieren, wenn der Server die entsprechenden TLS unterstützt.


Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows


Gehen Sie folgendermaßen vor, um diese Registrierungswerte hinzufügen:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Regedit im Feld Öffnen und klicken Sie dann auf OK.

  2. Suchen Sie und klicken Sie auf den folgenden Unterschlüssel in der Registrierung:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.

  4. Geben Sie TlsVersion Namen für den DWORD-Wert, und drücken Sie die EINGABETASTE.

  5. Maustaste auf TlsVersion, und klicken Sie auf Ändern.

  6. Verwenden Sie im Feld Wert folgende Werte für die verschiedenen Versionen von TLS, und klicken Sie auf OK.

    TLS-version

    DWORD-Wert

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Registrierungseditor beenden und den Computer neu starten oder EapHost-Dienst neu starten.

Weitere Informationen

Dokumentation:

Microsoft Security advisory: Microsoft EAP-Implementierung, die die Verwendung von TLS aktualisiert: 14. Oktober 2014
https://support.microsoft.com/kb/2977292

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×