Windows-Server-2008

NPS 策略不尊重“通過 NPS 策略控制訪問”使用者屬性

  • April 13, 2021

我有一個帶有 NPS 的 Win2K8 伺服器。我正在嘗試在 FortiGate 防火牆上設置我的 VPN 身份驗證,以通過 Radius 從我的 Windows 伺服器授權使用者。

我配置了兩個策略

  • 定義客戶端和 Radius 密碼的連接策略
  • 定義所需 AD 組成員身份和所需請求訪問伺服器(即防火牆)的網路策略

網路策略選中了“忽略使用者帳戶撥入屬性”複選框。

如果使用者帳戶在其撥入屬性頁面上選擇了“通過 NPS 策略控制訪問”,則訪問被拒絕。如果我將其更改為“允許訪問”,則允許訪問。

如果我將其保留在“允許訪問”並從所需的 AD 組中刪除使用者,則授予訪問權限,這讓我感到困惑。

那麼,無論選擇何種撥入屬性,獲取 NPS 策略以確定是否授予訪問權限需要什麼?

我在描述此問題的伺服器故障上找到了另一個問題,但建議的重新排序策略的解決方案無濟於事。

解決方案是:仔細檢查您的政策。

就我而言,我沒有仔細閱讀標準,並且定義的連接和網路策略都提到了“客戶端 IPv4 地址”而不是“訪問客戶端 IPv4 地址”。

我知道這很舊,但是在嘗試連接到我們的無線網路時,我在一台電腦上遇到了同樣的問題。我進入我的 NPS 網路策略並選擇忽略撥入屬性,但我仍然無法連接到這台電腦上的網路。我不斷收到錯誤 65“Active Directory 中使用者帳戶的撥入屬性中的網路訪問權限設置被設置為拒絕訪問使用者。要將網路訪問權限設置更改為允許訪問或通過控制訪問NPS 網路策略,在 Active Directory 使用者和電腦中獲取使用者帳戶的屬性,點擊撥入選項卡,然後更改網路訪問權限。” 在 NPS 伺服器安全日誌上的事件日誌中。最終,解決方案是從 AD 中刪除我的電腦,刪除 AD 帳戶,解除安裝我的網路適配器並重新啟動電腦以允許它們自動重新安裝。在此之後,我能夠連接到網路並通過 NPS 成功進行身份驗證。

引用自:https://serverfault.com/questions/522967