Windows 更新後 NPS EAP 身份驗證失敗

我有一個執行 NPS 的 Windows 2008 Std 伺服器。應用最新一輪更新（包括 2012 年 4 月 KB931125 的根證書（參見： http: //support.microsoft.com/kb/933430/））後，EAP 身份驗證因格式錯誤而失敗。

範例錯誤（安全/事件 ID 6273），為簡潔起見截斷：

Authentication Details:
       Proxy Policy Name:              Use Windows authentication for all users
       Network Policy Name:            Wireless Access
       Authentication Provider:                Windows 
       Authentication Server:          nps-host.corp.contoso.com
       Authentication Type:            PEAP
       EAP Type:                       -
       Account Session Identifier:             -
       Reason Code:                    266
       Reason:                         The message received was unexpected or badly formatted.

相應地配置 NPS 策略（無線訪問）（用於約束/身份驗證方法）

EAP Types:
           Microsoft: Protected EAP (PEAP) - with a valid certificate from ADCS
           Microsoft: Secured password (EAP-MSCHAP v2)
Less secure authentication methods:
           Microsoft Encrypted Authentication version 2 (MS-CHAP-v2)
           User can change password after it has expired
           Microsoft Encrypted Authentication (MS-CHAP)
           User can change password after it has expired

我們已經測試了沒有上述更新檔的不同 RADIUS 伺服器，並刪除了 EAP 作為身份驗證類型並獲得了成功。

有沒有其他人遇到過這個問題？

我要把這個放在這裡，因為我昨天經歷了這個，我的第一次搜尋讓我想到了這個問題。

正如 ALF4 所提到的，問題最終是根證書過多。它發生在 Windows 更新根證書之後。

我們通過更改系統資料庫來解決此問題，以防止 NPS 伺服器將受信任的根證書列表發送給客戶端。

阻止 NPS 向客戶端發送受信任的根證書

• 打開 regedit 到以下鍵：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

• 創建一個新DWORD值SendTrustedIssuerList並將其設置為0 (false)。

這立即解決了問題，客戶端可以再次連接。

特別感謝 Brian 指出KB933430，儘管它適用於 Windows Server 2003，但修復了我們的 Server 2008 和 Server 2008 R2 機器。

引用自：https://serverfault.com/questions/391959