Windows-Server-2008
為什麼 NPS 會突然停止對使用者進行身份驗證?
我們使用執行具有 RRAS 和 NPS 角色的 Windows Server 2008(32 位)的電腦對使用者進行身份驗證,以通過 RADIUS 進行 VPN 和無線訪問。
這種配置已經執行了一年多,但是從今天早上開始,伺服器已經開始拒絕所有請求。據我所知,唯一的變化是昨晚安裝了 Windows 更新。
- 這不是連接或防火牆問題。伺服器使用 Access-Reject 回复所有 RADIUS 請求。
- 只有一個連接請求策略,它 24/7 全天候處理此伺服器上的所有請求。
- 出於測試目的,我創建了一項網路策略,應該 24/7 全天候批准所有請求。日誌文件 (
C:\Windows\System32\LogFiles\IN1110.log
) 表示正在選擇此策略,但伺服器仍以 Access-Reject 回复。- 我已驗證所有發送 RADIUS 請求的伺服器都列在 RADIUS 客戶端中,並且事件日誌中沒有關於無效 RADIUS 客戶端的條目。
但是,每次伺服器響應 RADIUS 請求時,我都會看到一個奇怪的系統事件被記錄下來。我們根本不使用 MGM 或多播,所以我不知道如何追踪它。
Warning RasServer, 50015 Specified interface was not present in MGM.
我已經嘗試重新啟動伺服器,並重新安裝 RRAS/NPS。(旁注:刪除 NPS 時,所有配置都被保留,並且在重新安裝後仍然存在。)沒有設置一個全新的伺服器,我束手無策。
RRAS/NPS 是否有其他人遇到過這樣的問題?
2011-10-17 更新:添加了事件 ID 6274 的完整文本
網路策略伺服器放棄了對使用者的請求。 有關詳細資訊,請聯繫網路策略伺服器管理員。 使用者: 安全 ID:CFL\nic 賬戶名稱:nic 賬戶域:CFL 完全合格的帳戶名稱:cfl.local/People/Prince George/Nic Waller 客戶端機器: 安全 ID:空 SID 帳戶名稱: - 完全合格的帳戶名稱:- 作業系統版本:- 被叫站標識符:00-17-9A-09-A8-1D:CFL 呼叫站標識符:CC-08-E0-EE-BA-82 在裡面: NAS IPv4 地址:192.168.123.12 NAS IPv6 地址:- NAS 標識符:D-Link 接入點 NAS 埠類型:無線 - IEEE 802.11 美國港口:1 半徑客戶端: 客戶友好名稱:DWL-7100AP 無線接入點 客戶端IP地址:192.168.123.12 認證詳情: 代理策略名稱:始終驗證此伺服器上的請求 網路策略名稱:通過 EAP DWL-7100AP 允許無線 RADIUS 身份驗證提供程序:Windows 認證伺服器:PG-DC2.cfl.local 認證類型:EAP EAP 類型:- 帳戶會話標識符:- 原因程式碼:1 原因:發生內部錯誤。檢查系統事件日誌以獲取更多資訊。
**更新:**實際上,一些請求正在被批准。看起來只有 EAP 身份驗證類型的 802.1x 請求失敗。查看證書情況後,伺服器的證書似乎已過期並且正在阻止 PEAP 身份驗證。
域控制器證書已過期。
這阻止了需要
Protected EAP
身份驗證方法的連接。重新頒發域控制器證書立即允許 RADIUS 請求正常進行身份驗證。
如果域證書自動更新,也會發生此錯誤。NPS 不能很好地處理它。
根據http://digitaljive.wordpress.com/2012/04/02/windows-nps-stops-authenticating-wireless-users/,您必須切換到不同的證書,應用它,然後切換回自動- 更新證書。