none
windows server 2012 R2 NPS问题

    问题

  • 客户现在需要针对无线做802.1x认证,认证源是域内计算机名字。报错信息如下,请问下怎么排查,谢谢。

    身份验证详细信息:
    连接请求策略名称: 安全无线连接
    网络策略名称: 无线安全
    身份验证提供程序: Windows
    身份验证服务器: radius01.test.com.cn
    身份验证类型: EAP
    EAP 类型: -
    帐户会话标识符: 35383964613239392F62383A38363A38373A34353A38353A30372F313332343833
    日志记录结果: 将记帐信息写入本地日志文件。
    原因代码: 22
    原因: 客户端不能身份验证,因为可扩展的身份验证协议(EAP)不能被服务器处理。

    2017年2月14日 7:27

全部回复

  • 您好 Huanghualei,

    根据您的描述,问题可能是由于客户端的证书无效造成的。

    您可以通过MMC去打开证书管理,然后找到受信任的根证书区域,检查CA的证书是否存在该区域。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年2月15日 8:50
  • 谢谢您。是否有可能是推送策略不成功导致,用户是通过计算机名称去认证的。另外还需要问您一个问题,另外手机用户是通过web去认证的,无线控制器是思科的,认证服务器还是nps,通过nps事件日志发现,手机认证的时候使用的认证方式是chapv2,导致认证不通过,可是nps上没有配置任何chap方式。
    2017年2月16日 1:45
  • 您好,

    1.如果您配置了EAP验证wifi的链接的话,EAP只有三种验证方式:a.PEAP-MS-CHAP v2 b.EAP-TLS c.PEAP-TLS.

    2.EAP认证是支持MS-chapv2的,所有手机认证使用认证方式为chapv2是可能的,您可以设置EAP需要使用的认证方式。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年2月16日 9:37
  • 您好,

    请问您当前的问题是否已经被解决。

    如果您需要进一步的帮助,您可以把相关信息贴出来以便于我更好的为您支持。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月2日 9:39
  • 您好,问题出在其他设备上,通过抓包分析,协议已经是pap模式,但是输入用户名和密码后,提示验证失败。windows server 2012搭建NPS,有特殊配置嘛.

    2017年3月3日 6:01
  • 您好 Huanghualei,

    比如什么样的特殊配置呢?

    您可以把您的详细需求贴出来以便我更好的帮助您。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月3日 6:33
  • 现在是这样的,客户需要通过wlc和nps为无线客户端提供安全的无线网络服务。关于认证部分,有两点需求。

    1.加域的电脑,能通过点击ssid自动连接,不需要输入用户名密码。

    2.针对手机用户,调用域用户做web认证。

    windows server 2012上面安装了AD和证书服务器,同时在这台server上面搭建了NPS服务器。现在第一点需求已经满足,但是针对第二个需求,一直提示用户名和密码错误。

    怀疑是NPS没有正确获取AD里面的用户。mobile这个网络策略组,条件里面选的是用户组。

    

    2017年3月3日 7:35
  • 您好 Huanghualei,

    >>怀疑是NPS没有正确获取AD里面的用户。mobile这个网络策略组,条件里面选的是用户组。

    对于这点,您可以在AD里面查看是否有相关的错误信息存在,您所使用的用户组是AD里面的用户吗?

    您可以去试着抓包,看RADIUS数据包发往哪个DC去验证。

    您也可以发出您的Condition里面配置的条件出来以便于进一步的排错。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月3日 7:42
  • 您好,通过查看nps日志,报错原因如下:连接策略与网络策略不匹配。
    2017年3月3日 8:05
  • 报错原因如下:连接请求与配置的网络策略不匹配
    2017年3月3日 8:09
  • 您好,

    在连接策略不匹配的情况下,NPS将不会去匹配网络策略。

    我建议您可以检查您的连接策略的设置,能否请您把该连接策略的条件贴出来以便于更好的排错?

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月6日 1:57
  • 您好,无法截图上传。
    2017年3月7日 8:48
  • 您好,

    您可以试着把EAP这个验证方式取消换成MS-CAHPV2或者其他的一些验证方式,以此来查看是否是证书原因导致客户端连接错误出现这个信息。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月8日 2:00