服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 迁移的NPS不会为RADIUS客户端提供服务
Intereting Posts
启动Postgres服务器 更新SSL证书时是否需要包含`.local`地址? 为什么MediaWiki类别中的redirect有时仅以斜体显示? 俘虏门户网站与没有DNS的辣椒 如何继续build立一个辅助MySQL的Linux奴隶? 如何监视服务器资源? 你如何备份你的网站? VPS到笔记本电脑的SSH隧道 禁用viewgit下载选项 问题与后缀包 networking设备注册服务灰显 如何通过Comcast路由器路由公共C类networking? postfix在服务器popup电子邮件发送到相同的域名电子邮件,外部域名工作 服务器加载峰值文件复制 – 服务器无响应 Windows 2003域控制器非常不满网卡组合

迁移的NPS不会为RADIUS客户端提供服务

我最近将NPS从运行Windows Server 2012 Standard的主机迁移到另一台主机,使用TechNet指令迁移不同的主机名。

尽pipe我所有的RADIUS客户端都能够(而且仍然)能够对旧服务器进行身份validation,但是一个客户端(一个Apple Time Capsule)却无法与新客户端进行身份validation(我testing了其他三个客户端,新的服务器)。

我对Triple Capsule和NPS之间的共享秘密进行了三重检查(并且改变了它几次,以防万一,复制粘贴相同的秘密),并基于一篇文章,我也切换了NPS证书(我搞砸了我的CA,并不得不创build一个新的)。 新的CA证书已安装,并且应该在尝试进行身份validation的设备上受信任。

旧服务器上的事件日志显示成功login的Windows安全审核事件,这显然不会显示在新的服务器上(对于Time Capsule) – 事实上,当尝试对新服务器进行身份validation时,是NPS事件4400s告诉我有关LDAP连接已build立(成功)。

在新服务器上打开更多日志logging之后,与来自旧服务器的日志相比, C:\Windows\system32\logfiles下的NPS日志文件确实会收到更多信息。

旧服务器(成功authentication): 

 <Event> <Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp> <Computer-Name data_type="1">(old-server-name)</Computer-Name> <Event-Source data_type="1">IAS</Event-Source> <NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address> <NAS-Port data_type="0">0</NAS-Port> <Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id> <Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id> <Framed-MTU data_type="0">1400</Framed-MTU> <NAS-Port-Type data_type="0">19</NAS-Port-Type> <Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info> <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address> <Client-Vendor data_type="0">0</Client-Vendor> <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name> <User-Name data_type="1">(username@domain)</User-Name> <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name> <Provider-Type data_type="0">1</Provider-Type> <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name> <Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name> <NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name> <Class data_type="1">311 1 (old-server-ip) 12/07/2012 09:32:22 2836</Class> <Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant> <EAP-Friendly-Name data_type="1">Microsoft: Secured password (EAP-MSCHAP v2)</EAP-Friendly-Name> <MS-Quarantine-State data_type="0">0</MS-Quarantine-State> <MS-Extended-Quarantine-State data_type="0">0</MS-Extended-Quarantine-State> <Authentication-Type data_type="0">11</Authentication-Type> <Packet-Type data_type="0">1</Packet-Type> <Reason-Code data_type="0">0</Reason-Code> </Event> <Event> <Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp> <Computer-Name data_type="1">(old-server-name)</Computer-Name> <Event-Source data_type="1">IAS</Event-Source> <Class data_type="1">311 1 (old-server-ip) 12/07/2012 09:32:22 2836</Class> <EAP-Friendly-Name data_type="1">Microsoft: Secured password (EAP-MSCHAP v2)</EAP-Friendly-Name> <Authentication-Type data_type="0">11</Authentication-Type> <PEAP-Fast-Roamed-Session data_type="0">1</PEAP-Fast-Roamed-Session> <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address> <Client-Vendor data_type="0">0</Client-Vendor> <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name> <MS-CHAP-Domain data_type="2">(domain-data)</MS-CHAP-Domain> <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name> <Provider-Type data_type="0">1</Provider-Type> <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name> <Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name> <NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name> <Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant> <Framed-Protocol data_type="0">1</Framed-Protocol> <Service-Type data_type="0">2</Service-Type> <MS-Quarantine-State data_type="0">0</MS-Quarantine-State> <MS-Extended-Quarantine-State data_type="0">0</MS-Extended-Quarantine-State> <Packet-Type data_type="0">2</Packet-Type> <Reason-Code data_type="0">0</Reason-Code> </Event>

新服务器(失败): 

 <Event> <Timestamp data_type="4">12/11/2012 00:43:59.126</Timestamp> <Computer-Name data_type="1">(new-server-name)</Computer-Name> <Event-Source data_type="1">IAS</Event-Source> <NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address> <NAS-Port data_type="0">0</NAS-Port> <Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id> <Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id> <Framed-MTU data_type="0">1400</Framed-MTU> <NAS-Port-Type data_type="0">19</NAS-Port-Type> <Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info> <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address> <Client-Vendor data_type="0">0</Client-Vendor> <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name> <User-Name data_type="1">(username@domain)</User-Name> <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name> <Provider-Type data_type="0">1</Provider-Type> <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name> <Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name> <Class data_type="1">311 1 (new-server-ip) 12/10/2012 20:22:25 67</Class> <Authentication-Type data_type="0">5</Authentication-Type> <NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name> <Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant> <Packet-Type data_type="0">1</Packet-Type> <Reason-Code data_type="0">0</Reason-Code> </Event> <Event> <Timestamp data_type="4">12/11/2012 00:43:59.126</Timestamp> <Computer-Name data_type="1">(new-server-name)</Computer-Name> <Event-Source data_type="1">IAS</Event-Source> <Class data_type="1">311 1 (new-server-ip) 12/10/2012 20:22:25 67</Class> <Session-Timeout data_type="0">30</Session-Timeout> <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address> <Client-Vendor data_type="0">0</Client-Vendor> <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name> <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name> <Provider-Type data_type="0">1</Provider-Type> <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name> <Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name> <Authentication-Type data_type="0">5</Authentication-Type> <NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name> <Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant> <Packet-Type data_type="0">11</Packet-Type> <Reason-Code data_type="0">0</Reason-Code> </Event>

在失败的情况下,第二个事件具有分组types= 11,其指的是挑战。 既然这两个事件在NPS日志中重复了好几次,我认为这意味着从来没有对这个挑战做出回应?

如果我没有在设备上安装CA证书进行身份validation,则设备将在显示来自旧服务器的CA证书时进行身份validation。 但是,对于新的服务器,我根本没有收到关于证书的提示信息 – 设备只是报告它们正在进行身份validation,但除了上述两个事件之外没有任何事情发生。 最终,设备超时,并说他们无法连接。

编辑#4 :我一直在debugging这一点,甚至删除configuration和新的NPS服务器上创build新的政策,没有用。 我现在将新的NPS服务器设置为仅使用PEAP和EAP-MSCHAPv2。

我只注意到,如果我在新的NPS服务器上select一个自签名证书(颁发给本地主机,而不是FQDN,并为IIS Express开发(!)生成),设备将提示我关于证书,如果我select接受证书,成功joinnetworking。 在这种情况下,日志看起来像上面的第一个,即authenticationtypes11和数据包types1和2。

select我在“受保护的EAP属性”中列出的任何其他证书将导致客户端永远不会提示我有关证书(即使我没有安装CA证书),并且如上所述使用Authentication-Type 5失败。 即使与此服务器的RAS和IAS服务器证书模板生成的证书发生这种情况。

用于NPS服务器的证书的确切要求是什么?