环境背景:
4 个域控制器,DC01 DC02 DC03 DC04
DC01 是我的 PDC
DC02 是我的 NPS 服务器
另外两个是负载平衡和站点特定的。
我在办公室使用 Ruckus Zone Director 和 Ruckus WAP。我们的环境由 80% 的 Mac、19% 的 PC 和约 1% 的 Linux 计算机组成。
我们正在将旧的无线基础设施迁移到新的基础设施。旧基础设施使用 MAC 地址过滤(麻烦)和 WPA2 密码;而新设置则使用 Radius,因为我们正尝试转向 Active Directory。
尚未将所有人都转移到 AD,但我们正在耐心地进行切换。
我的所有 Mac 都可以毫无问题地连接到提供 Radius MSCHAPv2 证书 (PEAP) 的 SSID。但是 PC 却时好时坏。到目前为止,有两个用户始终无法连接到 SSID,而其他人(据我们所知)都没有遇到问题。
我检查了 NPS 服务器(DC02)上的事件日志,并收到以下错误。
网络策略服务器拒绝用户访问。
>请联系网络策略服务器管理员以获取更多信息。
> 用户:
> 安全 ID:NULL SID
> 帐户名称:CORP\user.name
> 帐户域:CORP
> 完全限定帐户名称:CORP\user.name
> 客户端计算机:
> 安全 ID:NULL SID
> 帐户名称:-
> 完全限定帐户名称:-
> 操作系统版本:-
> 被叫站标识符:84-18-3A-3A-03-9C:SSID-NAME
> 呼叫站标识符:7C-7A-91-19-A3-BB
>NAS:
> NAS IPv4 地址:172.16.1.101
> NAS IPv6 地址:-
> NAS 标识符:84-18-3A-3A-03-9C
> NAS 端口类型:无线 - IEEE 802.11
> NAS 端口:7
>RADIUS 客户端:
> 客户端友好名称:Primary-Ruckus
> 客户端 IP 地址:172.16.1.101
> 身份验证详细信息:
> 连接请求策略名称:Ruckus Wireless
> 网络策略名称:-
> 身份验证提供程序:Windows
> 身份验证服务器:DC02.corp.domain.com
> 身份验证类型:PEAP
> EAP 类型:-
> 帐户会话标识符:-
> 日志记录结果:记帐信息已写入本地日志文件。
> 原因代码:16
> 原因:由于用户凭据不匹配,身份验证失败。提供的用户名未映射到现有用户帐户或密码不正确。
我已经添加了无线网络(IEEE 802.11)组策略,但仍然没有任何作用。
关于下一步该去哪里,有什么建议或想法吗?我开始担心我的推出时间表会被推迟。
答案1
好吧,我很久以来一直在与同样的问题作斗争。它有相同的错误消息
Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.
后来我发现我切换了主证书。在默认的 Windows CA 配置下,通常受信任的 PositiveSSL 证书对此不起作用。
令人惊讶的是,当我将证书切换为旧的(几乎所有地方)不受信任的 StartCom 证书时,它开始工作了。
您可能应该解决证书信任链或从另一个受信任的认证机构获取证书。