我使用以下设置创build了一个新的NPSnetworking策略:
概观
– 策略已启用
– 授予访问权限
– types:远程访问服务器(VPN拨号)
条件
– 机器组:域计算机
约束
– 身份validation:EAP-MSCHAPv2,用户可以更改密码
– NAS端口types:VPN
身份validation在本地处理,不传递给RADIUS。
当我尝试连接到VPN时,我的连接与策略不匹配。 我试过使用“机器组”和“Windows组”条件。 我已经尝试了各种其他的authentication方法。 在我看来,有一些额外的步骤,我失踪,但无法find任何有关使用机器组条件的文件。
这是微软在这个话题上最有帮助的无用的文章 ,它只是说:“如果NAP强制方法是802.1X或VPN强制执行,安全组的成员可以是用户或计算机。 在“设置”下,我选中了“NAP执行”,没有select不同的执行方法的选项。 我们没有制定健康政策,目前也没有使用NAP。
我必须错过一些东西,但我不知道是什么。 我曾经考虑过build立一个CA并进行证书authentication,但是我认为这不应该仅仅依靠计算机安全组成员进行过滤。
:编辑:
所以我在二十六号给了这个更广泛的故障排除,当时我还有几个小时的时间去专注,但是我一直很忙,我一直无法更新这个问题。 我启用了审计工作,并结合微软提供的这篇说明文章 ,详细介绍了非常有用的NPS日志。
使用服务器types的“VPN”我得到原因码48,“IAS_NO_POLICY_MATCH”。 我发现复制我们的无线策略(只使用机器组filter和工作)后,我发现服务器types必须设置为“未指定”。
然后,我看到原因码66转换为“IAS_INVALID_AUTH_TYPE”,并发现我在客户端和服务器(doh)之间的身份validation设置不匹配。 (这很可能是因为我放弃了使用MS-CHAPv2的常规VPN策略的副本进行testing,并且复制了使用PEAP的无线策略,并且没有相应更新客户端。)
我看到原因码65转换为“IAS_DIALIN_DISABLED”。 这是奇怪的地方。
一个。 如果我为用户组成员(使用用户组条件或Windows组条件)添加第二个“AND”条件,则无法获得相同的错误代码。 (对于“域计算机”使用单个Windows组条件,或者“VPN用户”允许来自任何计算机的VPN用户,而不是来自域计算机的任何用户。)
湾 如果我将策略设置为“忽略用户帐户拨入属性”,则无法获得相同的错误代码。
C。 如果我转到ADUC中的用户AD对象属性并将拨入属性从“通过NPSnetworking策略控制访问”更改为“允许访问”一切正常。
在这一点上,我确信NPS中存在某种错误或devise缺陷,使其不能正常工作。 到目前为止,我还没有find任何MS的修复程序或更新下载的KB,但其他人似乎有这个工作的事实告诉我,我们的环境中有什么东西坏了。 如果有人有什么想法,请让我知道!
我build议将“networking访问服务器types”更改为“未指定”。 然后添加条件“NAS端口types:VPN”
我正在使用条件“Windows组”成功的机器帐户。