我有一个运行NPS的Windows 2008标准服务器。 在应用最新一轮更新(包括2012年4月KB931125(请参阅http://support.microsoft.com/kb/933430/ )的根证书)之后,EAP身份validation由于格式错误而失败。 示例错误(安全/事件ID 6273),为简洁起见被截断: Authentication Details: Proxy Policy Name: Use Windows authentication for all users Network Policy Name: Wireless Access Authentication Provider: Windows Authentication Server: nps-host.corp.contoso.com Authentication Type: PEAP EAP Type: – Account Session Identifier: – Reason Code: 266 Reason: The message received was unexpected or badly formatted. NPS策略(无线接入)相应地configuration(对于约束/authentication方法) EAP Types: Microsoft: Protected […]
我正在尝试设置Windowsnetworking策略服务器以允许使用单向信任的多森林scheme进行RADIUS身份validation。 我们有几个包含用户账号的域(每个域都包含一个域),还有一个包含服务器和服务的域“OPS”。 老年退休金计划信任其他领域,但他们不相信老年退休金计划。 我已经为NPSconfiguration了一个策略,该策略在用户位于OPS域中的特定组时授予访问权限。 这适用于域本地用户,如OPS\carlpett ,但是当我尝试从另一个域如EXTAD\john.doe使用一个帐户,我得到一个错误与事件ID 4402和描述 域EXTAD没有可用的域控制器。 信息事件6274也logging了被拒绝的请求的细节,其中原因被设置为 NPS服务器由于硬件资源不足或无法接收域控制器的名称而不可用,这可能是由于本地计算机上的安全帐户pipe理器(SAM)数据库故障或NT目录服务(NTDS)故障。 但是,我可以联系EXTAD的几个域控制器。 我已经尝试了Test-NetConnection -Port 389 dc01.extad.domain.com和微软PortQry工具,它进行了大量的连接testing。 当使用域本地帐户时,会logging下来: 与OPS域控制器ad01.ops.domain.netbuild立LDAP连接。 这似乎表明只需要LDAP? 在尝试使用外部帐户时检查打开的TCP连接,我可以看到端口389上的已build立连接到其域中的域控制器。 任何想法什么尝试? 我已经看到了一些将NPS服务器添加到“RAS和IAS服务器”组的build议,但这似乎需要双向信任。
我正在尝试使用Windows Server 2008 NPS来针对我们的思科交换机提供802.1x身份validation。 该设置适用于本地域用户,我现在试图将其与外部组织Kerberos系统集成。 我已经使用ksetup添加了相关条目,在Kerberos系统中configuration了一个信任关系,并为testing用户设置了一个名称映射。 我现在可以对Windows Kerberos进行身份validation,而不会出现任何问题。 现在我想能够在NPS机器上使用Kerberos进行身份validation。 在支持802.1x的客户端上,使用本地域凭据允许我访问networking。 如果我使用Kerberos凭据并在“Logon domain”设置为正确值的情况下使用Kerberos凭据,并且短暂暂停后拒绝访问,则立即拒绝访问。 与“login域”设置,NPS服务器logging身份validation尝试被拒绝,因为“在RADIUS消息的用户名属性中指定的域不存在”。 对不起漫长的漫步。 我希望对某人有意义。
我正在尝试了解RRAS和NPS如何协同工作,以便我们能够看到在我们的环境中实现这两者是否有意义,并且在Sybex书籍中使用术语“远程访问configuration文件”的参考资料。 我也遇到了诸如“将date和时间限制策略链接到活动的远程访问configuration文件”等语句。 我无法在RRAS或NPS中find这样一个明确的“简介”项目。 这是指什么? 此外,在NPS控制台中还有连接请求策略和networking访问策略。 我发现这个话题,或者至less在书中解释的方式混乱。 2.第一条是指build立连接的规则,第二条是build立连接后允许访问资源? 3.使用NPS作为RADIUS的Microsoft实施,如果您可以将authentication请求直接发送到RADIUS服务器,为什么还需要RADIUS客户端/代理?
目前我们正试图摆脱一些过时的ACS设备。 NPS服务器上的一点背景知识 – 它目前已经build立并用于思科交换机的RADIUS身份validation。 我已经读过的很多东西都讲述了用于authentication的证书的使用。 在我们的工厂中,我们目前不使用证书进行validation(因此我们在客户端机器上configuration为不检查证书)。 我们目前的设置使用PEAP和EAP-MSCHAP v2的authentication方法。 我已经添加了一个无线局域网控制器作为RADIUS客户端,并为无线设置了一个networking策略,并validation了无线连接请求策略。 我也设置WLC使用NPS设置的服务器。 在服务器上,我可以看到客户端尝试进行身份validation(因此WLC正在传递信息),但却收到错误,如“由于服务器无法处理可扩展身份validation协议(EAP)types,客户端无法进行身份validation“。 和“用户尝试使用未在匹配的networking策略上启用的身份validation方法”。 取决于不同的设置,我尝试通过NPS。 当我继续玩设置,我似乎无法产生更好的结果,并在我的尝试失败。 任何想法将不胜感激
我最近将NPS从运行Windows Server 2012 Standard的主机迁移到另一台主机,使用TechNet指令迁移不同的主机名。 尽pipe我所有的RADIUS客户端都能够(而且仍然)能够对旧服务器进行身份validation,但是一个客户端(一个Apple Time Capsule)却无法与新客户端进行身份validation(我testing了其他三个客户端,新的服务器)。 我对Triple Capsule和NPS之间的共享秘密进行了三重检查(并且改变了它几次,以防万一,复制粘贴相同的秘密),并基于一篇文章,我也切换了NPS证书(我搞砸了我的CA,并不得不创build一个新的)。 新的CA证书已安装,并且应该在尝试进行身份validation的设备上受信任。 旧服务器上的事件日志显示成功login的Windows安全审核事件,这显然不会显示在新的服务器上(对于Time Capsule) – 事实上,当尝试对新服务器进行身份validation时,是NPS事件4400s告诉我有关LDAP连接已build立(成功)。 在新服务器上打开更多日志logging之后,与来自旧服务器的日志相比, C:\Windows\system32\logfiles下的NPS日志文件确实会收到更多信息。 旧服务器(成功authentication): <Event> <Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp> <Computer-Name data_type="1">(old-server-name)</Computer-Name> <Event-Source data_type="1">IAS</Event-Source> <NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address> <NAS-Port data_type="0">0</NAS-Port> <Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id> <Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id> <Framed-MTU data_type="0">1400</Framed-MTU> <NAS-Port-Type data_type="0">19</NAS-Port-Type> <Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info> <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address> <Client-Vendor data_type="0">0</Client-Vendor> <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name> <User-Name data_type="1">(username@domain)</User-Name> <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name> <Provider-Type data_type="0">1</Provider-Type> <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name> […]
我已经阅读了一些关于networking的文章,但是我似乎无法为我的问题find明确的答案。 我有一个Aruba Networks控制器configuration为在2008r2服务器上通过NPS服务启用RADIUS服务器。 我们有一个自签名证书(?),一直在努力通过域用户名和密码authentication某些设备,但其他的不是这样。 我已经追溯到与证书有关的问题,并在eventvwr,我看到以下错误时,试图validation非域名的 Windows机器。 错误:事件36882从远程服务器接收到的证书由不受信任的证书颁发机构颁发。 因此,证书中包含的数据无法validation。 SSL连接请求失败。 附加的数据包含服务器证书。 奇怪的是,当通过我的RADIUS SSID连接iOS设备,他们只是确authentication书,它的工作原理。 是否可以在NPS服务器中创build一个绕过证书需求并完全依赖用户名和密码的策略? 我当然缺乏理解,如果没有,请解释我的select是什么… 我需要能够限制BYOD笔记本电脑的用户访问。 我允许某些学生访问无线networking,但是如果我使用PSK,由于他们是pipe理员在他们自己的机器上,他们可以查看然后再重新分配PSK,所以我真的需要基于用户的访问。
我试图将服务器2008 R2 NPS连接到MSSQL服务器来logging会计数据,我遇到了问题。 我通过“configuration会计”向导configuration了NPS Accounting,使用Windows集成安全性,我可以连接到我的MSSQL服务器(2012 express)并创build一个数据库进行记帐。 当我testing它,虽然我的NPS生成一个6274事件:“…不能写入configuration的记帐数据存储”。 查看我的数据库服务器,我看到一个18456事件:“用户login失败'mydom \ npsserver $'原因:无法打开显式指定的数据库'myNPSDB'[CLIENT:NPS.servers.IP.addr]” 所以,即使我使用数据库访问权限设置数据库连接,服务器正在连接本地计算机帐户。 我不想让我的NPS服务器的计算机帐户显式访问我的数据库,并且想要使用域帐户。 在“数据链接属性”对话框中,我尝试使用“使用特定用户名和密码”input域帐户,但出现“用户login失败”错误 – 我知道我input的凭据是正确的。 然后我尝试运行networking策略服务器服务作为一个域帐户,但在这样做后,它不会启动。 如何让我的NPS连接到我的数据库与域帐户?
我们的Cisco Aironet AP使用Radius通过我们的networking策略服务器(NPS)对我们的Active Directory进行身份validation。 对于我的用户,在他们的域pipe理笔记本电脑和BYO设备(如笔记本电脑,智能手机,平板电脑等),这工作正常。 但是,有些设备没有用户login,但需要通过WiFi连接。 例如,显示我们的操作仪表板的一个Mac Mini或一个stream式传输互联网广播的Raspberry Pi。 这些设备不是域join的。 有一个用户提供他们的凭据这种事情是不好的。 一方面,一旦密码过期,设备将被locking,或将继续尝试使用旧密码进行validation,导致用户locking。 我猜设备级别的authentication是答案,但如何设置呢? 感谢您给我的任何build议。
背景(我是新来的,请耐心等待): 所以,我在AD域中设置了一个NPS服务器虚拟机来尝试RADIUS客户端的WAP。 NPS与AD CS服务器(企业,另加一个脱机)一起安装。 我使用RADIUS客户端和使用PEAP的networking策略configuration了NPS服务器,并且需要一个证书等等。条件包括我创build的包括域用户和计算机的AD组。 然后,我configurationGPO将证书和无线configuration文件分发到指定的OU。 现在抛砖引玉的问题是:我实际上忘记了将AD服务器注册为RAS / IAS,但是仍然能够通过AD证书进行身份validation。 起初我没有注意到,只是在修改和研究之后才注意到这个选项。 那么,如何在没有AD注册的情况下开展工作呢?甚至当您想要使用AD进行身份validation时,甚至有必要这么做? 也许同一个虚拟机上的AD CS服务器? 这是所有2012 R2 STD在学习/非生产设置,所以我没有真正限制在testing方面。 只是困惑,为什么这是可能的,并确保我不会错过的东西。 如果需要更多的信息,请让我知道。