我正在尝试将 NPS 服务器设置为我公司员工 Wifi 网络的 RADIUS 服务器。所有移动设备都可以使用其域用户/密码连接到此网络。我的问题是让 Windows 计算机(不在域中!)使用此网络,因为我从 NPS 日志中收到此错误:
"SERVERNAME",
"IAS",
09/28/2015,
09:00:44,
3,
...
"WIFI_STAFF_Policy",
265
使用日志规范,我发现这个数据包是“访问拒绝”,以及“原因代码”为 265(未在 MS 日志规范中声明)。通过 Google 查找后,我发现“265 原因代码”是证书错误,但我不明白这是客户端错误还是服务器错误。
显然,我无法向所有非域计算机添加证书,而且我不想为我的 NPS 购买证书。
如果这是客户端错误,我知道我可以将 PEAP 身份验证设置为不验证证书,但这是一个非常困难的选项,因为我应该手动设置每台计算机。
有什么办法可以不使用来自 NPS 网络策略配置的证书验证?
答案1
您的非域客户端无法连接的原因是您的客户端不信任 NPS 服务器上配置的网络策略所使用的证书。
有什么办法可以不使用来自 NPS 网络策略配置的证书验证?
不,原因如下。假设你可以配置您的 NPS 服务器以更改客户端的行为,即使您的客户端不信任服务器的证书。如果我是攻击者,我可以使用您不信任的证书设置我的 NPS 服务器,并将其配置为强制您的客户端连接到我的服务器,即使您不信任我的证书。那会很糟糕。
您可以使用两种方式使用客户端不信任的证书将无线客户端连接到 PEAP 安全的无线网络:
- 在客户端上安装 NPS 服务器的证书
- 编辑客户端上的无线连接,并在受保护的 EAP 属性中指定客户端不应验证服务器证书:
