與 Windows 7 電腦的 Radius 連接
我有許多 Ubiquiti Unifi AP 連接到 Windows Server 2012 NPS radius 伺服器。
我配置了安全策略,讓域使用者連接到本地網路。
我在使用 Windows 7 客戶端時遇到了一些問題。我收到一條消息
Impossible to connect。在
C:\Windows\System32\LogFiles,我看到了那個Access-Request包和一個11包,好像是Access-Challenge。我沒有看到任何有關被拒絕連接的事件日誌條目。我嘗試使用本教程手動配置無線連接,但沒有運氣:
對於非 Windows 設備(如手機、平板電腦、mac 電腦),radius 連接可以完美執行!
如何讓 Windows 7 客戶端也能正常工作?
我只是做了這件事,但我使用 Windows Server 2008R2 作為 RADIUS 伺服器。
您連結到的指南看起來不錯,實際上,它只需要與您在 NPS/RADIUS 伺服器上的設置相匹配。預設情況下,Windows 7 電腦將在首次開機時嘗試使用電腦的域密碼進行身份驗證,然後在您登錄後使用使用者名/密碼進行身份驗證。預設情況下,Windows 7 還將嘗試驗證由電腦提供的證書RADIUS 伺服器是受信任的。您連結到的指南向您展示瞭如何強制 Windows 7 客戶端僅使用使用者資訊進行身份驗證。您應該確保這符合您的實際 NPS 政策。
這是我為 Unifi 安裝所做的:
- 我們有一個域 PKI,所以我為 RADIUS 伺服器生成了一個域信任的證書。如果您使用自簽名證書,則應使用 GPO 將其部署到客戶端設備上的受信任根證書頒發機構。
- 我設置了RADIUS Connection Policy,認證方式如下:EAP-MSCHAPv2。
- 我創建了 2 個網路策略來匹配 2 個 SSID:域電腦和域使用者。然後,我使用“Called Station ID”RADIUS 屬性設置適當的條件:機器組:“電腦”SSID 的域\域電腦,以及“使用者”SSID 的使用者組:域\無線使用者。
- 然後,我使用 GPO 組策略首選項將正確的設置部署到我們所有加入域的筆記型電腦。
順便說一句,您列出了一條非常少的錯誤消息,但如果您查看 Windows 安全事件日誌,您應該能夠獲得有關 RADIUS 身份驗證失敗位置的更詳細資訊。
最可能的錯誤來源是:
- 不正確或不受信任的證書
- Windows 正在嘗試在已加入域的設備上使用錯誤的密碼(機器密碼與使用者密碼)。
- 您在 RADIUS 伺服器上設置的身份驗證方法與在客戶端上不同。
順便說一下,Unifi AP 只是傳遞 RADIUS 身份驗證:這根本不是等式的一部分。只需查看 RADIUS 伺服器和客戶端設備。