windows-server-2008-r2 – 解决Windows EAP / RADIUS连接问题

前端之家收集整理的这篇文章主要介绍了windows-server-2008-r2 – 解决Windows EAP / RADIUS连接问题前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
所以,我想这个问题的简短版本是:

在设置“新”NPS服务器和新CA后,我无法让客户端连接到企业-WPA无线网络.在我从NPS / CA服务器手动请求我的客户端上的新证书并尝试连接到无线网络后,他们坐下来“尝试进行身份验证”/“等待网络准备就绪”大约一分钟后才放弃,说他们无法连接.

我的NPS / CA服务器上的日志给出的IAS4142“原因代码”为23 …这在technet documentation on what the various error codes mean中不存在.>:/发生了什么,有谁知道如何修复它?或者从哪里开始排除故障? (谷歌一直没有帮助……发现一些人有同样的问题,但没有解决方案.)

较长的版本,希望包含可以帮助别人帮助我的信息是:

几个星期前,我们举办了一场活动,其中包括从我们在家庭办公室(2k3 R2)的两个“主要”DC中强行夺取FSMO角色.结果,他们离线了,并没有回来.当然,在这样做并解决了眼前的危机后,我们得到的报告显示无线接入不再有效.这是有道理的,当我们回去查看断开连接的前DC时,发现其中一个是我们唯一的IAS服务器,另一个是我们环境中唯一的CA.当然,我们使用WPA企业无线加密,发布到客户端计算机帐户的证书,以及进行身份验证所需的域凭据(懒惰的方式,允许客户端使用他们的登录凭据自动进行身份验证,无需用户交互).所以问题是没有可用于服务请求的RADIUS服务器,并且发行CA无论如何都已经消失了.

当时看起来很好的解决方案是站起来一台新的服务器,并且由于设备的限制,将CA和NPS角色放在上面.我本来希望也能成为DC,但由于其他限制而无法做到.我知道并阅读的所有内容都表明这样会很好.我也有一个滑稽的假设,即我能够以这种方式设置它,而不是对之前设置的所有烦恼.并且,我不想手动重新输入几百个客户端和几十个策略,我在this technet article之后关于如何迁移NPS服务器(和the fix for the incorrect IAS to NPS EAP parameter.主要是.而不是在该部分的0,16,515,我有0,15,521 ..所以我按照指示更正了’0’并继续前进.)

我改变了一些CA加密设置(SHA-1到SHA-512,由于SHA-1现在不安全,以较慢的方式命名为根证书等),在AD中注册了NPS,并认为我是很高兴去.然后我遇到了XP can’t use SHA-2 certs for AAA(&%#^ !!!)的问题,这在我们的客户仍在使用XP时会出现问题.应用该修补程序(提到更新将包含在XP SP4 ……:/),仍然没有乐趣.发现错误代码的工作量比我想承认的要多一些(特别是当我后来注意到安全事件日志中的错误时,所以我浪费了时间来破译那些错误的IAS日志),然后去了谷歌寻求帮助,几乎完全是空的.其他人报告了同样的问题,但似乎没有人知道什么是错的,或者如何解决它. EventLog文本:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

而且,实际上,当我通过日志来获取错误时,我注意到它就在它之前(相同的时间戳,但在EventLog中的另一个之前)…不确定它意味着什么……我的根证书不好?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

在我做一些激烈的事情之前,[哭]就像重新安装我们的CA和NPS服务器,然后手动配置它……或者购买一堆弹药并开往Remdond [/ cry]有没有人对减少痛苦的措施有任何想法可能有助于解决我的问题?

如果要替换签名根CA,则需要确保同时导入新的受信任根和新客户端证书.

猜你在找的Windows相关文章