我们有一个使用 802.1x 的 Meraki 无线基础设施,使用由我们内部根 CA 颁发的证书根据 MS 网络策略服务器对 Windows 客户端进行身份验证。根证书和无线设置通过组策略推送。多年来,这种方法一直运行良好,适用于从 Win 7 到 10 的所有版本的客户端。如果这很重要的话,根 CA 运行的是 2012(不是 R2)。
是时候将 NPS 服务迁移到运行 2016 的新服务器了。NPS 已安装,我已将配置从旧服务器迁移到新服务器。所有设置都匹配,正如预期的那样,因为它是导出/导入。
2016 年的 NPS 有一个由我们的根 CA 通过 RAS 服务器自动注册颁发的“RAS 和 IAS”服务器证书。相同的证书模板正在将证书分发给我们的 2008 R2 NPS 服务器。查看旧服务器和新服务器上的证书,唯一的区别是服务器名称。所有其他设置(如密钥大小等)都是相同的。
无论如何,当无线客户端尝试进行身份验证时,它们都会失败。NPS 服务器显示事件 ID 6273,原因代码为 262,错误为“提供的消息不完整。签名未经验证。”
这指向证书错误 - 我明白了 - 但我找不到任何原因。服务器证书使用我知道有效的证书模板正确配置。客户端信任根 CA(并且它是整个域的同一个根 CA。)如果我将服务器证书从 2016 NPS 服务器复制到客户端,则证书显示为有效,并受内部根 CA 信任。
为了好玩,我在 2012 R2 机器上安装了 NPS。一旦我将服务器添加到 RAS 组,它就会自动注册证书。我导入了带到 2016 的相同配置,2012 R2 NPS 马上就工作了。配置最多花了两分钟。然而,2016 上的相同过程不起作用。
我已经浏览了所有 MS 文档和我能找到的其他内容,但还是遇到了瓶颈。任何建议都将不胜感激。
谢谢!