Windows-Server-2008
Windows 更新後 NPS EAP 身份驗證失敗
我有一個執行 NPS 的 Windows 2008 Std 伺服器。應用最新一輪更新(包括 2012 年 4 月 KB931125 的根證書(參見: http: //support.microsoft.com/kb/933430/))後,EAP 身份驗證因格式錯誤而失敗。
範例錯誤(安全/事件 ID 6273),為簡潔起見截斷:
Authentication Details: Proxy Policy Name: Use Windows authentication for all users Network Policy Name: Wireless Access Authentication Provider: Windows Authentication Server: nps-host.corp.contoso.com Authentication Type: PEAP EAP Type: - Account Session Identifier: - Reason Code: 266 Reason: The message received was unexpected or badly formatted.
相應地配置 NPS 策略(無線訪問)(用於約束/身份驗證方法)
EAP Types: Microsoft: Protected EAP (PEAP) - with a valid certificate from ADCS Microsoft: Secured password (EAP-MSCHAP v2) Less secure authentication methods: Microsoft Encrypted Authentication version 2 (MS-CHAP-v2) User can change password after it has expired Microsoft Encrypted Authentication (MS-CHAP) User can change password after it has expired
我們已經測試了沒有上述更新檔的不同 RADIUS 伺服器,並刪除了 EAP 作為身份驗證類型並獲得了成功。
有沒有其他人遇到過這個問題?
我要把這個放在這裡,因為我昨天經歷了這個,我的第一次搜尋讓我想到了這個問題。
正如 ALF4 所提到的,問題最終是根證書過多。它發生在 Windows 更新根證書之後。
我們通過更改系統資料庫來解決此問題,以防止 NPS 伺服器將受信任的根證書列表發送給客戶端。
阻止 NPS 向客戶端發送受信任的根證書
- 打開 regedit 到以下鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
- 創建一個新
DWORD
值SendTrustedIssuerList
並將其設置為0 (false)
。這立即解決了問題,客戶端可以再次連接。
特別感謝 Brian 指出KB933430,儘管它適用於 Windows Server 2003,但修復了我們的 Server 2008 和 Server 2008 R2 機器。