web-dev-qa-db-fra.com

Dépannage des problèmes de connectivité de Windows EAP / rayon

Donc, je suppose que la version courte de la question est la suivante:

Je ne parviens pas à obtenir des clients de se connecter à un réseau sans fil Enterprise-WPA après la configuration d'un "nouveau" serveur NPS et d'une nouvelle ca. Après avoir demandé manuellement un nouveau certificat sur mon client à partir du serveur NPS/CA et essayez de vous connecter au réseau sans fil, ils sont assis à "tenter d'authentifier"/"en attente de réseau être prêt" pendant environ une minute avant d'abandonner et de disant qu'ils ne peuvent pas se connecter.

Les journaux sur mon serveur NPS/CA donnent un IAS4142 "Code de motif" de 23 ... qui est absent de la Documentation TechNet sur les variantes des différents codes d'erreur . >:/Que se passe-t-il, et quelqu'un sait-il comment le réparer? Ou où commencer le dépannage de cela? (Google a été assez inutile ... a trouvé quelques personnes ayant le même problème, mais aucune solution.)


La version plus longue, qui espère contenir des informations pouvant aider quelqu'un à m'aider est:

Quelques semaines de retour, nous avons eu un événement impliquant de saisir avec force les rôles de la FSMO de nos deux "principaux" DCS au bureau de la maison (2K3 R2). En conséquence, ils sont hors ligne et ne reviennent pas. Bien sûr, après cela et résolvant la crise immédiate, nous avons des rapports que l'accès sans fil ne fonctionnait plus. Ce qui a eu du sens, lorsque nous sommes retournés et avons examiné les anciens DC déconnectés et avons constaté que l'un était notre seul serveur IAS, et l'autre était la seule CA dans notre environnement. Bien sûr, nous utilisons le cryptage WAND sans fil WPA-Enterprise avec des certificats délivrés aux comptes clients clients et les informations d'identification de domaine requises pour s'authentifier (la manière paresseuse, permettant aux clients d'utiliser leurs informations d'identification de connexion pour autoriser automatiquement sans interaction utilisateur). Donc, le problème était qu'il n'ya pas eu RADIUS serveur disponible pour le service des demandes et que la CA émettrice était partie de toute façon.

La solution, qui semblait une bonne chose à l'époque, était de défendre un nouveau serveur, et en raison des limitations de l'équipement, de mettre les rôles de CA et de NPS à ce sujet. J'aurais aimé aussi en faire un DC, mais n'était pas en mesure d'être à la suite d'autres limitations. Tout ce que je sais et lu, a indiqué que ce serait bien. J'ai également eu l'hypothèse comique que je pourrais la mettre en place de cette façon et ne pas avoir toutes les irritations de la configuration précédente. Et, sans vouloir rentrer manuellement à plusieurs centaines de clients et à quelques dizaines de politiques, j'ai suivi cet article de TechNet sur la migration des serveurs NPS (et le correctif pour les IAS incorrects à NPS EAP paramètre

J'ai changé quelques paramètres Ca Crypto (SHA-1 à SHA-512, à comptetation de SHA-1 étant peu sécurisé de nos jours, nommé le certificat de racine de manière moins retardé, etc.), NPS enregistrés en annonce et pensé que j'étais bon d'aller. Ensuite, j'ai couru dans la question que XP ne peut pas utiliser SHA-2 CERTS pour AAA (&% # ^ !!!), qui est problématique lorsque nos clients sont toujours sur XP. Appliqué ce correctif (qui mentionne que la mise à jour sera incluse dans XP sp4 ...: /), et toujours pas de joie. Trouvé le code d'erreur avec un peu plus de travail que je voudrais Pour admettre (surtout quand j'ai remarqué plus tard l'erreur dans les journaux d'événement de sécurité, j'ai donc perdu mon temps à déchiffrer les journaux d'IAS **** ING) et est allé à Google pour obtenir de l'aide et est arrivé presque complètement vide. D'autres personnes ont signalé. Le même problème, mais personne ne semble savoir ce qui ne va pas, ou comment le réparer. EventLog Texte:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

Et, en fait, comme je traversais les journaux pour saisir cette erreur, j'ai remarqué celui-ci juste avant (même horodatage, mais juste avant l'autre dans l'événement) ... Je ne sais pas ce que cela signifie ... Mon racine cert est mauvais?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

Avant de faire quelque chose de drastique, [Cry] J'aime réinstaller notre serveur CA et NPS, puis la configurez-la à la main ... ou à l'achat d'une bouquet de munitions et à la conduite vers Remdond [/ pleur] Quelqu'un a-t-il des idées sur des mesures moins douloureuses qui pourrait aider à résoudre mon problème?

5
HopelessN00b

Je ne veux pas confondre la réponse concise et généralement applicable donnée par Mdmarra, mais il s'avère que le serveur CA/NPS nécessitait également un redémarrage non déprécié après avoir généré son propre certificat de machine.

Je ne sais pas si c'est vrai dans le cas général ou simplement parce que le serveur fait les deux rôles, ou parce que notre environnement est tellement effilé, mais cela semble être mentionné. Le redémarrage des services était insuffisant, mais le redémarrage de la boîte semble avoir tout résolu. Windows admin 101, ou quelque chose. "Si au début, vous ne réussissez pas, redémarrez et réessayez."

0
HopelessN00b