Hop*_*00b 5 troubleshooting windows-xp radius windows-server-2008-r2 eap
所以,我想这个问题的简短版本是:
设置“新”NPS 服务器和新 CA 后,我无法让客户端连接到企业 WPA 无线网络。在我从 NPS/CA 服务器手动请求客户端上的新证书并尝试连接到无线网络后,他们在“尝试进行身份验证”/“等待网络准备就绪”状态下等待大约一分钟,然后放弃并说他们无法连接。
我的 NPS/CA 服务器上的日志给出的 IAS4142“原因代码”为 23...,Technet文档中没有关于各种错误代码的含义。>:/ 这是怎么回事,有谁知道如何解决?或者从哪里开始解决这个问题?(谷歌非常没有帮助......找到了一些有同样问题的人,但没有解决方案。)
较长的版本,希望包含可以帮助某人帮助我的信息是:
几周前,我们举办了一个活动,其中涉及从我们在家庭办公室 (2k3 R2) 的两个“主要”DC 强行夺取 FSMO 角色。结果,他们处于离线状态,并且不会回来。当然,在这样做并解决了眼前的危机之后,我们收到了有关无线访问不再工作的报告。这是有道理的,当我们返回并查看断开连接的前 DC 时,发现其中一个是我们唯一的 IAS 服务器,另一个是我们环境中唯一的 CA。当然,我们使用 WPA 企业无线加密,证书颁发给客户端机器帐户,以及验证所需的域凭据(懒惰的方式,允许客户端使用他们的登录凭据自动进行身份验证,无需用户交互)。
当时看起来不错的解决方案是架起一台新服务器,由于设备限制,将 CA 和 NPS 角色放在上面。我也希望将其设为 DC,但由于其他限制而无法实现。我所知道和阅读的一切都表明这会很好。我也有一个可笑的假设,即我能够以这种方式正确设置它,而不会像以前的设置那样令人烦恼。而且,不想手动重新输入几百个客户端和几十个策略,我遵循了这篇关于如何迁移 NPS 服务器的技术文章(以及不正确的 IAS 到 NPS EAP 参数的修复。主要是。而不是 0,16,515在那个部分,我有 0,15,521 ......所以我按照指示更正了“0”并继续前进。)
我更改了一些 CA 加密设置(SHA-1 到 SHA-512,由于这些天 SHA-1 不安全,以不太迟钝的方式命名根证书等),在 AD 中注册了 NPS,并认为我是很高兴去。然后我遇到了XP不能对AAA使用SHA-2证书的问题(&%#^!!!),当我们的客户仍然使用 XP 时,这是有问题的。应用了该修补程序(其中提到更新将包含在 XP SP4 中... :/ ),但仍然没有任何乐趣。发现错误代码比我想承认的要多一些(特别是当我后来注意到安全事件日志中的错误时,所以我浪费了时间来破译****的 IAS 日志),然后去谷歌寻求帮助,几乎完全是空的。其他人报告了同样的问题,但似乎没有人知道出了什么问题,或者如何解决它。事件日志文本:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 7/16/2012 11:25:37 AM
Event ID: 6273
Task Category: Network Policy Server
Level: Information
Keywords: Audit Failure
User: N/A
Computer: [The NPS/CA server]
Description:
Network Policy Server denied access to a user.
Contact the Network Policy Server administrator for more information.
User:
Security ID: [domain\username]
Account Name: [domain\username]
Account Domain: [domain]
Fully Qualified Account Name: [domain\username]
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: 003a.9a18.7671
Calling Station Identifier: 0013.e888.ecef
NAS:
NAS IPv4 Address: [AP's IP]
NAS IPv6 Address: -
NAS Identifier: [AP's name]
NAS Port-Type: Wireless - IEEE 802.11
NAS Port: 1939
RADIUS Client:
Client Friendly Name: [AP's name]
Client IP Address: [AP's IP]
Authentication Details:
Connection Request Policy Name: [Wifi access policy name]
Network Policy Name: [Wifi access policy name]
Authentication Provider: Windows
Authentication Server: [The NPS/CA server.domain.tld]
Authentication Type: PEAP
EAP Type: -
Account Session Identifier: -
Logging Results: Accounting information was written to the local log file.
Reason Code: 23
Reason: An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.
而且,实际上,当我查看日志以获取该错误时,我注意到它之前的这个(相同的时间戳,但在 EventLog 中的另一个之前)......不确定它意味着什么......我的根证书不好?!?!?
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 7/16/2012 11:25:37 AM
Event ID: 5061
Task Category: System Integrity
Level: Information
Keywords: Audit Failure
User: N/A
Computer: [The NPS/CA server]
Description:
Cryptographic operation.
Subject:
Security ID: SYSTEM
Account Name: [The NPS/CA server]
Account Domain: [domain]
Logon ID: 0x3e7
Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider
Algorithm Name: RSA
Key Name: [Root cert created when the CA was installed]
Key Type: Machine key.
Cryptographic Operation:
Operation: Decrypt.
Return Code: 0x80090010
在我做一些激烈的事情之前,[哭] 像重新安装我们的 CA 和 NPS 服务器,然后手动配置它...或者购买一堆弹药并开车前往 Remdond [/cry] 有没有人有任何想法可以减少痛苦的措施可能有助于解决我的问题?
| 归档时间: |
|
| 查看次数: |
31547 次 |
| 最近记录: |