Вопрос: Устранение неполадок подключения к EAP / RADIUS для Windows EAP / RADIUS


Итак, я думаю, короткая версия вопроса:

Я не могу заставить клиентов подключаться к беспроводной сети предприятия-WPA после настройки «нового» сервера NPS и нового центра сертификации. После того, как я вручную запрошу новый сертификат на моем клиенте с сервера NPS / CA и попытаюсь подключиться к беспроводной сети, они сидят на «попытке аутентификации» / «Ожидание готовности сети» около минуты, прежде чем сдаться и говоря, что они не могут подключиться.

Журналы на моем сервере NPS / CA дают IAS4142 «Код причины» 23 ... который отсутствует в техническая документация на то, что означают различные коды ошибок, >: / Что происходит, и кто-нибудь знает, как это исправить? Или где начать устранение неполадок? (Google был довольно бесполезен ... нашел несколько людей с той же проблемой, но никаких решений.)


Более длинная версия, которая, надеюсь, содержит информацию, которая может помочь мне помочь:

Спустя пару недель у нас было событие, которое включало сильное схватывание ролей FSMO от наших двух «главных» DC в домашнем офисе (2k3 R2). В результате они отключены и не возвращаются. Разумеется, после этого и решения неотложного кризиса мы получали сообщения о том, что беспроводной доступ больше не работает. Что имело смысл, когда мы вернулись и посмотрели на отключенных прежних контроллеров домена, и обнаружили, что один из них был нашим единственным сервером IAS, а другой был единственным CA в нашей среде. Разумеется, мы используем беспроводное шифрование WPA-enterprise с сертификатами, выпущенными для учетных записей компьютеров клиентов, и учетными данными домена, необходимыми для аутентификации (ленивый способ, позволяющий клиентам использовать свои учетные данные для авторизации автоматически без взаимодействия с пользователем). Таким образом, проблема заключалась в том, что для обслуживания запросов не было сервера RADIUS, и выдающий ЦА в любом случае ушел.

Решение, которое казалось хорошим в то время, состояло в том, чтобы встать на новый сервер и из-за ограничений оборудования поставить на него роли CA и NPS. Я хотел бы также сделать его DC, но не смог в результате других ограничений. Все, что я знаю и читаю, указало, что это будет хорошо. У меня также было смешное предположение, что я смогу правильно настроить его таким образом и не иметь всех раздражений предыдущей настройки. И, не желая вручную повторно вводить пару сотен клиентов и пару десятков политик, я следовал эта техническая статья о том, как перенести серверы NPS (и исправление неверного параметра IAS для параметра NAP EAP, В основном. Вместо 0,16,515 в этом разделе у меня было 0,15,521 ... поэтому я исправил «0» по указанию и перешел.)

Я изменил несколько CA криптографических настроек (SHA-1 на SHA-512, из-за того, что SHA-1 в настоящее время небезопасен, назвал корневой сертификат менее защищенным и т. Д.), Зарегистрировал NPS в AD и подумал, что я хорошо пойти. Затем я столкнулся с проблемой, которая XP не может использовать сертификаты SHA-2 для AAA (&% # ^ !!!), что является проблематичным, когда наши клиенты все еще находятся на XP. Применено это исправление (в котором упоминается, что обновление будет включено в XP SP4 ...: /), и до сих пор нет радости. Нашел код ошибки с немного большей работой, чем я хотел бы признать (особенно, когда я позже заметил ошибку в журналах событий безопасности, поэтому я потратил время на дешифрование журналов IAS) и отправился в Google за помощью, и подошел почти полностью пустым. Другие люди сообщили о той же проблеме, но никто, кажется, не знает, что случилось, или как ее исправить. Текст EventLog:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

И, фактически, когда я проходил через журналы, чтобы захватить эту ошибку, я заметил это непосредственно перед этим (та же метка времени, но непосредственно перед другим в EventLog) ... не уверен, что это значит ... мой корневой сертификат плохо?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

Прежде чем я сделаю что-то решительное, [плачу], как переустановка нашего сервера CA и NPS, затем все это вручную настраивая ... или покупая кучу боеприпасов и направляясь в сторону Remdond [/ cry], есть ли у кого-нибудь идеи относительно менее болезненных мер, которые может помочь решить мою проблему?


5
2017-07-16 17:48


Источник




Ответы:


Если вы заменяете корневой ЦС подписи, вам необходимо убедиться, что вы импортируете как новый доверенный корень, так и новый сертификат клиента.


2
2017-07-16 19:00





Убедитесь, что сертификат нового сервера был импортирован в персональный сертификат из-за того, что сервер отправил приветственный пакет клиенту. если их нет, сервер не может инициализировать рукопожатие EAP-TLS с ошибкой, возникающей в протоколе EAP.


0
2018-04-05 06:38





Я не хочу путаться с кратким, общеприемлемым ответом, данным MDmarra, но, оказывается, сервер CA / NPS также требовал перезагрузки после получения собственного сертификата машины.

Не уверен, что это верно в общем случае, или просто потому, что сервер выполняет обе роли или потому, что наша среда настолько исправна, но, похоже, стоит упомянуть. Перезапуск служб был недостаточным, но перезагрузка окна, похоже, разрешила все. Windows admin 101, или что-то в этом роде. «Если вам сначала не удастся, перезагрузитесь и повторите попытку».


0
2018-01-23 06:02