Windows-Server-2008

為什麼 NPS 會突然停止對使用者進行身份驗證?

  • September 18, 2014

我們使用執行具有 RRAS 和 NPS 角色的 Windows Server 2008(32 位)的電腦對使用者進行身份驗證,以通過 RADIUS 進行 VPN 和無線訪問。

這種配置已經執行了一年多,但是從今天早上開始,伺服器已經開始拒絕所有請求。據我所知,唯一的變化是昨晚安裝了 Windows 更新。

  • 這不是連接或防火牆問題。伺服器使用 Access-Reject 回复所有 RADIUS 請求。
  • 只有一個連接請求策略,它 24/7 全天候處理此伺服器上的所有請求。
  • 出於測試目的,我創建了一項網路策略,應該 24/7 全天候批准所有請求。日誌文件 ( C:\Windows\System32\LogFiles\IN1110.log) 表示正在選擇此策略,但伺服器仍以 Access-Reject 回复。
  • 我已驗證所有發送 RADIUS 請求的伺服器都列在 RADIUS 客戶端中,並且事件日誌中沒有關於無效 RADIUS 客戶端的條目。

但是,每次伺服器響應 RADIUS 請求時,我都會看到一個奇怪的系統事件被記錄下來。我們根本不使用 MGM 或多播,所以我不知道如何追踪它。

Warning
RasServer, 50015
Specified interface was not present in MGM.

我已經嘗試重新啟動伺服器,並重新安裝 RRAS/NPS。(旁注:刪除 NPS 時,所有配置都被保留,並且在重新安裝後仍然存在。)沒有設置一個全新的伺服器,我束手無策。

RRAS/NPS 是否有其他人遇到過這樣的問題?

2011-10-17 更新:添加了事件 ID 6274 的完整文本

網路策略伺服器放棄了對使用者的請求。

有關詳細資訊,請聯繫網路策略伺服器管理員。

使用者:
安全 ID:CFL\nic
賬戶名稱:nic
賬戶域:CFL
完全合格的帳戶名稱:cfl.local/People/Prince George/Nic Waller

客戶端機器:
安全 ID:空 SID
帳戶名稱: -
完全合格的帳戶名稱:-
作業系統版本:-
被叫站標識符:00-17-9A-09-A8-1D:CFL
呼叫站標識符:CC-08-E0-EE-BA-82

在裡面:
NAS IPv4 地址:192.168.123.12
NAS IPv6 地址:-
NAS 標識符:D-Link 接入點
NAS 埠類型:無線 - IEEE 802.11
美國港口:1

半徑客戶端:
客戶友好名稱:DWL-7100AP 無線接入點
客戶端IP地址:192.168.123.12

認證詳情:
代理策略名稱:始終驗證此伺服器上的請求
網路策略名稱:通過 EAP DWL-7100AP 允許無線 RADIUS
身份驗證提供程序:Windows
認證伺服器:PG-DC2.cfl.local
認證類型:EAP
EAP 類型:-
帳戶會話標識符:-
原因程式碼:1
原因:發生內部錯誤。檢查系統事件日誌以獲取更多資訊。

**更新:**實際上,一些請求正在被批准。看起來只有 EAP 身份驗證類型的 802.1x 請求失敗。查看證書情況後,伺服器的證書似乎已過期並且正在阻止 PEAP 身份驗證。

域控制器證書已過期。

這阻止了需要Protected EAP身份驗證方法的連接。重新頒發域控制器證書立即允許 RADIUS 請求正常進行身份驗證。

如果域證書自動更新,也會發生此錯誤。NPS 不能很好地處理它。

根據http://digitaljive.wordpress.com/2012/04/02/windows-nps-stops-authenticating-wireless-users/,您必須切換到不同的證書,應用它,然後切換回自動- 更新證書。

引用自:https://serverfault.com/questions/322323