研究MCSA,目前在Server 2012 R2服务器实验室工作,我已经在一个定制的计算机上进行了设置。 目前的configuration,我有一个主机,就是一个主机,RRAS安装了内部networking(我称之为虚拟办公室)能够到达互联网。 在我的虚拟办公室(通过Hyper-V): 我有一个DC服务器设置Active Directory,DNS和DHCP和一些客户端计算机(Win 7和8的混合),都与内部交换机连接。 我也有一个有两个networking连接的NPS服务器,一个连接到内部networking,一个连接到我的家庭路由器的外部连接,连接到ISP。 我花了几个小时,因为这是我第一次,但我能够成功地build立一个PPTP VPN连接,并通过我的手机的移动热点连接我的物理笔记本电脑进行testing。 configuration通过RRAS和NPS。 然后,我删除了我的nps / vpn服务器,并删除了我的笔记本电脑上的vpn连接,再次设置所有的经验。 然后问题开始了。 我可以validation到RRAS,我可以看到我的连接在RRAS控制台,但在笔记本电脑上,它被困在“创build连接”10-15,然后断开连接。 服务器上的事件查看器给我一个关于encryption的错误。 我已经重新启动了几次(删除并重新安装服务器),我总是被困在这一点。 我已经花了30分钟的时间慢慢地通过笔记本电脑和服务器上的每一个设置,以确保它匹配。 我甚至删除了任何forms的不安全的连接encryption,仍然失败。 我迷失在这里 有任何想法吗? 我不记得在事件查看器中的错误代码,明天会得到
只是一个简单的问题,希望能够快速回答。 我正在学习我的MCSA,我对RADIUS有点困惑。 目前我在家庭服务器实验室有一台设置了RRAS和NPS的VPN服务器。 如果VPN服务器是当前正在处理连接和networking请求的服务器,那么这是否使VPN服务器成为RADIUS服务器? 或者DC是RADIUS服务器,因为NPS使用DC上的Active Directory来validation请求? 还是RADIUS一个全authentication的概念? 域控制器上安装了AD,DHCP和DNS。 VPN服务器只安装了RRAS和NPS。 我正在阅读的书不太清楚,或者我只是不正确的阅读。
我使用以下设置创build了一个新的NPSnetworking策略: 概观 – 策略已启用 – 授予访问权限 – types:远程访问服务器(VPN拨号) 条件 – 机器组:域计算机 约束 – 身份validation:EAP-MSCHAPv2,用户可以更改密码 – NAS端口types:VPN 身份validation在本地处理,不传递给RADIUS。 当我尝试连接到VPN时,我的连接与策略不匹配。 我试过使用“机器组”和“Windows组”条件。 我已经尝试了各种其他的authentication方法。 在我看来,有一些额外的步骤,我失踪,但无法find任何有关使用机器组条件的文件。 这是微软在这个话题上最有帮助的无用的文章 ,它只是说:“如果NAP强制方法是802.1X或VPN强制执行,安全组的成员可以是用户或计算机。 在“设置”下,我选中了“NAP执行”,没有select不同的执行方法的选项。 我们没有制定健康政策,目前也没有使用NAP。 我必须错过一些东西,但我不知道是什么。 我曾经考虑过build立一个CA并进行证书authentication,但是我认为这不应该仅仅依靠计算机安全组成员进行过滤。 :编辑: 所以我在二十六号给了这个更广泛的故障排除,当时我还有几个小时的时间去专注,但是我一直很忙,我一直无法更新这个问题。 我启用了审计工作,并结合微软提供的这篇说明文章 ,详细介绍了非常有用的NPS日志。 使用服务器types的“VPN”我得到原因码48,“IAS_NO_POLICY_MATCH”。 我发现复制我们的无线策略(只使用机器组filter和工作)后,我发现服务器types必须设置为“未指定”。 然后,我看到原因码66转换为“IAS_INVALID_AUTH_TYPE”,并发现我在客户端和服务器(doh)之间的身份validation设置不匹配。 (这很可能是因为我放弃了使用MS-CHAPv2的常规VPN策略的副本进行testing,并且复制了使用PEAP的无线策略,并且没有相应更新客户端。) 我看到原因码65转换为“IAS_DIALIN_DISABLED”。 这是奇怪的地方。 一个。 如果我为用户组成员(使用用户组条件或Windows组条件)添加第二个“AND”条件,则无法获得相同的错误代码。 (对于“域计算机”使用单个Windows组条件,或者“VPN用户”允许来自任何计算机的VPN用户,而不是来自域计算机的任何用户。) 湾 如果我将策略设置为“忽略用户帐户拨入属性”,则无法获得相同的错误代码。 C。 如果我转到ADUC中的用户AD对象属性并将拨入属性从“通过NPSnetworking策略控制访问”更改为“允许访问”一切正常。 在这一点上,我确信NPS中存在某种错误或devise缺陷,使其不能正常工作。 到目前为止,我还没有find任何MS的修复程序或更新下载的KB,但其他人似乎有这个工作的事实告诉我,我们的环境中有什么东西坏了。 如果有人有什么想法,请让我知道!
我在Windows Server 2012 R2上安装了NPS服务器。 为EAP-TLS和MSCHAPv2创build了策略。 但是,我正面临着EAP-TTLS的问题。 使用Win 10笔记本电脑作为客户端,我需要使用TTLS协议进行无线身份validation。 有人可以帮助我在NPS服务器中设置基于TTLS的身份validation吗? 有关我迄今为止所做的更多信息: – 创buildRADIUS客户端 – 创build连接请求策略和networking策略来testingEAP-TLS:工作正常。 – 为EAP-MSCHAPv2创build连接请求策略和networking策略:正常工作。 所以,networking问题不是问题,所有的客户端服务器都可以相互通信。 接入点 – RADIUS服务器 – 客户端用户证书也configuration,他们工作正常。 不知道为了configurationTTLSauthentication需要configuration什么确切的策略。
我目前在使用我们的思科设备的RADIUS进行身份validation方面存在问题…似乎部分工作,但我错过了某些东西,希望有些专家可以指出我正确的方向。 我有一个ASA 5510和VPN上configuration的。 我将Windows Server 2008 R2设置为充当RADIUS服务器的NPSangular色(仅使用NAP等,只是为RADIUS设置)。 我最近设置VPN,它似乎工作正常,但现在我想configuration它,以便我可以使用我的AD凭据login到我们的交换机以及,但我不能得到它分为两个… for实例中,所有域用户都可以使用VPN,但是只有NetworkGroup应该能够访问其他Cisco设备。 在RADIUS客户端下,我创build了一个名为VPN的客户端,它具有ASA上的内部接口的IP地址,思科的设备制造商和启用的IP地址。 我有一个名为Switch的客户端,我正在testing的交换机的IP地址,思科作为设备制造商和启用。 在“策略”>“连接请求策略”下,默认情况下,“仅对所有用户使用Windows身份validation”仅将date/时间限制作为条件,但允许随时访问设置下的身份validation提供程序 – 本地计算机和覆盖身份validation禁用。 我在这里添加了一个名为VPN(开放时间限制和IPv4地址条件)和一个名为Switch(具有开放时间限制和IPv4地址条件),认为这是所需要的,但在testing期间,我发现我可以禁用他们工作得很好……但从阅读我看,至less有一个政策是有效的。 我可以禁用默认的一个,但是当我使用相同的凭据设置其他人之一,似乎并不需要,我不能从交换机login,我得到错误“访问被拒绝 – 使用键盘交互式身份validation。如果我启用默认的CR策略,它马上又会起作用……基本上,它似乎并不关心我是否有在每个设备的政策(也许我不应该?)。 在“策略”>“networking策略”下,我添加了两个策略,一个名为Switch,另一个名为VPN。 Switch策略设置为User Groups-Domain \ NetworkGroup。 在设置下我有: Cisco-AV-Pair值为shell:priv-lvl = 15。 扩展状态值为空白。 使用授予访问权限的访问权限。 具有未encryptionauthentication(PAP,SPAP)值的authentication方法。 午休强制执行,允许完全networking访问。 更新值为True的不合规客户端。 具有login值的服务types。 如果服务器在2分钟内达到50%,BAP的容量百分比值为“减less多重链接”。 我在testing中设置的一些设置,其他的默认设置。 VPN策略设置为User Groups-Domain \ DomainUsers。 在设置下我有: 忽略值为True的用户拨入属性。 使用授予访问权限的访问权限。 带有未encryptionauthentication(PAP,SPAP)或MS-CHAP v1或MS-CHAP v1或MS-CHAPV2值的身份validation方法。 午休强制执行,允许完全networking访问。 更新值为True的不合规客户端。 框架协议与PPP的价值。 带有框架值的服务types。 其中一些设置是不一样的,因为我已经来回尝试了几天不同的场景,所以我真的不知道是否有一些是必要的…我知道,如果我禁用那个在CR-Policy下的默认策略,我无法login到交换机…如果我禁用RADIUS客户端,我无法login到交换机(有道理),但如果我禁用交换机networking策略,它仍然让我login…假设它只是滚下来,从VPNnetworking策略,允许DomainUserslogin凭据,我也在该组… … 所以我努力争取的结果(抱歉这么长的问题,但尽可能地提供信息!)是,我希望DomainUsers AD组中的任何最终用户能够使用VPN并拨号但是不允许他们远程login我们的交换机并以相同的方式login。 我只想要NetworkGroup AD帐户能够login到那些。 […]
我们有一台安装有NPSangular色的Windows Server 2008 R2 Enterprise服务器。 (我们不使用NAP)。 有没有办法,我们可以保存所有的事件日志—— 事件查看器 – >自定义视图 – >服务器angular色 – >“networking策略和访问服务”。 我宁愿使用Windows PowerShell来执行此操作,并计划将此日志每7天保存到一个* .evt(x)文件。 我看到的问题是我无法find任何名为“networking策略和访问服务”的.evt文件,似乎这是我们在事件查看器中查看时所做的一个自定义。 有任何想法吗?
我试图在我的UniFi控制器(3.1.10)上实现WPA-Enterprise身份validation,而不需要客户端上的证书。 我的RADIUS服务器将是安装了NPSangular色的Windows Server 2012 R2。 我想要的只是我的设备(Macs + Android)通过使用AD帐户的AD帐户在Wi-Fi上进行authentication。 任何人都可以摆脱这种情况下的任何光? 任何帮助深表感谢, 干杯! 编辑我试图设置这从@Nathan下面提到的 添加了RADIUS客户端http://i.stack.imgur.com/E4R9M.png 新增networking政策http://i.stack.imgur.com/M1N6r.png 从NPS的angular度来看,这看起来是正确的吗?
我们使用freeradius.org的pam_radius模块来设置windows NPS和RHEL radius client。 但在Linux客户端上,我看到了错误pam_radius_auth: Got RADIUS response code 3在/var/log/secure pam_radius_auth: Got RADIUS response code 3 。 代码3意味着Access Rejected ,但从Windows客户端,当我使用半径testing工具进行testing时,连接成功并获得代码2,代码2意味着Access granted 。 在NPS日志中,我得到如下: <Event> <Timestamp data_type="4">07/04/2015 10:21:02.913</Timestamp> <Computer-Name data_type="1">MYADDomainController</Computer-Name> <Event-Source data_type="1">IAS</Event-Source> <User-Name data_type="1">MYlinuxuser</User-Name> <NAS-Identifier data_type="1">sshd</NAS-Identifier> <NAS-Port data_type="0">3360</NAS-Port> <NAS-Port-Type data_type="0">5</NAS-Port-Type> <Service-Type data_type="0">8</Service-Type> <Calling-Station-Id data_type="1">MYWindowsClientIP</Calling-Station-Id> <Client-IP-Address data_type="3">MYMyLinuxRadiusClientNameInNPSIP</Client-IP-Address> <Client-Vendor data_type="0">0</Client-Vendor> <Client-Friendly-Name data_type="1">MyLinuxRadiusClientNameInNPS</Client-Friendly-Name> <Proxy-Policy-Name data_type="1">Use Windows authentication for all […]
在我join公司之前,有人决定使用公司LAN的10.150.0.0/16范围(尽pipe公司没有那么多的设备)。 我认为他们当时的想法是使用第三个IP字节(10.150.X)分隔各种基础设施types,同时将它们全部保持在同一个networking上。 因此,关键硬件组件(路由器,AP,主HyperV主机)位于10.150.0.X,主服务器位于10.150.1.X,辅助服务器似乎位于10.150.2.X,然后是DHCP分配从10.150.3.1到10.150.4.254的IP。 这是一个相当广泛的范围,坦率地说,这是一个混乱。 尤其是使用DHCP将IP分配给PC,笔记本电脑,移动电话甚至开发服务器。 我希望能够尝试和清理一些东西。 我想利用NPS来设置各种策略(例如,主域名服务器与开发服务器有不同的策略,这些策略与WiFi连接的设备有不同的策略),然后使用这些信息分配不同的IP范围。 除此之外,我不确定这是否可能,因为网罩很宽。 简单地尝试为另一个IP范围(例如,10.150.6.1-10.150.6.254)设置第二个DHCP范围,并使用相同的networking掩码在Windows DHCP中引发错误,这在一般情况下是合理的。 那么,我正在尽力去做什么呢? 还是我重新devise和重新configuration整个networking的唯一行动?
我的办公室已经用Windows 2008取代了Windows 2003域和域控制器。 我有一个Cisco ASA 5510,它可以为我们的远程用户处理VPN连接,但仍然与运行RADIUS的旧版Windows 2003数据中心之一集成。 我需要将ASA从2003域迁移到2008域。 如何在Windows 2008下configurationNPS? ASAconfiguration: aaa-server NEWDC protocol radius aaa-server NEWDC host xxxx key ******** ASAconfigurationtesting命令: test aaa-server authentication NEWDC host xxxx 对于任何用户名,这总是会立即返回错误的用户/传递错误。 用户存在于AD中,已启用,密码正确。 Windows和ASA的关键是相同的。 Windows 2008 NPS Radius客户端configuration: Enabled Vendor name: RADIUS Standard or Cisco (neither works) Manual shared secret: ******** (unchecked) Access-Request messages must contain the Message-Authenticator […]