解决 Windows EAP/RADIUS 连接问题

因此，我猜这个问题的简短版本是：

在设置“新” NPS 服务器和新 CA 后，我无法让客户端连接到企业 WPA 无线网络。在我手动从 NPS/CA 服务器请求客户端上的新证书并尝试连接到无线网络后，它们停留在“正在尝试身份验证”/“等待网络准备就绪”状态约一分钟，然后放弃并说无法连接。

我的 NPS/CA 服务器上的日志显示 IAS4142“原因代码”为 23...有关各种错误代码含义的 Technet 文档。>:/ 发生了什么事？有人知道该怎么解决吗？或者从哪里开始排除故障？（谷歌帮不上什么忙……发现有几个人有同样的问题，但没有解决方案。）

---

较长的版本，希望包含可以帮助别人帮助我的信息是：

几周前，我们发生了一起事件，涉及强行夺取总部两个“主要”DC（2k3 R2）的 FSMO 角色。结果，它们处于离线状态，并且不会再回来。当然，在完成此操作并解决眼前危机之后，我们收到报告称无线访问不再起作用。这很合理，因为我们回头查看了断开连接的前 DC，发现其中一个是我们唯一的 IAS 服务器，另一个是我们环境中唯一的 CA。当然，我们使用 WPA-enterprise 无线加密，证书颁发给客户端计算机帐户，域凭据需要进行身份验证（这是一种偷懒的方式，允许客户端使用其登录凭据自动进行身份验证，无需用户交互）。所以问题是没有可用的 RADIUS 服务器来处理请求，而且颁发 CA 也不见了。

当时看起来不错的解决方案是建立一台新服务器，并由于设备限制，将 CA 和 NPS 角色放在服务器上。我本来想把它也变成 DC，但由于其他限制而无法实现。我所知道和读到的一切都表明这样做没问题。我还有一个可笑的假设，我能够以这种方式正确设置它，而不会遇到以前设置的所有烦恼。而且，由于不想手动重新输入几百个客户端和几十个策略，我遵循了这篇 Technet 文章关于如何迁移 NPS 服务器（以及修复了错误的 IAS 到 NPS EAP 参数。大部分。那一节中我的数字不是 0,16,515，而是 0,15,521...所以我按照指示更正了“0”并继续。）

我更改了一些 CA 加密设置（将 SHA-1 改为 SHA-512，因为 SHA-1 现在不安全，以不太愚蠢的方式命名根证书等），在 AD 中注册了 NPS，以为一切就绪了。然后我遇到了一个问题XP 无法使用 SHA-2 证书进行 AAA(&%#^!!!)，当我们的客户仍在使用 XP 时，这会出现问题。应用了该修补程序（其中提到更新将包含在 XP SP4 中... :/ ），但仍然没有解决。找到错误代码比我想承认的要费力一些（特别是当我后来注意到安全事件日志中的错误时，所以我浪费了时间解密该死的 IAS 日志），然后去 Google 寻求帮助，但几乎一无所获。其他人报告了同样的问题，但似乎没有人知道问题出在哪里，或者如何修复它。事件日志文本：

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

而且，实际上，当我查看日志以查找该错误时，我注意到就在它之前有一个错误（相同的时间戳，但在 EventLog 中就在另一个错误之前）...不确定这意味着什么...我的根证书不好？！？！？

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

在我采取一些激烈的措施之前，[哭泣]比如重新安装我们的 CA 和 NPS 服务器，然后手动配置所有内容……或者购买一堆弹药并开车前往 Remdond [/哭泣] 有没有人有什么不那么痛苦的措施可以帮助解决我的问题？