题 Windows EAP / RADIUS连接问题疑难解答


所以,我想这个问题的简短版本是:

在设置“新”NPS服务器和新CA后,我无法让客户端连接到企业-WPA无线网络。在我从NPS / CA服务器手动请求我的客户端上的新证书并尝试连接到无线网络后,他们坐下来“尝试进行身份验证”/“等待网络准备就绪”大约一分钟后才放弃,说他们无法连接。

我的NPS / CA服务器上的日志给出的IAS4142“原因代码”为23 ...这是不存在的 有关各种错误代码含义的technet文档。 >:/发生了什么,有谁知道如何修复它?或者从哪里开始排除故障? (谷歌一直没有帮助......发现一些人有同样的问题,但没有解决方案。)


较长的版本,希望包含可以帮助别人帮助我的信息是:

几个星期前,我们举办了一场活动,其中包括从我们在家庭办公室(2k3 R2)的两个“主要”DC中强行夺取FSMO角色。结果,他们离线了,并没有回来。当然,在这样做并解决了眼前的危机后,我们得到的报告显示无线接入不再有效。这是有道理的,当我们回去查看断开连接的前DC时,发现其中一个是我们唯一的IAS服务器,另一个是我们环境中唯一的CA.当然,我们使用WPA企业无线加密,发布到客户端计算机帐户的证书,以及进行身份验证所需的域凭据(懒惰的方式,允许客户端使用他们的登录凭据自动进行身份验证,无需用户交互)。所以问题是没有可用于服务请求的RADIUS服务器,并且发行CA无论如何都已经消失了。

当时看起来很好的解决方案是站起来一台新的服务器,并且由于设备的限制,将CA和NPS角色放在上面。我本来希望也能成为DC,但由于其他限制而无法做到。我知道并阅读的所有内容都表明这样会很好。我也有一个滑稽的假设,即我能够以这种方式设置它,而不是对之前设置的所有烦恼。并且,我不想手动重新输入几百个客户端和几十个策略 这篇technet文章 关于如何迁移NPS服务器(和 修复了错误的IAS到NPS EAP参数。大多。而不是那个部分的0,16,515,我有0,15,521 ...所以我按照指示更正了'0'并继续前进。)

我改变了一些CA加密设置(SHA-1到SHA-512,由于SHA-1现在不安全,以较慢的方式命名为根证书等),在AD中注册了NPS,并认为我是很高兴去。然后我遇到了这个问题 XP不能将SHA-2证书用于AAA (&%#^ !!!),当我们的客户仍然使用XP时会出现问题。应用该修补程序(提到更新将包含在XP SP4 ......:/),仍然没有乐趣。发现错误代码的工作量比我想承认的要多一些(特别是当我后来注意到安全事件日志中的错误时,所以我浪费了时间来破译那些错误的IAS日志),然后去了谷歌寻求帮助,几乎完全是空的。其他人报告了同样的问题,但似乎没有人知道什么是错的,或者如何解决它。 EventLog文本:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

而且,实际上,当我通过日志来获取该错误时,我注意到它就在它之前(相同的时间戳,但在EventLog中的另一个之前)...不确定它意味着什么......我的根证书不好?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

在我做一些激烈的事情之前,[哭]就像重新安装我们的CA和NPS服务器,然后手动配置它......或者购买一堆弹药并开往Remdond [/ cry]有没有人对减少痛苦的措施有任何想法可能有助于解决我的问题?


5
2017-07-16 17:48






答案:


如果要替换签名根CA,则需要确保同时导入新的受信任根和新客户端证书。


2
2017-07-16 19:00





由于服务器向客户端发送hello包,请确保已将新服务器证书导入到个人证书中。如果没有,则服务器无法初始化EAP-TLS握手,并在EAP协议上发生错误。


0
2018-04-05 06:38





我不想混淆MDmarra给出的简洁,通用的答案,但事实证明,CA / NPS服务器在生成自己的机器证书后还需要自动重启。

不确定在一般情况下是否属实,或者仅仅因为服务器同时扮演这两个角色,或者因为我们的环境如此恶化,但似乎值得一提。重新启动服务是不够的,但重新启动该框似乎已解决所有问题。 Windows管理员101,或者其他什么。 “如果一开始你没有成功,请重新启动并重试。”


0
2018-01-23 06:02