Windows 网络策略服务器未在 NPS 日志中记录错误密码

Windows 网络策略服务器未在 NPS 日志中记录错误密码

我有一台来自 Aruba 控制器的 RADIUS NPS 服务器。会计和身份验证日志记录已打开并正常运行,除了当由于密码错误而导致登录失败时。

安全日志
所有身份验证尝试均在服务器上的安全事件日志中可见。
任务类别为登录或网络策略服务器。如果类别为网络策略服务器,则原因代码已指定,8 表示错误的用户名,7 表示错误的域,等等。NPS
日志还指定“呼叫站 ID”,即最终用户设备的 MAC 地址(以及我想要的错误密码尝试的信息)。

错误密码
错误密码尝试会记录在安全事件日志中,任务类别为登录。
它们不会显示在 NPS 日志中,事件不会显示不是列出 MAC 地址。
登录失败的事件 ID 是 6273;我不是在日志中看到是16,用户凭据不匹配。

我使用相同的控制器从同一设备(我的手机)测试了错误密码和错误用户名。

连接请求策略/网络策略
我认为登录处理的顺序在某种程度上很重要,但我不知道在哪里。
我们有一个连接请求策略,使用 Windows 身份验证,身份验证提供程序作为本地计算机(这不是域控制器)。
我们有多个网络策略,适用于无线的策略在列表中排在第一位。

我认为错误密码导致登录失败“无法进入”NPS 层,但为什么不能呢?为什么该层可以处理错误的用户名,而不处理错误的密码?登录的处理有什么不同?(区别不就是 DC 的返回代码不同吗?)

编辑:经过进一步调查,安全事件日志中似乎有一个 4624(成功登录)条目,紧接在 6278(NPS 授予完全访问权限)之前成功的连接。因此,看来帐户必须通过此初始(网络)登录。

但是,对于“不良用户名”,我相信这些名称会在网络策略条件中被过滤掉。目前(除其他事项外)条件之一是帐户必须属于域用户。这是不对错误的用户名。

不管怎样,我不确定为什么 NPS 不会处理错误的密码尝试,因为它应该是无效的约束在那时候。

相关内容