解決 Windows EAP/RADIUS 連接問題
所以,我想這個問題的簡短版本是:
設置“新”NPS 伺服器和新 CA 後,我無法讓客戶端連接到企業 WPA 無線網路。在我從 NPS/CA 伺服器手動請求我的客戶端上的新證書並嘗試連接到無線網路後,他們在“嘗試進行身份驗證”/“等待網路準備好”大約一分鐘後放棄並說他們無法連接。
我的 NPS/CA 伺服器上的日誌給出了 23 的 IAS4142“原因程式碼”…… Technet文件中沒有說明各種錯誤程式碼的含義。>:/ 怎麼回事,有誰知道怎麼解決?或者從哪裡開始解決這個問題?(Google一直沒有幫助……發現幾個人有同樣的問題,但沒有解決方案。)
較長的版本(希望包含可以幫助某人幫助我的資訊)是:
幾週前,我們有一個事件,涉及從我們總部的兩個“主要”DC (2k3 R2) 中強行奪取 FSMO 角色。結果,他們處於離線狀態,並且不會回來。當然,在這樣做並解決了眼前的危機之後,我們收到了無線訪問不再起作用的報告。這是有道理的,當我們回去查看斷開連接的以前的 DC 時,發現一個是我們唯一的 IAS 伺服器,另一個是我們環境中唯一的 CA。當然,我們使用 WPA 企業無線加密與頒發給客戶端電腦帳戶的證書,以及驗證所需的域憑據(懶惰的方式,允許客戶端使用其登錄憑據自動進行身份驗證,無需使用者互動)。
解決方案在當時看起來不錯,就是架起一台新的伺服器,由於設備限制,把 CA 和 NPS 的角色放在上面。我也想把它做成一個 DC,但由於其他限製而無法做到。我所知道和讀到的一切都表明這很好。我也有一個可笑的假設,即我能夠以這種方式正確設置它,而不會受到以前設置的所有刺激。而且,不想手動重新輸入幾百個客戶端和幾十個策略,我關注了這篇關於如何遷移 NPS 伺服器的技術網文章(以及錯誤的 IAS 到 NPS EAP 參數的修復。大多數情況下。而不是 0,16,515在那個部分,我有 0,15,521…所以我按照指示更正了“0”並繼續前進。)
我更改了一些 CA 加密設置(SHA-1 到 SHA-512,因為這些天 SHA-1 不安全,以不那麼遲鈍的方式命名根證書等),在 AD 中註冊 NPS,並認為我是很好走。然後我遇到了XP 無法使用 SHA-2 證書進行 AAA的問題(&%#^!!!),當我們的客戶仍然使用 XP 時,這是有問題的。應用了該修補程序(其中提到更新將包含在 XP SP4 中…:/),但仍然沒有樂趣。發現錯誤程式碼比我想承認的要多一點工作(尤其是當我後來注意到安全事件日誌中的錯誤時,所以我浪費了時間來破譯 ****ing IAS 日誌),然後去了Google尋求幫助,結果幾乎完全是空的。其他人報告了同樣的問題,但似乎沒有人知道出了什麼問題,或者如何解決它。事件日誌文本:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 6273 Task Category: Network Policy Server Level: Information Keywords: Audit Failure User: N/A Computer: [The NPS/CA server] Description: Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: [domain\username] Account Name: [domain\username] Account Domain: [domain] Fully Qualified Account Name: [domain\username] Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: 003a.9a18.7671 Calling Station Identifier: 0013.e888.ecef NAS: NAS IPv4 Address: [AP's IP] NAS IPv6 Address: - NAS Identifier: [AP's name] NAS Port-Type: Wireless - IEEE 802.11 NAS Port: 1939 RADIUS Client: Client Friendly Name: [AP's name] Client IP Address: [AP's IP] Authentication Details: Connection Request Policy Name: [Wifi access policy name] Network Policy Name: [Wifi access policy name] Authentication Provider: Windows Authentication Server: [The NPS/CA server.domain.tld] Authentication Type: PEAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 23 Reason: An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.而且,實際上,當我瀏覽日誌以獲取該錯誤時,我注意到它就在它之前(相同的時間戳,但就在 EventLog 中的另一個之前)……不知道這意味著什麼……我的根證書不好?!?!?
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 5061 Task Category: System Integrity Level: Information Keywords: Audit Failure User: N/A Computer: [The NPS/CA server] Description: Cryptographic operation. Subject: Security ID: SYSTEM Account Name: [The NPS/CA server] Account Domain: [domain] Logon ID: 0x3e7 Cryptographic Parameters: Provider Name: Microsoft Software Key Storage Provider Algorithm Name: RSA Key Name: [Root cert created when the CA was installed] Key Type: Machine key. Cryptographic Operation: Operation: Decrypt. Return Code: 0x80090010在我做一些激烈的事情之前,
$$ cry $$就像重新安裝我們的 CA 和 NPS 伺服器,然後手動配置它……或者買一堆彈藥然後開車去 Remdond$$ /cry $$有人對可能有助於解決我的問題的不那麼痛苦的措施有任何想法嗎?
如果要替換簽名根 CA,則需要確保同時導入新的受信任根證書和新客戶端證書。
由於伺服器向客戶端發送hello包,請確保新的伺服器證書已導入個人證書。如果沒有,伺服器將無法初始化 EAP-TLS 握手,並在 EAP 協議上發生錯誤。