為什麼 NPS 會突然停止對使用者進行身份驗證？

我們使用執行具有 RRAS 和 NPS 角色的 Windows Server 2008（32 位）的電腦對使用者進行身份驗證，以通過 RADIUS 進行 VPN 和無線訪問。

這種配置已經執行了一年多，但是從今天早上開始，伺服器已經開始拒絕所有請求。據我所知，唯一的變化是昨晚安裝了 Windows 更新。

• 這不是連接或防火牆問題。伺服器使用 Access-Reject 回复所有 RADIUS 請求。
• 只有一個連接請求策略，它 24/7 全天候處理此伺服器上的所有請求。
• 出於測試目的，我創建了一項網路策略，應該 24/7 全天候批准所有請求。日誌文件 ( C:\Windows\System32\LogFiles\IN1110.log) 表示正在選擇此策略，但伺服器仍以 Access-Reject 回复。
• 我已驗證所有發送 RADIUS 請求的伺服器都列在 RADIUS 客戶端中，並且事件日誌中沒有關於無效 RADIUS 客戶端的條目。

但是，每次伺服器響應 RADIUS 請求時，我都會看到一個奇怪的系統事件被記錄下來。我們根本不使用 MGM 或多播，所以我不知道如何追踪它。

Warning
RasServer, 50015
Specified interface was not present in MGM.

我已經嘗試重新啟動伺服器，並重新安裝 RRAS/NPS。（旁注：刪除 NPS 時，所有配置都被保留，並且在重新安裝後仍然存在。）沒有設置一個全新的伺服器，我束手無策。

RRAS/NPS 是否有其他人遇到過這樣的問題？

2011-10-17 更新：添加了事件 ID 6274 的完整文本

網路策略伺服器放棄了對使用者的請求。

有關詳細資訊，請聯繫網路策略伺服器管理員。

使用者：
安全 ID：CFL\nic
賬戶名稱：nic
賬戶域：CFL
完全合格的帳戶名稱：cfl.local/People/Prince George/Nic Waller

客戶端機器：
安全 ID：空 SID
帳戶名稱： -
完全合格的帳戶名稱：-
作業系統版本：-
被叫站標識符：00-17-9A-09-A8-1D:CFL
呼叫站標識符：CC-08-E0-EE-BA-82

在裡面：
NAS IPv4 地址：192.168.123.12
NAS IPv6 地址：-
NAS 標識符：D-Link 接入點
NAS 埠類型：無線 - IEEE 802.11
美國港口：1

半徑客戶端：
客戶友好名稱：DWL-7100AP 無線接入點
客戶端IP地址：192.168.123.12

認證詳情：
代理策略名稱：始終驗證此伺服器上的請求
網路策略名稱：通過 EAP DWL-7100AP 允許無線 RADIUS
身份驗證提供程序：Windows
認證伺服器：PG-DC2.cfl.local
認證類型：EAP
EAP 類型：-
帳戶會話標識符：-
原因程式碼：1
原因：發生內部錯誤。檢查系統事件日誌以獲取更多資訊。

**更新：**實際上，一些請求正在被批准。看起來只有 EAP 身份驗證類型的 802.1x 請求失敗。查看證書情況後，伺服器的證書似乎已過期並且正在阻止 PEAP 身份驗證。

域控制器證書已過期。

這阻止了需要Protected EAP身份驗證方法的連接。重新頒發域控制器證書立即允許 RADIUS 請求正常進行身份驗證。

如果域證書自動更新，也會發生此錯誤。NPS 不能很好地處理它。

根據http://digitaljive.wordpress.com/2012/04/02/windows-nps-stops-authenticating-wireless-users/，您必須切換到不同的證書，應用它，然後切換回自動- 更新證書。

引用自：https://serverfault.com/questions/322323