我有一台带有 NPS 的 Win2K8 服务器。我尝试在 FortiGate 防火墙上设置 VPN 身份验证,以便从我的 Windows 服务器通过 Radius 授权用户。
我配置了两个策略
- 定义客户端和 Radius 机密的连接策略
- 定义所需 AD 组成员身份和所需请求访问服务器(即防火墙)的网络策略
网络策略已选中“忽略用户帐户拨入属性”复选框。
如果用户帐户在其拨入属性页上选择了“通过 NPS 策略控制访问”,则访问将被拒绝。如果我将其更改为“允许访问”,则允许访问。
如果我将其保留为“允许访问”并从所需的 AD 组中删除该用户,则授予访问权限,这让我感到困惑。
那么,无论选择了什么拨入属性,都需要什么来获取 NPS 策略来确定是否授予访问权限?
我在 Server Fault 上找到了描述此问题的另一个问题,但重新排序策略的建议解决方案没有帮助。
答案1
解决方案是:仔细检查您的政策。
就我而言,我没有仔细阅读标准,定义的连接和网络策略都引用了“客户端 IPv4 地址”而不是“访问客户端 IPv4 地址”。
答案2
我知道这已经是老问题了,但我在尝试连接到我们的无线网络时在一台计算机上遇到了完全相同的问题。我进入我的 NPS 网络策略并选择忽略拨入属性,但我仍然无法连接到这台计算机上的网络。我不断收到错误 65“Active Directory 中用户帐户的拨入属性中的网络访问权限设置设置为拒绝用户访问。要将网络访问权限设置更改为允许访问或通过 NPS 网络策略控制访问,请获取 Active Directory 用户和计算机中用户帐户的属性,单击拨入选项卡,然后更改网络访问权限。”在 NPS 服务器安全日志的事件日志中。最终,解决方案是从 AD 中删除我的计算机,删除 AD 帐户,卸载我的网络适配器并重新启动计算机以允许它们自动重新安装。之后,我能够连接到网络并通过 NPS 成功进行身份验证。
答案3
我今天遇到了这个问题...确保您正在使用 AD CA 并将计算机脱离域并重新加入。