我创建了一个新的 NPS 网络策略,其设置如下:
概述
- 策略已启用
- 授予访问权限
- 类型:远程访问服务器(VPN 拨号)
条件
- 计算机组:域计算机
限制
- 身份验证:EAP-MSCHAPv2,用户可以更改密码
- NAS 端口类型:VPN
身份验证在本地处理,不传递给 RADIUS。
当我尝试连接到 VPN 时,我的连接不符合策略。我尝试使用“机器组”和“Windows 组”条件。我尝试了各种其他身份验证方法。我觉得我遗漏了一些额外的步骤,但找不到有关使用机器组条件的任何文档。
这是微软关于这个话题最有帮助、最无用的文章,并且它只指出“如果 NAP 强制方法是 802.1X 或 VPN 强制,则安全组的成员可以是用户或计算机。”在“设置”下,我选中了“NAP 强制”,并且没有选择不同强制方法的选项;我们目前没有创建健康策略并且不使用 NAP。
我肯定漏掉了什么,但我不知道是什么。我曾考虑过设置 CA 并进行证书身份验证,但我认为没有必要仅通过计算机安全组成员身份进行筛选。
:编辑:
因此,我在 26 日又花了几个小时来处理这个问题,但我一直很忙,没能更新这个问题。我启用了审核并查看了详细的 NPS 日志,这对我帮助很大,同时这篇解释性文章来自微软。
使用“VPN”类型的服务器时,我收到原因代码 48,“IAS_NO_POLICY_MATCH”。复制我们的无线策略(仅使用机器组过滤器并有效)后,我发现服务器类型必须设置为“未指定”。
然后我看到原因代码 66,其含义为“IAS_INVALID_AUTH_TYPE”,并发现客户端和服务器之间的身份验证设置不匹配 (doh)。(这很可能是因为我放弃了使用 MS-CHAPv2 的常规 VPN 策略副本进行测试,并复制了使用 PEAP 的无线策略,但没有相应地更新客户端。)
我看到原因代码 65 被翻译为“IAS_DIALIN_DISABLED”。这就是事情变得奇怪的地方。
a. 如果我为用户组成员身份添加第二个“AND”条件(使用用户组条件或 Windows 组条件),则一无所获,错误代码相同。(对“域计算机”或“VPN 用户”使用单个 Windows 组条件允许任何计算机的 VPN 用户进入,但不允许任何域计算机的用户进入。)
b. 如果我将策略设置为“忽略用户帐户拨入属性”,则一无所获,错误代码相同。
c. 如果我转到 ADUC 中的用户 AD 对象属性并将拨入属性从“通过 NPS 网络策略控制访问”更改为“允许访问”,则一切正常。
此时,我确信 NPS 中存在某种错误或设计缺陷,导致此功能无法正常工作。到目前为止,我还没有成功找到 MS 的任何 KB,其中包含要下载的修补程序或更新,但其他人似乎可以使用此功能这一事实告诉我,我们的环境中存在问题。如果有人知道可能是什么问题,请告诉我!
答案1
我建议将“网络访问服务器类型”更改为“未指定”。然后添加条件“NAS 端口类型:VPN”
我正在成功地对机器账户使用条件“Windows 组”。