登录

Microsoft.com

Microsoft

Remove From My Forums

windows server 2012 R2 NPS问题

问题

0

登录进行投票

客户现在需要针对无线做802.1x认证，认证源是域内计算机名字。报错信息如下，请问下怎么排查，谢谢。

身份验证详细信息:
连接请求策略名称: 安全无线连接
网络策略名称: 无线安全
身份验证提供程序: Windows
身份验证服务器: radius01.test.com.cn
身份验证类型: EAP
EAP 类型: -
帐户会话标识符: 35383964613239392F62383A38363A38373A34353A38353A30372F313332343833
日志记录结果: 将记帐信息写入本地日志文件。
原因代码: 22
原因: 客户端不能身份验证，因为可扩展的身份验证协议(EAP)不能被服务器处理。

2017年2月14日 7:27

回复

|

引用

全部回复

0

登录进行投票

您好 Huanghualei,

根据您的描述，问题可能是由于客户端的证书无效造成的。

您可以通过MMC去打开证书管理，然后找到受信任的根证书区域，检查CA的证书是否存在该区域。

诚挚敬意

John
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年2月15日 8:50

回复

|

引用

0

登录进行投票

谢谢您。是否有可能是推送策略不成功导致，用户是通过计算机名称去认证的。另外还需要问您一个问题，另外手机用户是通过web去认证的，无线控制器是思科的，认证服务器还是nps,通过nps事件日志发现，手机认证的时候使用的认证方式是chapv2，导致认证不通过，可是nps上没有配置任何chap方式。

2017年2月16日 1:45

回复

|

引用

0

登录进行投票

您好，

1.如果您配置了EAP验证wifi的链接的话，EAP只有三种验证方式：a.PEAP-MS-CHAP v2 b.EAP-TLS c.PEAP-TLS.

2.EAP认证是支持MS-chapv2的，所有手机认证使用认证方式为chapv2是可能的，您可以设置EAP需要使用的认证方式。

诚挚敬意

John
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年2月16日 9:37

回复

|

引用

0

登录进行投票

您好，

请问您当前的问题是否已经被解决。

如果您需要进一步的帮助，您可以把相关信息贴出来以便于我更好的为您支持。

诚挚敬意

John
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年3月2日 9:39

回复

|

引用

0

登录进行投票

您好，问题出在其他设备上，通过抓包分析，协议已经是pap模式，但是输入用户名和密码后，提示验证失败。windows server 2012搭建NPS，有特殊配置嘛.

2017年3月3日 6:01

回复

|

引用

0

登录进行投票

您好 Huanghualei,

比如什么样的特殊配置呢？

您可以把您的详细需求贴出来以便我更好的帮助您。

诚挚敬意

John
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年3月3日 6:33

回复

|

引用

0

登录进行投票

现在是这样的，客户需要通过wlc和nps为无线客户端提供安全的无线网络服务。关于认证部分，有两点需求。

1.加域的电脑，能通过点击ssid自动连接，不需要输入用户名密码。

2.针对手机用户，调用域用户做web认证。

windows server 2012上面安装了AD和证书服务器，同时在这台server上面搭建了NPS服务器。现在第一点需求已经满足，但是针对第二个需求，一直提示用户名和密码错误。

怀疑是NPS没有正确获取AD里面的用户。mobile这个网络策略组，条件里面选的是用户组。

2017年3月3日 7:35

回复

|

引用

0

登录进行投票

您好 Huanghualei,

>>怀疑是NPS没有正确获取AD里面的用户。mobile这个网络策略组，条件里面选的是用户组。

对于这点，您可以在AD里面查看是否有相关的错误信息存在，您所使用的用户组是AD里面的用户吗？

您可以去试着抓包，看RADIUS数据包发往哪个DC去验证。

您也可以发出您的Condition里面配置的条件出来以便于进一步的排错。

诚挚敬意

John
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年3月3日 7:42

回复

|

引用

0

登录进行投票

您好，通过查看nps日志，报错原因如下：连接策略与网络策略不匹配。

2017年3月3日 8:05

回复

|

引用

0

登录进行投票

报错原因如下：连接请求与配置的网络策略不匹配

2017年3月3日 8:09

回复

|

引用

0

登录进行投票

您好，

在连接策略不匹配的情况下，NPS将不会去匹配网络策略。

我建议您可以检查您的连接策略的设置，能否请您把该连接策略的条件贴出来以便于更好的排错？

诚挚敬意

John
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年3月6日 1:57

回复

|

引用

0

登录进行投票

您好，无法截图上传。

2017年3月7日 8:48

回复

|

引用

0

登录进行投票

您好，

您可以试着把EAP这个验证方式取消换成MS-CAHPV2或者其他的一些验证方式，以此来查看是否是证书原因导致客户端连接错误出现这个信息。

诚挚敬意

John
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年3月8日 2:00

回复

|

引用