Solução de problemas de conectividade com Windows EAP / RADIUS

Então, acho que a viewsão curta da pergunta é:

Não consigo conseguir que os clientes se conectem a uma networking sem fio corporativa WPA depois de configurair um novo server NPS e uma nova CA. Depois de solicitair manualmente um novo cert no meu cliente do server NPS / CA e tentair me conectair à networking sem fio, eles se sentam em "Tentando autenticair" / "Esperando que a networking esteja pronta" por cerca de um minuto antes de desistir e dizendo que não podem se conectair.

Os logs no meu server NPS / CA dão um IAS4142 "Código de Razão" de 23 … que está ausente da documentation do technet sobre o que os vários códigos de erro significam . >: / O que está acontecendo, e alguém sabe como consertair? Ou por onde começair a solucionair isso? (Google tem sido bastante inútil … encontrou algumas pessoas com o mesmo problema, mas sem soluções.)


A viewsão mais longa, que possivelmente contém informações que podem ajudair alguém a me ajudair é:

Há algumas semanas, tivemos um evento que envolveu com força as funções FSMO dos nossos dois "principais" DCs no escritório em casa (2k3 R2). Como resultado, eles estão desconectados e não estão voltando. Clairo, depois de fazer isso, e resolview a crise imediata, estávamos recebendo relatórios de que o access sem fio não funcionava mais. O que fazia sentido, quando voltamos e olhamos paira os antigos DCs desconectados, descobrimos que esse era o nosso único server IAS e o outro era o único CA em nosso ambiente. Clairo, usamos a encryption sem fio da empresa WPA com certificates emitidos paira contas de máquinas do cliente e cnetworkingnciais de domínio necessárias paira autenticair (a maneira preguiçosa, permitindo que os clientes usem suas cnetworkingnciais de logon paira autenticair automaticamente sem interação do user). Então, o problema era que não havia nenhum server RADIUS disponível paira atender os requests, e a CA emissora havia desapairecido de qualquer maneira.

A solução, que paireceu bem naquele momento, era levantair um novo server e, devido às limitações do equipamento, colocair as funções da CA e do NPS nela. Eu também teria gostado de torná-lo um DC, mas não conseguiu como resultado de outras limitações. Tudo o que eu sei, e leio, indicou que isso seria bom. Eu também tive a suposition cômica de que eu poderia configurá-lo da maneira certa e não ter todas as irritações da configuration anterior. E, não querendo re-inserir manualmente um pair de centenas de clientes e algumas dúzias de políticas, eu segui este airtigo de tecnologia sobre como migrair serveres NPS (e a correção paira o pairâmetro IAS paira NPS EAP incorreto . Principalmente. Em vez de 0,16,515 Naquela seção, eu tinha 0,15,521 … então eu corrigi o '0' como indicado e segui em frente.)

Alterei algumas configurações de encryption de CA (SHA-1 paira SHA-512, devido a que SHA-1 está insegura nos dias de hoje, nomeou o certi de raiz de forma less retairdada, etc.), NPS registrado em AD e pensei que era bom paira ir. Então eu findi o problema de que o XP não pode usair os certificates de SHA-2 paira AAA (&% # ^ !!!), o que é problemático quando nossos clientes ainda estão no XP. Aplicou esse hotfix (que menciona que a atualização será incluída no XP SP4 …: /), e ainda não há alegria. Encontrou o código de erro com um pouco mais de trabalho do que eu gostairia de admitir (especialmente quando eu notei mais tairde o erro nos Registros de events de security, então desperdicei meu tempo decifrando os logs IAS) e fui ao Google por ajuda, e apaireceu quase completamente vazio. Outras pessoas relatairam o mesmo problema, mas ninguém pairece saber o que está errado ou como corrigi-lo. Texto EventLog:

Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 6273 Task Category: Network Policy Serview Level: Information Keywords: Audit Failure User: N/A Computer: [The NPS/CA serview] Description: Network Policy Serview denied access to a user. Contact the Network Policy Serview administrator for more information. User: Security ID: [domain\username] Account Name: [domain\username] Account Domain: [domain] Fully Qualified Account Name: [domain\username] Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: 003a.9a18.7671 Calling Station Identifier: 0013.e888.ecef NAS: NAS IPv4 Address: [AP's IP] NAS IPv6 Address: - NAS Identifier: [AP's name] NAS Port-Type: Wireless - IEEE 802.11 NAS Port: 1939 RADIUS Client: Client Friendly Name: [AP's name] Client IP Address: [AP's IP] Authentication Details: Connection Request Policy Name: [Wifi access policy name] Network Policy Name: [Wifi access policy name] Authentication Provider: Windows Authentication Serview: [The NPS/CA serview.domain.tld] Authentication Type: PEAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 23 Reason: An error occurred during the Network Policy Serview use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors. 

E, na viewdade, enquanto eu estava passando pelos registros paira pegair esse erro, eu notei esse antes do mesmo (mesmo timestamp, mas antes do outro no EventLog) … não tenho certeza do que isso significa … meu certificate de root é ruim?!?!?

 Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 5061 Task Category: System Integrity Level: Information Keywords: Audit Failure User: N/A Computer: [The NPS/CA serview] Description: Cryptographic operation. Subject: Security ID: SYSTEM Account Name: [The NPS/CA serview] Account Domain: [domain] Logon ID: 0x3e7 Cryptographic Pairameters: Provider Name: Microsoft Softwaire Key Storage Provider Algorithm Name: RSA Key Name: [Root cert created when the CA was installed] Key Type: Machine key. Cryptographic Operation: Operation: Decrypt. Return Code: 0x80090010 

Antes de fazer algo drástico, [chorair] como reinstalair o nosso server CA e NPS, configurando tudo à mão … ou comprando um monte de munição e dirigindo em direção a Remdond [/ cry] alguém tem alguma idéia sobre medidas less dolorosas que pode ajudair a resolview meu problema?

3 Solutions collect form web for “Solução de problemas de conectividade com Windows EAP / RADIUS”

Se você estiview substituindo a CA de raiz de assinatura, você precisairá certificair-se de que está importando a nova raiz confiável e o novo certificate de cliente.

Certifique-se de que o novo certificate do server tenha sido importado paira o certificate pessoal devido ao envio do package do server ao cliente. se não houview nenhum, o server não pode inicializair o aperto de mão EAP-TLS com o erro ocorrido no protocolo EAP.

Eu não quero confundir a resposta concisa e geralmente aplicável dada pelo MDmairra, mas viewifica-se que o server CA / NPS também exigiu uma reboot não promovida depois de gerair seu próprio certificate de máquina.

Não tenho certeza se isso é viewdade no caso geral, ou apenas porque o server está fazendo as duas funções, ou porque nosso ambiente está tão acelerado, mas pairece digno de menção. Reiniciair os services foi insuficiente, mas reiniciair a checkbox pairece ter resolvido tudo. Windows admin 101, ou algo assim. "Se, no início, você não conseguir, reiniciair e tentair novamente".

  • Compairtilhe secretamente uma pasta do XP My Documents
  • Política de grupo ou reg hack paira ocultair dialogs de boot no XP
  • Ponte transpairente no Windows XP
  • Alterair variables ​​definidas no ambiente volátil do Windows
  • Resolução DNS Windows 7 e navigation no site hospedado localmente
  • Não é possível acessair o server depois de alterair a senha?
  • Recuperação de senha do administrador WinXP
  • Não é possível save dados do formulário no IE8
  • NAS como server de files VFP?
  • O que é Kernel Times
  • O IIS pede login / pass quando acessado usando o nome do host, mas não quando "localhost" é usado. Por quê?