Windows-Server-2008-R2

解決 Windows EAP/RADIUS 連接問題

  • January 23, 2015

所以,我想這個問題的簡短版本是:

設置“新”NPS 伺服器和新 CA 後,我無法讓客戶端連接到企業 WPA 無線網路。在我從 NPS/CA 伺服器手動請求我的客戶端上的新證書並嘗試連接到無線網路後,他們在“嘗試進行身份驗證”/“等待網路準備好”大約一分鐘後放棄並說他們無法連接。

我的 NPS/CA 伺服器上的日誌給出了 23 的 IAS4142“原因程式碼”…… Technet文件中沒有說明各種錯誤程式碼的含義。>:/ 怎麼回事,有誰知道怎麼解決?或者從哪裡開始解決這個問題?(Google一直沒有幫助……發現幾個人有同樣的問題,但沒有解決方案。)


較長的版本(希望包含可以幫助某人幫助我的資訊)是:

幾週前,我們有一個事件,涉及從我們總部的兩個“主要”DC (2k3 R2) 中強行奪取 FSMO 角色。結果,他們處於離線狀態,並且不會回來。當然,在這樣做並解決了眼前的危機之後,我們收到了無線訪問不再起作用的報告。這是有道理的,當我們回去查看斷開連接的以前的 DC 時,發現一個是我們唯一的 IAS 伺服器,另一個是我們環境中唯一的 CA。當然,我們使用 WPA 企業無線加密與頒發給客戶端電腦帳戶的證書,以及驗證所需的域憑據(懶惰的方式,允許客戶端使用其登錄憑據自動進行身份驗證,無需使用者互動)。

解決方案在當時看起來不錯,就是架起一台新的伺服器,由於設備限制,把 CA 和 NPS 的角色放在上面。我也想把它做成一個 DC,但由於其他限製而無法做到。我所知道和讀到的一切都表明這很好。我也有一個可笑的假設,即我能夠以這種方式正確設置它,而不會受到以前設置的所有刺激。而且,不想手動重新輸入幾百個客戶端和幾十個策略,我關注了這篇關於如何遷移 NPS 伺服器的技術網文章(以及錯誤的 IAS 到 NPS EAP 參數的修復。大多數情況下。而不是 0,16,515在那個部分,我有 0,15,521…所以我按照指示更正了“0”並繼續前進。)

我更改了一些 CA 加密設置(SHA-1 到 SHA-512,因為這些天 SHA-1 不安全,以不那麼遲鈍的方式命名根證書等),在 AD 中註冊 NPS,並認為我是很好走。然後我遇到了XP 無法使用 SHA-2 證書進行 AAA的問題(&%#^!!!),當我們的客戶仍然使用 XP 時,這是有問題的。應用了該修補程序(其中提到更新將包含在 XP SP4 中…:/),但仍然沒有樂趣。發現錯誤程式碼比我想承認的要多一點工作(尤其是當我後來注意到安全事件日誌中的錯誤時,所以我浪費了時間來破譯 ****ing IAS 日誌),然後去了Google尋求幫助,結果幾乎完全是空的。其他人報告了同樣的問題,但似乎沒有人知道出了什麼問題,或者如何解決它。事件日誌文本:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
   Security ID:            [domain\username]
   Account Name:           [domain\username]
   Account Domain:         [domain]
   Fully Qualified Account Name:   [domain\username]

Client Machine:
   Security ID:            NULL SID
   Account Name:           -
   Fully Qualified Account Name:   -
   OS-Version:         -
   Called Station Identifier:      003a.9a18.7671
   Calling Station Identifier:     0013.e888.ecef

NAS:
   NAS IPv4 Address:       [AP's IP]
   NAS IPv6 Address:       -
   NAS Identifier:         [AP's name]
   NAS Port-Type:          Wireless - IEEE 802.11
   NAS Port:           1939

RADIUS Client:
   Client Friendly Name:       [AP's name]
   Client IP Address:          [AP's IP]

Authentication Details:
   Connection Request Policy Name: [Wifi access policy name]
   Network Policy Name:        [Wifi access policy name]
   Authentication Provider:        Windows
   Authentication Server:      [The NPS/CA server.domain.tld]
   Authentication Type:        PEAP
   EAP Type:           -
   Account Session Identifier:     -
   Logging Results:            Accounting information was written to the local log file.
   Reason Code:            23
   Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

而且,實際上,當我瀏覽日誌以獲取該錯誤時,我注意到它就在它之前(相同的時間戳,但就在 EventLog 中的另一個之前)……不知道這意味著什麼……我的根證書不好?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
   Security ID:        SYSTEM
   Account Name:       [The NPS/CA server]
   Account Domain:     [domain]
   Logon ID:       0x3e7

Cryptographic Parameters:
   Provider Name:  Microsoft Software Key Storage Provider
   Algorithm Name: RSA
   Key Name:   [Root cert created when the CA was installed]
   Key Type:   Machine key.

Cryptographic Operation:
   Operation:  Decrypt.
   Return Code:    0x80090010

在我做一些激烈的事情之前,

$$ cry $$就像重新安裝我們的 CA 和 NPS 伺服器,然後手動配置它……或者買一堆彈藥然後開車去 Remdond$$ /cry $$有人對可能有助於解決我的問題的不那麼痛苦的措施有任何想法嗎?

如果要替換簽名根 CA,則需要確保同時導入新的受信任根證書和新客戶端證書。

由於伺服器向客戶端發送hello包,請確保新的伺服器證書已導入個人證書。如果沒有,伺服器將無法初始化 EAP-TLS 握手,並在 EAP 協議上發生錯誤。

引用自:https://serverfault.com/questions/408237