像以前的海报,我正在configurationNPS作为我的无线客户端的RADIUS身份validation源。 我需要对networking策略施加“时间和date”限制,这个限制需要比通过GUI设置的更精细(GUI限制为1个小时)。 理想情况下,我需要将重build时间设置为15分钟 – 例如,允许从08:30到17:30访问 我遵循了手动编辑ias.xmlconfiguration文件的build议解决scheme。 这似乎起作用,预览条件显示正确的时间(以8:30到17:30为例) 问题是,当时间设定为8点半到17点半,访问仍然只能在08:00到17:00之间进行 如果我设置了一个短暂的testing访问时间,比如说10:15到10:30,那么根本没有访问权限。 有没有什么办法可以使用NPS更细化的时间限制?
我遇到NPS连接策略与转发的RADIUS请求相结合的问题 – 连接策略似乎没有被评估? 我们的域名有几个单向信任。 我有一个networking策略,指出只有给定(域本地)安全组的成员才能连接。 然后,我有几个连接请求策略转发到远程域中的NPS服务器,用户名为DOMAIN-NAME\\.+ 。 转发工作正常,但似乎没有评估组成员部分? 它适用于本地OPS领域的用户,但对于所有其他人只需拥有有效凭证就足够了。 我尝试设置“忽略用户帐户拨入属性”,因为它在其他地方被build议,但它似乎没有任何区别。
当我将vpn服务器从服务器2008 R2升级到Server 2012 R2时,我遇到了有关NPS服务器的奇怪问题。 实际上,在我的基础架构中,我有一个基于Windows 2008 R2的AD,在其域中,我有一个作为成员服务器join的NPS服务器。 此NPS服务器基于服务器2012 R2,当我从服务器2008 R2升级我的VPN服务器到服务器2012 R2 IKEv2停止工作,每当其他协议工作在Windows 7上,当我尝试连接使用IKEv2挂起在validation用户名和密码nad当我在Win 8中testingIKEv2时,它说IKE身份validation凭证是不可接受的,尽pipe我的服务器证书是有效的EKU兼容的。 当我连接IKEv2通过我的服务器的其他服务器的基于服务器2008 R2的VPN服务器IKEv2的作品就像一个魅力,没有任何问题,成功进行身份validation。 问题似乎是基于Server 2012 R2的RRAS VPN服务器。在我的服务器2012 VPN和服务器2008 R2 VPN服务器上,NPS服务器添加到Radius身份validation中。 在身份validation选项中selectMS-CHAPv2和EAP选项。 我尝试从Windows 8连接到VPN服务器“13801:IKE身份validation凭据是不可接受的。” 当我尝试通过Win 7客户端连接会话挂起在validation用户名和密码。 在事件日志中,我看到这个错误..在这个错误后,会话只是挂起来validation用户名和密码….. 有任何想法吗…???? 当我在服务器上运行“最佳实践分析工具路由和远程访问服务(RRAS)”时,我收到两个突出显示的有关服务器证书的警告。 任何线索什么是IKEv2的问题…. 请帮助我在这方面….这个问题是驱使我坚果…! 谢谢
我似乎无法find一个很好的教程,如何为我的一个radius客户端设置我的networking策略。 我希望我的radclientA与policyA进行身份validation,并通过radclientB与policyB进行身份validation。 似乎如果我有一个政策,所有添加的radius客户端将validation该策略。 这是否意味着我必须为每个我想要设置的策略使用不同的radius服务器?
我的老板让我想出了一个方法来实现RDP访问服务器的双因素authentication。 所以,当我的任何一个pipe理员通过RDP远程login服务器时,他们必须通过某种forms的双因素身份validation。 我们希望第二个因素是存储在pipe理员本地证书存储区中的用户证书(不需要FOB或电话应用程序)。 看起来好像我可以使用现有的NPS服务器完成这项工作,并将RDP网关服务器添加到组合中。 我们以前使用RSA,但根据以往的经验,我宁愿不去那里,如果Windows可以天真地做到这一点,那就是我喜欢去的方式。 任何指南或指导将不胜感激。 更新:所以我在几个方面攻击了这个: 我已经build立并configuration了一个RD网关服务器。 我开始只是RD网关和RD Web工作,然后我join了RSA Web客户端。 这种configuration的工作原理和满足我们的需求只有几个缺点:a)我们必须抛弃我们的RD工具(我使用并且喜欢远程桌面pipe理器),因为我们必须通过RD Web来连接到服务器b)RDWeb没有“绕过本地地址”的选项。 我一直在与EMC RSA进行沟通,这至less是一个令人沮丧的行为。 此方法的configuration是RDP客户端通过RD网关连接到服务器,并让RD网关对RSA服务器执行半径调用以进行身份validation。 这个设置看起来非常接近,除了当我尝试validationRSAdebugging日志报告时,我几乎可以看到终点线。 Request has invalid syntax (eg invalid, missing or duplicate attributes), Rejecting 。 我现在正在等待第二个RSA技术人员回到我的意思是什么和/或什么参数没有通过NPS到RSA。 我也一直在考虑尝试使用用户证书作为身份validation的第二个因素。 我的老板认为,当试图将RDPjoin服务器时,除了用户名和密码之外,存储在本地机器的证书存储中的用户证书将满足他的双因素要求,但是没有安装智能卡读卡器,我无法弄清楚如何将用户证书传递给RD网关。 我已经开始寻求桌面虚拟智能卡(试图通过笔记本电脑使用Windows 8虚拟智能卡function),但是我的脑海里又有一个声音说“必须有一个更好的方法” 。 根据我迄今为止的经验,我一直在尝试放弃RSA,转而使用另一种产品,如Azure现场多因素身份validation选项, DuoSecurity或Wikid,但基于在RSA上投资,我的老板是不愿意改变。 有没有人有任何使用用户证书authentication到RDP的经验?
我一直在pipe理NPS服务器一段时间,并认为是时候对待它有效的SSL证书。 设置 我从comodo购买了通配符SSL证书,将其编译为.pfx证书(包括comodo链)并将其安装在服务器上。 pfx文件是好的,因为我安装它在IIS7,并得到validation在每个浏览器。 然后,我select了这样的NPS证书(对不起,这是德语,但英文版应该是一样的): 问题 现在,当一个客户端连接到无线networking,他们会得到一个像“授权失败”的消息,或者在Windows上,它会重新打开循环validation对话框。 Iphone会直接告诉客户他们不能validation证书,并给他们select忽略它。 然后服务器日志说,用户帐户不能被发现不是这种情况,但是当我禁用证书检查在客户端上,它连接就好了。 这意味着证书对客户无效。 我的想法发生了 证书是域* .example.com的通配符,Active Directory域是location1.example.com。 可能会有代表团的问题? 如果我将证书导入到我的AD证书服务器,我可以为radius.location1.example.com创build一个子证书吗? 还有什么我丢失或通配符证书只是不能用半径在Windows服务器上? 我很感谢任何指针
我正在设置一个NPS服务器作为我公司雇主的Wifinetworking的RADIUS服务器。 所有移动设备都可以使用其域用户/通行证连接到此networking。 我的问题是让Windows电脑(不在域!)使用这个networking,因为我从NPS日志中得到这个错误: "SERVERNAME", "IAS", 09/28/2015, 09:00:44, 3, … "WIFI_STAFF_Policy", 265 使用日志规范,我发现这个数据包是一个“访问拒绝” ,并且“原因代码”是265 (没有在MS日志规范中声明)。 Googoling我发现“265原因码”是一个证书错误,但我不明白,如果这是一个客户端错误或服务器错误。 很明显,我不能为所有非域名计算机添加证书,而且我也不想为我的NPS购买证书。 如果这是一个客户端错误,我知道我可以设置PEAP身份validation来不validation证书,但这是一个非常困难的select,因为我应该手动设置每台计算机。 有没有办法不使用证书validation从NPSnetworking策略configuration?
我正在推出WPA2 Enterprise,并试图弄清楚如何让手机使用networking。 我的MDM推出configuration很容易,但是如何告诉NPS允许他们? 我目前有一个条件,允许所有域join的计算机访问,但这不适用于手机,因为他们没有join到域。 其他人怎么处理呢?
我们运行了一个思科WiFinetworking,该networking使用802.1x对Active Directory进行身份validationlogin。 员工使用他们的UPN前缀login,并且一切正常。 出于各种原因,我们希望用户能够使用他们的电子邮件地址(存储在mail属性中)来login。 这没有映射到完整的UPN(后缀是不同的,我们的用户来自许多不同的电子邮件域)。 与其使用firstname.lastname (与firstname.lastname的UPN匹配,我们希望他们使用[email protected]或他们的电子邮件地址实际上是这样) [email protected] 。 我们目前使用微软NPS,并configuration我们的思科WLC作为RADIUS身份validation服务器。 有没有办法将NPS更改为基于不同的AD / LDAP属性而不是只有sAMAccountName / UPN的身份validation用户?
我们正在尝试使用Radius服务器和AD身份validation来使用WPA2安全设置WiFi环境。 我们使用以下指南设置了radius服务器: PEAP and EAP-TLS on Server 2008 and Cisco WLC 后来当我们尝试访问无线ssid它说 Windows无法连接。 所以我试着在C:\Windows\System32文件夹中检查日志,发现错误代码是49: 与连接请求策略不匹配 我将连接请求策略条件更改为NAS IPv4地址:(正在尝试进行身份validation的AP的IP地址),现在当我尝试连接时,没有看到任何正在创build的日志(既不在日志文件中,也不在事件日志中)。 NPS的事件查看器显示事件ID 4400 ,没有其他事件生成。 我试图使用NETMON工具来监视radius服务器,我可以看到EAP协议的数据包被发送到radius服务器,但是它不会发回任何东西。 我也用工具NTRADPING来testing,但是它说Access-reject和在监控networking上,我可以select发送和接收协议RADIUS的数据包。 我试着重新安装angular色ADCS和NPS,但没有帮助。 我已经尝试了几乎所有可能的networking和连接策略组合,但无法使其工作。