5 votos

Solución de problemas de Windows EAP/RADIO de problemas de conectividad

Así, supongo que la versión corta de la pregunta es:

Yo soy incapaz de conseguir que los clientes se conecten a una empresa-WPA de la red inalámbrica después de la creación de un "nuevo" servidor NPS y un nuevo CA. Después de que me manualmente solicitar una nueva cert en mi cliente de los PN/servidor de CA y tratando de conectarse a la red inalámbrica, se sientan en "Intentar autenticar"/"a la Espera de la red para estar listo" por alrededor de un minuto antes de dar y a decir que no se puede conectar.

Los registros en mi NPS/servidor de CA de dar una IAS4142 "el Código de la Razón", de 23 de... que está ausente de la documentación de technet sobre lo que los diferentes códigos de error de la media. > : / ¿Qué está pasando, ¿alguien sabe cómo solucionarlo? O donde para comenzar a solucionar esto? (Google, ha sido muy ineficiente... se encontró a un par de personas con el mismo problema, pero no hay soluciones.)


La versión larga, que esperemos que contiene información que puede ayudar a que alguien me ayude es:

Un par de semanas, tuvimos un evento con fuerza asumir funciones FSMO de nuestros dos "grandes" DCs en la oficina de casa (2k3 R2). Como resultado, están offline, y no volver. Por supuesto, después de hacer esto, y la resolución de la crisis inmediata, nos recibieron informes de que el acceso inalámbrico no funciona más. Lo cual tenía sentido, cuando nos fuimos de vuelta y miró a los desconectado ex países en desarrollo, y encontró que uno era nuestro único servidor IAS, y el otro era la única CA en nuestro entorno. Por supuesto, podemos usar WPA-enterprise encriptación inalámbrica con los certificados emitidos a la máquina del cliente, de cuentas, de dominio y de credenciales de autenticación (el camino del perezoso, permitiendo a los clientes utilizar sus credenciales de inicio de sesión de autenticación automáticamente sin intervención del usuario). Así que el problema era que no había ningún servidor RADIUS disponibles para atender las solicitudes, y la entidad emisora se había ido de todos modos.

La solución, la cual parecía una buena en el momento, fue a ponerse de pie a un nuevo servidor, y debido a las limitaciones del equipo, poner la CA de NPS y funciones en él. Me hubiera gustado hacer también un DC, pero no fue posible como resultado de las limitaciones de otros. Todo lo que yo sé, y leer, indicó este estaría bien. También tuve la cómica suposición de que yo sería capaz de configurarlo bien y no tiene todas las irritaciones de la configuración anterior. Y, no queriendo que vuelva a introducir manualmente un par de cientos de clientes y un par de docenas de políticas, he seguido este artículo de technet sobre cómo migrar los servidores NPS (y la revisión por la incorrecta IAS a NPS EAP parámetro. En su mayoría. En lugar de 0,16,515 en esa sección, me había 0,15,521... así que he corregido el '0' como se indica y se fue.)

He cambiado un par de CA configuración de criptografía (SHA-1 SHA-512, en la cuenta de SHA-1 ser inseguro en estos días, el nombre de root cert en un menor retraso manera, etc.), registrado NPS en el año, y pensé que era bueno para ir. Entonces me encontré con el problema de que XP no se puede usar SHA-2 certs para AAA (&%#^!!!), lo que es problemático cuando nuestros clientes están aún en XP. Aplicar la revisión (que menciona que la actualización se incluirá en XP SP4... :/ ), y todavía no hay alegría. Encuentra el código de error con un poco más de trabajo de lo que me gustaría admitir (sobre todo cuando más tarde me di cuenta de el error en los Registros de Eventos de Seguridad, por lo que he desperdiciado mi tiempo descifrar el****ing IAS registros), y fui a Google en busca de ayuda, y llegó hasta casi completamente vacío. Otras personas han reportado el mismo problema, pero nadie parece saber lo que está mal, o cómo solucionarlo. EventLog texto:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

Y, en realidad, a medida que me iba a través de los registros para agarrar ese error, me di cuenta de esto justo antes de la (misma marca de tiempo, pero justo antes de que el otro en el EventLog)... no se lo que significa... a mi el root cert es malo?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

Antes de hacer algo drástico, [grito] al igual que la reinstalación de nuestra CA y servidor NPS, a continuación, configurar todo a mano... o comprar un montón de munición y conducir hacia Remdond [/grito] ¿alguien tiene alguna idea en menos dolorosas medidas que podrían ayudar a resolver mi problema?

2voto

MDMarra Puntos 81543

Si estás en sustitución de la firma de la CA root, usted necesita para asegurarse de que usted está importando tanto la nueva root de confianza y el nuevo certificado de cliente.

0voto

luke_zhang Puntos 1

Por favor, asegúrese de que el servidor nuevo certificado se ha importado el certificado personal debido a que el servidor de envío de paquete hello cliente. si no hay ninguno, el servidor no puede inicializar el EAP-TLS handshake con el error que ocurren en el protocolo EAP.

0voto

HopelessN00b Puntos 38607

No quiero líos hasta el conciso, generalmente aplicables respuesta dada por MDmarra, pero resulta que el CA/servidor NPS también se requiere un espontáneamente reiniciar después de la generación de su propio certificado de equipo.

No estoy seguro si eso es cierto en el caso general, o simplemente porque el servidor es hacer dos papeles, o debido a que nuestro medio ambiente es tan effed, pero parece que vale la pena mencionar. Reiniciar los servicios era insuficiente, pero al reiniciar el cuadro parece haber resuelto todo. Windows admin 101, o algo así. "Si al principio no tienes éxito, reinicie y vuelva a intentarlo."

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: