解决 Windows EAP/RADIUS 连接问题

解决 Windows EAP/RADIUS 连接问题

因此,我猜这个问题的简短版本是:

在设置“新” NPS 服务器和新 CA 后,我无法让客户端连接到企业 WPA 无线网络。在我手动从 NPS/CA 服务器请求客户端上的新证书并尝试连接到无线网络后,它们停留在“正在尝试身份验证”/“等待网络准备就绪”状态约一分钟,然后放弃并说无法连接。

我的 NPS/CA 服务器上的日志显示 IAS4142“原因代码”为 23...有关各种错误代码含义的 Technet 文档。>:/ 发生了什么事?有人知道该怎么解决吗?或者从哪里开始排除故障?(谷歌帮不上什么忙……发现有几个人有同样的问题,但没有解决方案。)


较长的版本,希望包含可以帮助别人帮助我的信息是:

几周前,我们发生了一起事件,涉及强行夺取总部两个“主要”DC(2k3 R2)的 FSMO 角色。结果,它们处于离线状态,并且不会再回来。当然,在完成此操作并解决眼前危机之后,我们收到报告称无线访问不再起作用。这很合理,因为我们回头查看了断开连接的前 DC,发现其中一个是我们唯一的 IAS 服务器,另一个是我们环境中唯一的 CA。当然,我们使用 WPA-enterprise 无线加密,证书颁发给客户端计算机帐户,域凭据需要进行身份验证(这是一种偷懒的方式,允许客户端使用其登录凭据自动进行身份验证,无需用户交互)。所以问题是没有可用的 RADIUS 服务器来处理请求,而且颁发 CA 也不见了。

当时看起来不错的解决方案是建立一台新服务器,并由于设备限制,将 CA 和 NPS 角色放在服务器上。我本来想把它也变成 DC,但由于其他限制而无法实现。我所知道和读到的一切都表明这样做没问题。我还有一个可笑的假设,我能够以这种方式正确设置它,而不会遇到以前设置的所有烦恼。而且,由于不想手动重新输入几百个客户端和几十个策略,我遵循了这篇 Technet 文章关于如何迁移 NPS 服务器(以及修复了错误的 IAS 到 NPS EAP 参数。大部分。那一节中我的数字不是 0,16,515,而是 0,15,521...所以我按照指示更正了“0”并继续。)

我更改了一些 CA 加密设置(将 SHA-1 改为 SHA-512,因为 SHA-1 现在不安全,以不太愚蠢的方式命名根证书等),在 AD 中注册了 NPS,以为一切就绪了。然后我遇到了一个问题XP 无法使用 SHA-2 证书进行 AAA(&%#^!!!),当我们的客户仍在使用 XP 时,这会出现问题。应用了该修补程序(其中提到更新将包含在 XP SP4 中... :/ ),但仍然没有解决。找到错误代码比我想承认的要费力一些(特别是当我后来注意到安全事件日志中的错误时,所以我浪费了时间解密该死的 IAS 日志),然后去 Google 寻求帮助,但几乎一无所获。其他人报告了同样的问题,但似乎没有人知道问题出在哪里,或者如何修复它。事件日志文本:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

而且,实际上,当我查看日志以查找该错误时,我注意到就在它之前有一个错误(相同的时间戳,但在 EventLog 中就在另一个错误之前)...不确定这意味着什么...我的根证书不好?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

在我采取一些激烈的措施之前,[哭泣]比如重新安装我们的 CA 和 NPS 服务器,然后手动配置所有内容……或者购买一堆弹药并开车前往 Remdond [/哭泣] 有没有人有什么不那么痛苦的措施可以帮助解决我的问题?

答案1

如果您要替换签名根 CA,则需要确保导入新的受信任根和新的客户端证书。

答案2

由于服务器发送hello包给客户端,请确保新的服务器证书已经导入个人证书,如果没有,服务器无法初始化EAP-TLS握手,EAP协议会出现错误。

答案3

我不想混淆 MDmarra 给出的简洁、普遍适用的答案,但事实证明,CA/NPS 服务器在生成自己的机器证书后也需要自动重启。

不确定这是否适用于一般情况,或者只是因为服务器同时扮演两个角色,或者因为我们的环境太糟糕了,但似乎值得一提。重新启动服务是不够的,但重新启动机器似乎解决了所有问题。Windows 管理员 101,或者其他什么。“如果一开始没有成功,请重新启动并重试。”

相关内容