标签: nps

我正在通过 RADIUS 将身份验证设置为 Acme Packet Net-Net 3820 (SBC)。会计方面的工作正常，没有任何问题。身份验证方面是另一回事。我可以从数据包捕获中看到访问请求消息实际上正在到达 RADIUS 服务器，此时 RADIUS 服务器开始与域控制器通信。然后我看到通信链返回到 RADIUS，最后返回到 SBC。问题是我得到的响应始终是一条原因代码为 16 的访问拒绝消息（由于用户凭据不匹配导致身份验证失败。提供的用户名与现有用户帐户不匹配或密码不正确）。通过查看安全事件日志可以确认这一点，我可以在其中看到事件 4625 和 6273。

事件 ID：6273

Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            NULL SID
    Account Name:           real_username
    Account Domain:         real_domain
    Fully Qualified Account Name:   real_domain\real_username

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      -
    Calling Station Identifier:     -

NAS:
    NAS …

我已经部署了一些 Radius 服务器（带有 NPS 的 Windows Server 2012 R2）。他们使用 PEAP-MSCHAP-V2 通过 SAN Go Daddy 证书进行身份验证。它们的部署是为了处理 Wi-Fi 连接。

该证书适用于我所有的 Windows、Android 设备，但是当我尝试使用 iPhone（iPhone 6s Plus、iOS 10）进行身份验证时，它说服务器的证书“不安全”/“未验证”，我必须在尝试连接之前确认它。然后身份验证有效，但我希望我的同事能够在不确认此证书的情况下使用他们的 iPhone 进行身份验证。

首先，我认为证书有问题，但正如我所说，它适用于我的所有其他设备。此外，我已经检查了证书本身和通用名称、DNS 和所有相关数据都是正确的。

我知道可以在 iPhone 但 GoDaddy 中导入证书！是“受信任的根证书颁发机构”，所以我不必做任何事情。

iPhone 不信任 GoDaddy 有什么理由吗！证书？

PS：我已经用另一部 iPhone（iPhone 6s、iOS 10）进行了测试，但它也不适用于该 iPhone。

我想在我们的 NPS 服务器上替换用于 PEAP 的 SSL 证书，该服务器正在为我们的 Cisco WLC 进行 RADIUS 身份验证。当前的证书是一个 SSL 证书，它进行客户端身份验证和服务器身份验证。我们希望将其替换为我们在域中其他地方使用的通配符，以简化 SSL 证书的管理。

我在这里阅读了 Microsoft 文档，其中概述了在 PEAP 中使用 3rd 方证书的要求。我们使用的通配符满足所有这些要求。Microsoft 支持人员已经有两个工作日无法解决此问题，他们唯一的回应是：“这一定是证书有问题”，但他们无法具体告诉我它有什么问题，因为它满足所有这些要求.

虽然我的案例正在升级，但我做了一些研究，其他人在执行 RADIUS 的 IAS/NPS 服务器上使用带有 PEAP 的 3rd 方证书时遇到了问题。据我所知，微软还没有正式回应。有谁知道通配符证书是否可以用于 PEAP？

我正在将 NPS 配置为无线客户端的 RADIUS 身份验证源。

我试图区分上课时间和下班时间，因为我需要将某些用户连接到不同的网络，以便下班后访问额外资源。

我可以设置日期和时间限制，但仅限于小时精度。我需要最坏的 30 分钟间隔，15 分钟间隔是理想的。

有谁知道微软的 NPS 是否可以做到这一点？

我们正在尝试通过 Meraki Z1 远程工作人员设备对远程 vpn 上的客户端进行身份验证。Z1 正在发送正确的请求，网络策略服务器 (ias) 服务显然正在对用户进行身份验证，因为我们的 NPS 日志显示审核日志中的原因代码为 0，但是 ias 将访问拒绝返回给Z1 设备。

我很难找出为什么 ias 服务发送访问拒绝，现在我认为我需要某种深度调试输出来查看问题所在。有谁知道我如何能够从 IAS 服务中获取大量日志信息？有没有一种特定的方法可以通过 EventLog 界面启用它？

尝试连接到 VPN 服务器时，我在客户端上收到 691 错误代码，其中说：

错误描述：691：远程连接被拒绝，因为您提供的用户名和密码组合未被识别，或者远程访问服务器上不允许选择的身份验证协议。

我验证了用户名和密码是正确的。我还安装了与IKEv2安全类型一起使用的认证。我还验证了 VPN 服务器支持安全方法。

但我无法登录。在服务器日志中，我得到了这个日志：

网络策略服务器拒绝访问用户。

用户 DomainName\UserName 从 IP 地址连接，但由于以下原因导致身份验证尝试失败：远程连接被拒绝，因为您提供的用户名和密码组合未被识别，或者远程访问不允许选择的身份验证协议服务器。

知道我能做什么吗？提前致谢！

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          12/29/2010 7:12:20 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      VPN.domain.com
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
  Security ID:          domain\Administrator
  Account Name:         domain\Administrator
  Account Domain:           domani
  Fully Qualified Account Name: domain.com/Users/Administrator

Client Machine: …

我试图根据他们的组成员身份和 IP 地址来限制谁可以访问我们的 RD 网关（因此组 A 中的人只能从 IP 地址 X 访问系统）。RD 网关安装的网络策略服务器似乎暗示可以这样做，有一个设置可以根据客户端 IP 地址限制访问，但是这似乎无法正常工作。

如果我添加 IP 地址限制，即使用户拥有正确的 IP，也无法连接，删除该限制意味着他们可以连接。查看审核日志，那里似乎没有 IP 地址。

有谁知道如何使这项工作？

我需要确保 Windows Server 环境中 RADIUS 服务的高可用性，以便它可以承受任何具有 NPS 角色的特定服务器的丢失甚至临时停机。大多数技术网文章都说我应该使用 NPS 代理，但据我所知，它仍然给我留下了单一代理服务器的瓶颈。我决定为 NPS 服务器设置 NLB 集群，但同样，Microsoft 最佳实践指出 NPS 角色应该安装在域控制器上，以最大限度地减少从 NPS 到 DC 的流量。我怀疑我的 DC 安装了 NLB 功能后是否会正常。

所以，我的问题是： 1. 有没有办法衡量 NPS 流量在安装在单独的服务器上时对我的网络和 DC 的影响到底有多大？2.我是否遗漏了什么，还有另一种方法可以为 NPS 提供 HA 吗？

PS 我们的网络团队说他们可以在他们这边指定多个 RADIUS 服务器，但问题是 Windows Server 中的网络服务启动时间早于 NPS，这让我们在客户端尝试在未完全验证的服务器上进行身份验证时存在差距运作。

将第三方根 CA 证书导入 Windows 域中的企业 NTAuth 存储，除了信任 CA 颁发证书之外，还有哪些风险？

这是为了测试目的，以解决无线客户端在连接到无线网络并通过在 WS2012 R2 上运行的新 NPS 服务器进行身份验证时收到 Windows 安全警报的问题。

Root CA 证书已存在于Trusted Root Certificate Authorities下的客户端计算机的计算机存储中，但该窗口仍会在首次连接尝试时出现。

目标是摆脱弹出窗口：

编辑：我会详细说明一点。

目标：

• 允许加入域的设备通过 NPS 进行身份验证；
• 使用第三方证书；
• 用户不应得到安全警告弹出窗口；

使用 WS2012R2 上的 NPS。PEAP/MsCHAPv2 用于身份验证。