windows-server-2008-r2 – 解决Windows EAP / RADIUS连接问题
所以,我想这个问题的简短版本是:
在设置“新”NPS服务器和新CA后,我无法让客户端连接到企业-WPA无线网络.在我从NPS / CA服务器手动请求我的客户端上的新证书并尝试连接到无线网络后,他们坐下来“尝试进行身份验证”/“等待网络准备就绪”大约一分钟后才放弃,说他们无法连接. 我的NPS / CA服务器上的日志给出的IAS4142“原因代码”为23 …这在technet documentation on what the various error codes mean中不存在.>:/发生了什么,有谁知道如何修复它?或者从哪里开始排除故障? (谷歌一直没有帮助……发现一些人有同样的问题,但没有解决方案.) 较长的版本,希望包含可以帮助别人帮助我的信息是: 几个星期前,我们举办了一场活动,其中包括从我们在家庭办公室(2k3 R2)的两个“主要”DC中强行夺取FSMO角色.结果,他们离线了,并没有回来.当然,在这样做并解决了眼前的危机后,我们得到的报告显示无线接入不再有效.这是有道理的,当我们回去查看断开连接的前DC时,发现其中一个是我们唯一的IAS服务器,另一个是我们环境中唯一的CA.当然,我们使用WPA企业无线加密,发布到客户端计算机帐户的证书,以及进行身份验证所需的域凭据(懒惰的方式,允许客户端使用他们的登录凭据自动进行身份验证,无需用户交互).所以问题是没有可用于服务请求的RADIUS服务器,并且发行CA无论如何都已经消失了. 当时看起来很好的解决方案是站起来一台新的服务器,并且由于设备的限制,将CA和NPS角色放在上面.我本来希望也能成为DC,但由于其他限制而无法做到.我知道并阅读的所有内容都表明这样会很好.我也有一个滑稽的假设,即我能够以这种方式设置它,而不是对之前设置的所有烦恼.并且,我不想手动重新输入几百个客户端和几十个策略,我在this technet article之后关于如何迁移NPS服务器(和the fix for the incorrect IAS to NPS EAP parameter.主要是.而不是在该部分的0,16,515,我有0,15,521 ..所以我按照指示更正了’0’并继续前进.) 我改变了一些CA加密设置(SHA-1到SHA-512,由于SHA-1现在不安全,以较慢的方式命名为根证书等),在AD中注册了NPS,并认为我是很高兴去.然后我遇到了XP can’t use SHA-2 certs for AAA(&%#^ !!!)的问题,这在我们的客户仍在使用XP时会出现问题.应用该修补程序(提到更新将包含在XP SP4 ……:/),仍然没有乐趣.发现错误代码的工作量比我想承认的要多一些(特别是当我后来注意到安全事件日志中的错误时,所以我浪费了时间来破译那些错误的IAS日志),然后去了谷歌寻求帮助,几乎完全是空的.其他人报告了同样的问题,但似乎没有人知道什么是错的,或者如何解决它. EventLog文本: Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 6273 Task Category: Network Policy Server Level: Information Keywords: Audit Failure User: N/A Computer: [The NPS/CA server] Description: Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: [domainusername] Account Name: [domainusername] Account Domain: [domain] Fully Qualified Account Name: [domainusername] Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: 003a.9a18.7671 Calling Station Identifier: 0013.e888.ecef NAS: NAS IPv4 Address: [AP's IP] NAS IPv6 Address: - NAS Identifier: [AP's name] NAS Port-Type: Wireless - IEEE 802.11 NAS Port: 1939 RADIUS Client: Client Friendly Name: [AP's name] Client IP Address: [AP's IP] Authentication Details: Connection Request Policy Name: [Wifi access policy name] Network Policy Name: [Wifi access policy name] Authentication Provider: Windows Authentication Server: [The NPS/CA server.domain.tld] Authentication Type: PEAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 23 Reason: An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors. 而且,实际上,当我通过日志来获取该错误时,我注意到它就在它之前(相同的时间戳,但在EventLog中的另一个之前)…不确定它意味着什么……我的根证书不好?!?!? Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 5061 Task Category: System Integrity Level: Information Keywords: Audit Failure User: N/A Computer: [The NPS/CA server] Description: Cryptographic operation. Subject: Security ID: SYSTEM Account Name: [The NPS/CA server] Account Domain: [domain] Logon ID: 0x3e7 Cryptographic Parameters: Provider Name: Microsoft Software Key Storage Provider Algorithm Name: RSA Key Name: [Root cert created when the CA was installed] Key Type: Machine key. Cryptographic Operation: Operation: Decrypt. Return Code: 0x80090010 在我做一些激烈的事情之前,[哭]就像重新安装我们的CA和NPS服务器,然后手动配置它……或者购买一堆弹药并开往Remdond [/ cry]有没有人对减少痛苦的措施有任何想法可能有助于解决我的问题?
如果要替换签名根CA,则需要确保同时导入新的受信任根和新客户端证书.
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 名称XXX不存在于命名空间YYY(XAML VS12 Windows 8)
- XAMPP Windows Apache VirtualHost 403禁止使用
- Windows 2003 R2 32位终端服务器上的不稳定性问题
- 利用detours写了一个工具用于instrument任意指定dll的任意指
- windows – 如何记录/跟踪您的权限
- windows-7 – 从Windows XP客户端IRPStackSize和访问Window
- windows的navicat连接linux的数据库
- “Windows Server 2012 R2”上“IIS 8.5”上的ASP.NET应用程
- windows – 如何证明操作系统级防火墙的重要性?
- 在WPF中的所有Windows中应用按钮样式
- windows – ActivePerl. .pl文件不再执行,而是在
- 如何在Windows中杀死子进程python
- windows-server-2008-r2 – 可以在HyperV Window
- windows-server-2008 – Windows 2k8 R2 – 什么
- 在windows中为msysgit设置openssh端口
- 如何为Coded UI Test(Windows Phone 8.1)项目添加
- CouchDB延迟构建索引(Windows Server 2008 R2上的
- windows-runtime – 如何等待IAsyncAction?
- 将PDF文件/对象插入Microsoft Excel时出现“无法
- Windows上的GIMP – 从命令行执行python-fu脚本