web-dev-qa-db-ja.com

Windows EAP / RADIUS接続の問題のトラブルシューティング

だから、私は質問の短いバージョンは次のとおりだと思います:

「新しい」NPSサーバーと新しいCAをセットアップした後、クライアントをエンタープライズWPAワイヤレスネットワークに接続させることができません。 NPS/CAサーバーからクライアントに新しい証明書を手動で要求し、ワイヤレスネットワークに接続しようとした後、約1分間「認証を試みています」/「ネットワークの準備ができているのを待っています」接続できないと言っています。

NPS/CAサーバーのログにIAS4142の「理由コード」23が表示されます。これは さまざまなエラーコードの意味に関するテクニカルドキュメント にはありません。 >:/何が起こっているのか、そして誰もそれを修正する方法を知っていますか?またはこれのトラブルシューティングをどこから始めますか? (Googleはかなり役に立たなかった...同じ問題を抱えている人が何人か見つかったが、解決策はなかった。)


長いバージョンには、誰かが私を助けるのに役立つ情報が含まれているはずです。

数週間前、ホームオフィス(2k3 R2)の2つの "メイン" DCからFSMOの役割を強制的に強制するイベントがありました。その結果、彼らはオフラインになり、戻ってきません。もちろん、これを行って差し迫った危機を解決した後、ワイヤレスアクセスが機能しなくなったという報告を受けていました。これは理にかなっていて、戻って切断された以前のDCを見ると、1つが私たちの唯一のIASサーバーであり、もう1つが環境内の唯一のCAであることがわかりました。もちろん、クライアントマシンアカウントに発行された証明書と、認証に必要なドメイン資格情報を備えたWPA-エンタープライズワイヤレス暗号化を使用します(ユーザーがログオン資格情報を使用して、ユーザーの介入なしに自動的に認証することを許可します)。したがって、問題はRADIUS要求を処理するために利用可能なサーバーが存在せず、発行CAがいずれにせよなくなっていたことです。

当時は良さそうだった解決策は、新しいサーバーを立ち上げることでしたが、機器の制限により、CAとNPSの役割をそれに課しました。私もそれをDCにしたかったのですが、他の制限の結果としてできませんでした。私が知っているすべてのことを読んで、これで問題ないことを示しました。私はまた、この方法で正しくセットアップでき、以前のセットアップのすべての苛立ちがないというコミカルな仮定も持っていました。そして、数百のクライアントと数十のポリシーを手動で再入力したくないので、NPSサーバーを移行する方法について このTechnetの記事 に従いました(そして 誤ったIASの修正) NPS EAPパラメーター ほとんどの場合、そのセクションの0,16,515の代わりに、0,15,521 ...があったので、指示どおりに「0」を修正して先に進みました。)

私はいくつかのCA暗号設定(SHA-1からSHA-512への変更、最近ではSHA-1が安全でないため、ルート証明書を遅延の少ない方法で名前を付けたなど)を変更し、ADにNPSを登録しました。行ってもいい。次に、 XPはAAAにSHA-2証明書を使用できない (&%#^ !!!)という問題に遭遇しました。これは、クライアントがまだXPを使用している場合に問題となります。その修正プログラム(XP SP4 ...:/にアップデートが含まれることを言及している)を適用しましたが、それでも喜びはありません。エラーコードが見つかりました。承認する(特に後でセキュリティイベントログのエラーに気付いたため、****のIASログを解読するのに時間を無駄にした)ため、Googleに助けを求めたところ、ほぼ完全に空になりました。他の人が報告した同じ問題ですが、誰が何が悪いのか、またはそれを修正する方法を知っているようには見えません。

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

そして、実際には、ログを調べてそのエラーを取得しているときに、その直前(同じタイムスタンプですが、EventLogのもう一方の直前)に気づきました...意味がわからない...私のルート証明書悪い?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

CAとNPSサーバーを再インストールし、それをすべて手作業で構成するなど、思い切って何かをする前に、または弾薬を購入してRemdondに向かってドライブする[/ cry]のは、それほど苦痛を伴わない対策についてアイデアを持っている人はいますか私の問題を解決するのに役立つでしょうか?

5
HopelessN00b

署名ルートCAを置き換える場合は、新しい信頼されたルートと新しいクライアント証明書の両方をインポートしていることを確認する必要があります。

2
MDMarra

サーバーがhelloパッケージをクライアントに送信するため、新しいサーバー証明書が個人証明書にインポートされていることを確認してください。存在しない場合、サーバーはEAP-TLSハンドシェイクを初期化できず、EAPプロトコルでエラーが発生します。

0
luke_zhang

MDmarraから提供された、簡潔で一般的に適用可能な答えを混乱させたくありませんが、CA/NPSサーバーも独自のマシン証明書を生成した後、プロンプトなしの再起動が必要であることがわかりました。

それが一般的なケースに当てはまるのか、それともサーバーが両方の役割を果たしているのか、または私たちの環境が非常に影響を受けているのかはわかりませんが、言及する価値があるようです。サービスの再起動では不十分でしたが、ボックスの再起動ですべてが解決されたようです。 Windows管理者101または何か。 「最初は成功しない場合は、再起動してもう一度試してください。」

0
HopelessN00b