我有许多 Ubiquiti Unifi AP 连接到 Windows Server 2012 NPS 半径服务器。
我配置了安全策略以让域用户连接到本地网络。
我在使用 Windows 7 客户端时遇到了一些问题。我收到一条消息Impossible to connect
。
在 中C:\Windows\System32\LogFiles
,我看到了Access-Request
数据包和一个11
似乎是 的数据包Access-Challenge
。我没有看到任何有关被拒绝连接的事件日志条目。
我尝试按照本教程手动配置无线连接,但没有成功:
与非 Windows 设备(如手机、平板电脑、Mac 电脑)相比,Radius 连接可以完美运行!
我怎样才能使 Windows 7 客户端也能正常工作?
答案1
我刚刚做了同样的事情,但我使用 Windows Server 2008R2 作为 RADIUS 服务器。
您链接的指南看起来不错,实际上,它只需要匹配您在 NPS/RADIUS 服务器上的设置。默认情况下,Windows 7 计算机在首次开机时将尝试使用计算机的域密码进行身份验证,然后在您登录后使用用户名/密码进行身份验证。默认情况下,Windows 7 还将尝试验证 RADIUS 服务器提供的证书是否受信任。您链接的指南向您展示了如何强制 Windows 7 客户端仅使用用户信息进行身份验证。您应该确保这与您的实际 NPS 策略相匹配。
以下是我安装 Unifi 的步骤:
- 我们有一个域 PKI,因此我为 RADIUS 服务器生成了一个域信任的证书。如果您使用自签名证书,则应使用 GPO 将其部署到客户端设备上的受信任的根证书颁发机构。
- 我设置了RADIUS连接策略,认证方法如下:EAP-MSCHAPv2。
- 我创建了 2 个网络策略来匹配 2 个 SSID:域计算机和域用户。然后我使用“被叫站 ID”RADIUS 属性来设置适当的条件:计算机组:域\域计算机(用于“计算机”SSID)和用户组:域\无线用户(用于“用户”SSID)。
- 然后,我使用 GPO 组策略首选项将适当的设置部署到所有加入域的笔记本电脑。
顺便说一下,您列出了一个非常简单的错误消息,但如果您查看 Windows 安全事件日志,您应该能够获得有关 RADIUS 身份验证失败的位置的更详细信息。
最可能的错误来源是:
- 证书不当或不受信任
- Windows 试图在加入域的设备上输入错误的密码(机器密码与用户密码)。
- 您在 RADIUS 服务器上设置的身份验证方法与在客户端上设置的身份验证方法不同。
顺便说一句,Unifi AP 只是传递 RADIUS 身份验证:这根本不是方程式的一部分。只需查看 RADIUS 服务器和客户端设备。