nps
网络策略服务器精细时间限制
我正在将 NPS 配置为无线客户端的 RADIUS 身份验证源。 我试图区分上课时间和下课时间,因为我需要将某些用户连接到不同的网络,以便在下班时间访问额外的资源。 我可以设置日期和时间限制,但只能精确到小时。我最差需要 30 分钟的间隔,最理想的间隔是 15 分钟。 有人知道微软的 NPS 是否可以实现这一点吗? ...
nps
nps
NPS 日志记录
我们有一台安装了 NPS 角色的 Windows Server 2008 R2 Enterprise 服务器。(我们不使用 NAP)。有什么办法可以将所有事件日志保存在------中 事件查看器->自定义视图->服务器角色->“网络策略和访问服务”。 我希望使用 Windows PowerShell 执行此操作,并安排每 7 天将日志保存到 *.evt(x) 文件。 我看到的问题是我找不到任何名为“网络策略和访问服务”的 .evt 文件,当我们在事件查看器中查看它时,这似乎是自定义的。 有任何想法吗? ...
nps
带有 EAP TLS 的 Windows Server 2016 NPS、Windows 10/11 客户端,密码不正确?
大家好!我想在我的网络上从 PEAP-MSCHAPv2 用户/密码身份验证切换到基于证书的身份验证。当前设置已经运行多年,没有出现问题:两个具有 NPS 角色的 Windows 2016 域控制器和 Windows 10 + Windows 11 客户端。身份验证适用于有线和无线客户端(允许使用计算机和用户帐户)。 测试环境 为了测试目的,我部署了一台单独的交换机(Aruba 2530)并选择了两台物理机,一台运行 Windows 10,另一台运行 Windows 11。两台机器都已加入域,并能正确地从组策略对象中获取所有设置。相关设置为: 自动启动有线自...
nps
NPS 证书
我正在将域中的 CA 更改为新 CA。旧 CA 将被停用。 我有一个 NPS 服务器,在“网络策略 -> 策略 1 -> 约束 -> 身份验证方法 -> Microsoft:受保护的 EAP”中配置了旧 CA 的证书。 将证书更改为新证书后,客户端将无法再登录。 这可能是什么原因?我需要做任何其他配置吗? ...
nps
NPS 动态 VLAN 捕获全部
我在 WPA-PSK 无线网络上进行了具有动态 VLAN 设置的 radius MAC 身份验证,以便轻松地将不同的 IOT/VOIP 设备放置在可能不支持我们的 WPA-Enterprise 网络的各种网络上。目前,我们只是将设备的 MAC 添加到 Active Directory 中,并且 NPS 策略是接受/拒绝,然后在接受时分配 VLAN。是否可以使用 NPS 捕获所有 VLAN?例如,如果设备的 MAC 在 AD 中有一个帐户,则将该设备分配给相应的 VLAN,但如果设备加入但不在 AD 中,则将其分配给捕获所有/隔离的 VLAN?这更适用于配置设...
nps
如何使用具有不同 IP 地址的 NPS 模板?
在网络策略服务器中创建 RADIUS 客户端模板时,IP 地址字段是必填字段。因此,当 RADIUS 客户端使用该模板时,它们都会获得相同的 IP 地址。这似乎是错误的。 有没有办法让不同 IP 地址的客户端使用模板?如果没有,模板有什么用?我尝试查找模板功能的文档,但似乎也缺乏。 ...
nps
使用 NPS 服务器和 PEAP MSCHAPv2 进行 RADIUS 身份验证期间颁发证书
我正在使用 NPS 作为 RADIUS 服务器来验证使用 PEAP MSCHAPv2 的某些设备。我在服务器身份验证期间遇到问题,我使用的是信任证书链,其中包含 1 个服务器证书、1 个中间证书和 1 个 CA 证书。问题是我的设备不支持信任证书链,但只接受 1 个证书:服务器证书。我一直在查看文档,但没有提到如何配置我的 NPS 以仅发送服务器证书,而不是整个证书链。导致发送错误 42:证书错误。您有什么想法吗?或者甚至可以做到这一点吗?谢谢 问题原因见2 wireshark抓包: 证书传输 证书错误 ...
nps
Windows NPS 日志 - 如何解码类(25)属性?
我想知道 Windows NPS 日志中的“Class”属性是否有特定的格式。 具体来说,我正在查看 Windows Server 2019 的日志,这些日志位于 %SystemRoot%\System32\LogFiles\NPS 下,文件名格式为 INYYMMDD.log (例如IN230317.log)。 我理解大部分日志,特别是在以下人员的帮助下: 微软的“解释 IAS 格式日志文件”和 DEEPSOFTWARE 的“ias 属性列表” 我无法理解的部分是 ID 25,它映射到属性“Class”: 25,311 1 10.10.42.17 02/26...
nps
使用 Azure AD 扩展绕过网络策略服务器
我希望有人能帮助指导我! 我们有一个 RDS 环境并引入了 Azure MFA,并使用以下指南成功构建了它:https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg 我遇到的问题是,我们需要有机会让用户在他们没有移动设备的情况下不必提供 MFA。我的理解是,无论如何,任何到达安装了 MFA 扩展的 NPS 服务器的请求都会提示进行 MFA。 我在 Microsoft 的这个页面上做了一些事情(https://learn...
nps
仍然受到 Windows NPS 2022 年 5 月证书更新的影响
2022 年 5 月 微软改变了客户端证书映射到 AD 帐户的方式,导致 802.1X EAP-TLS 计算机帐户身份验证停止工作。以下是具有详细背景信息的附加资源在 Schannel<=>Kerbers S4U2 上自我认证 对此可用的解决方案是: 使用创建强映射替代安全身份映射 使用新的证书扩展szOID_NTDS_CA_SECURITY_EXT 通过以下方式暂时禁用 Schannel<=>Kerberos S4u2Self证书映射方法注册表项和设置标志 0x4 用于 SAN 证书映射 如果 NPS 服务器和客户端计算机帐户位...
nps
使用 pam_radius 和 NPS 在密码之前使用 OTP
我已成功pam_radius在 Ubuntu 客户端上进行配置,以便要求用户输入 OTP。radius 服务器是带有 Azure MFA 扩展的 NPS。OTP 会根据 Azure 进行检查。 它运行良好,但我宁愿不将用户凭据发送到 NPS,这样只检查 OTP。此外,在输入密码之前先要求用户输入 OTP 也不错。 我在其他地方读到过(https://learn.microsoft.com/en-us/answers/questions/20921/mfa-nps-error.html) 如果我们在 NPS 上选择“接受用户而不验证凭据”(除了 pam_rad...
nps
外部公司的 NPS 政策?
NPS 是否可以在以下场景中使用: 我们 (FIRM-A) 与另一家公司 (FIRM-B) 共享一些办公空间。我们希望他们的笔记本电脑能够连接到我们的“仅互联网” SSID。这些笔记本电脑已经在自己的网络上拥有用于 NPS 的有效计算机证书。我们的 NPS 服务器需要接受来自有效 FIRM-B 计算机证书的任何请求。我们的 NPS 服务器拥有 FIRM-B CA 公共证书。NPS 支持此功能吗? ...
nps
保护 Windows Server NPS/SSTP
查看我们的 NPS 日志,我发现我们受到了重创;一些在线参与者正在对各种登录名和密码进行暴力破解。 总体来说,这还不算什么问题……目前看来,似乎没有发生违规行为(尤其是因为这不是一次登录尝试多次,而是随机登录名)。 然而,我发现了一些关键问题,但目前我还不确定如何解决。 托管 NPS 的服务器负责针对我们的 DC 进行身份验证,它包含(有些老式的)日志。不幸的是,我发现这些尝试的源 IP 是我们的防火墙,而不是任何在线源,我有点怀疑我们的防火墙是否已被破解。由于我们正在处理 SSTP 协议,我必须设置 DNAT 规则;据我了解,此规则应该传递源 IP,但查...
nps
Windows NPS 拒绝所有网络策略或忽略正确的凭据
我有一台已加入 AD 的 Windows Server 2019 Standard,其中安装了 NPS 并且连接了 AD。 当我尝试 RADIUS 身份验证时,它总是失败,到目前为止无法修复。RADIUS 客户端以及连接请求策略(仅 NAS 名称作为条件)都已配置。两者都有效。 还有一个具有以下设置的网络策略: 状况: 用户组:DOMAIN\VPN-Group NAS IPv4 地址:172.31.1.1 设置: 认证方法:PAP、SPAP 忽略用户选择(在 AD 中为用户设置的连接策略 - 无法找到其英文名称)(必须设置,否则 NPS 总是告诉用户已...
nps
通过打开连接检查 MS-PEAP 证书(使用 Powershell 或任何其他环境)
我们在 Windows Server 2016 上运行 NPS 服务器,该服务器充当我们 wifi 网络的 Radius 服务器。几天前,所有客户端都断开了连接,因为用于 MS-PEAP 协议的证书的有效期已结束。 现在我们想添加一个自动检查,在证书下次到期之前发出警告。它应该作为普通客户端连接到服务器并检查证书是否在接下来的 3 周内仍然有效。 有没有使用 powershell 的解决方案?或者任何其他编程语言? 我已经找到了一个可以替换证书的脚本,服务器用于 MS-PEAP-Connections (https://www.powershellgalle...