我最近将 NPS 从一台运行 Windows Server 2012 Standard 的主机迁移到另一台主机,使用的是科技网使用不同主机名进行迁移的说明。
尽管我的所有 RADIUS 客户端都能够(现在仍然)对旧服务器进行身份验证,但一个客户端(Apple Time Capsule)无法对新服务器进行身份验证(我已经测试了其他三个客户端,它们在新服务器上运行正常)。
我已经三次检查了 Time Capsule 和 NPS 之间的共享密钥是否正确(并且为了以防万一,也改了几次,在每个密钥上复制粘贴了相同的密钥),并且基于一篇文章我还切换了 NPS 证书(我把 CA 迁移搞砸了,不得不创建一个新的)。新 CA 的证书已安装,应该在尝试进行身份验证的设备上受信任。
旧服务器上的事件日志显示了成功登录的 Windows 安全审核事件,但这些事件显然不会显示在新服务器上(对于 Time Capsule)——事实上,在尝试针对新服务器进行身份验证时唯一显示的内容是 NPS 事件 4400,通知我 LDAP 连接已建立(成功)。
当我在新服务器上启用更多日志记录后,C:\Windows\system32\logfiles与旧服务器的日志相比,下面的 NPS 日志文件确实收到了一些进一步的信息。
旧服务器(身份验证成功):
<Event>
<Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp>
<Computer-Name data_type="1">(old-server-name)</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address>
<NAS-Port data_type="0">0</NAS-Port>
<Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id>
<Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id>
<Framed-MTU data_type="0">1400</Framed-MTU>
<NAS-Port-Type data_type="0">19</NAS-Port-Type>
<Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info>
<Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
<User-Name data_type="1">(username@domain)</User-Name>
<Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
<NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
<Class data_type="1">311 1 (old-server-ip) 12/07/2012 09:32:22 2836</Class>
<Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
<EAP-Friendly-Name data_type="1">Microsoft: Secured password (EAP-MSCHAP v2)</EAP-Friendly-Name>
<MS-Quarantine-State data_type="0">0</MS-Quarantine-State>
<MS-Extended-Quarantine-State data_type="0">0</MS-Extended-Quarantine-State>
<Authentication-Type data_type="0">11</Authentication-Type>
<Packet-Type data_type="0">1</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
<Event>
<Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp>
<Computer-Name data_type="1">(old-server-name)</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<Class data_type="1">311 1 (old-server-ip) 12/07/2012 09:32:22 2836</Class>
<EAP-Friendly-Name data_type="1">Microsoft: Secured password (EAP-MSCHAP v2)</EAP-Friendly-Name>
<Authentication-Type data_type="0">11</Authentication-Type>
<PEAP-Fast-Roamed-Session data_type="0">1</PEAP-Fast-Roamed-Session>
<Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
<MS-CHAP-Domain data_type="2">(domain-data)</MS-CHAP-Domain>
<Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
<NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
<Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
<Framed-Protocol data_type="0">1</Framed-Protocol>
<Service-Type data_type="0">2</Service-Type>
<MS-Quarantine-State data_type="0">0</MS-Quarantine-State>
<MS-Extended-Quarantine-State data_type="0">0</MS-Extended-Quarantine-State>
<Packet-Type data_type="0">2</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
新服务器(失败):
<Event>
<Timestamp data_type="4">12/11/2012 00:43:59.126</Timestamp>
<Computer-Name data_type="1">(new-server-name)</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address>
<NAS-Port data_type="0">0</NAS-Port>
<Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id>
<Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id>
<Framed-MTU data_type="0">1400</Framed-MTU>
<NAS-Port-Type data_type="0">19</NAS-Port-Type>
<Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info>
<Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
<User-Name data_type="1">(username@domain)</User-Name>
<Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
<Class data_type="1">311 1 (new-server-ip) 12/10/2012 20:22:25 67</Class>
<Authentication-Type data_type="0">5</Authentication-Type>
<NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
<Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
<Packet-Type data_type="0">1</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
<Event>
<Timestamp data_type="4">12/11/2012 00:43:59.126</Timestamp>
<Computer-Name data_type="1">(new-server-name)</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<Class data_type="1">311 1 (new-server-ip) 12/10/2012 20:22:25 67</Class>
<Session-Timeout data_type="0">30</Session-Timeout>
<Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
<Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
<Authentication-Type data_type="0">5</Authentication-Type>
<NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
<Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
<Packet-Type data_type="0">11</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
在失败的情况下,第二个事件的 Packet-Type=11 指的是质询。由于这两个事件在 NPS 日志中重复多次,我猜想这意味着从未对质询做出响应?
如果尝试进行身份验证的设备上未安装 CA 证书,设备在进行身份验证时会显示旧服务器的 CA 证书。但是,使用新服务器时,我根本不会收到有关证书的提示 - 设备只是报告它们正在进行身份验证,但除了上述两个事件之外什么也没有发生。最终,设备超时并说它们无法连接。
编辑#4:我对此进行了进一步的调试,甚至删除了配置并在新的 NPS 服务器上创建新策略,但都无济于事。现在,我已将新的 NPS 服务器设置为仅使用 PEAP,并使用 EAP-MSCHAPv2。
我刚刚注意到,如果我在新的 NPS 服务器上选择自签名证书(颁发给 localhost,而不是 FQDN,并为 IIS Express Development(!) 生成),设备将提示我有关证书的信息,如果我选择接受证书,则成功加入网络。在这种情况下,日志看起来像上面的第一个,即按顺序排列的身份验证类型 11 和数据包类型 1 和 2。
选择我在受保护的 EAP 属性中列出的任何其他证书都将导致客户端永远不会提示我有关证书的信息(即使我没有安装 CA 证书),并且身份验证类型 5 的使用失败,如上所述。即使是使用 RAS 和 IAS 服务器证书模板为此服务器生成的证书,也会发生这种情况。
NPS 服务器使用的证书的具体要求是什么?