Windows-Server-2008

Windows 更新後 NPS EAP 身份驗證失敗

  • February 13, 2013

我有一個執行 NPS 的 Windows 2008 Std 伺服器。應用最新一輪更新(包括 2012 年 4 月 KB931125 的根證書(參見: http: //support.microsoft.com/kb/933430/))後,EAP 身份驗證因格式錯誤而失敗。

範例錯誤(安全/事件 ID 6273),為簡潔起見截斷:

Authentication Details:
       Proxy Policy Name:              Use Windows authentication for all users
       Network Policy Name:            Wireless Access
       Authentication Provider:                Windows 
       Authentication Server:          nps-host.corp.contoso.com
       Authentication Type:            PEAP
       EAP Type:                       -
       Account Session Identifier:             -
       Reason Code:                    266
       Reason:                         The message received was unexpected or badly formatted.

相應地配置 NPS 策略(無線訪問)(用於約束/身份驗證方法)

EAP Types:
           Microsoft: Protected EAP (PEAP) - with a valid certificate from ADCS
           Microsoft: Secured password (EAP-MSCHAP v2)
Less secure authentication methods:
           Microsoft Encrypted Authentication version 2 (MS-CHAP-v2)
           User can change password after it has expired
           Microsoft Encrypted Authentication (MS-CHAP)
           User can change password after it has expired

我們已經測試了沒有上述更新檔的不同 RADIUS 伺服器,並刪除了 EAP 作為身份驗證類型並獲得了成功。

有沒有其他人遇到過這個問題?

我要把這個放在這裡,因為我昨天經歷了這個,我的第一次搜尋讓我想到了這個問題。

正如 ALF4 所提到的,問題最終是根證書過多。它發生在 Windows 更新根證書之後。

我們通過更改系統資料庫來解決此問題,以防止 NPS 伺服器將受信任的根證書列表發送給客戶端。

阻止 NPS 向客戶端發送受信任的根證書

  • 打開 regedit 到以下鍵:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  • 創建一個新DWORDSendTrustedIssuerList並將其設置為0 (false)

這立即解決了問題,客戶端可以再次連接。

特別感謝 Brian 指出KB933430,儘管它適用於 Windows Server 2003,但修復了我們的 Server 2008 和 Server 2008 R2 機器。

引用自:https://serverfault.com/questions/391959