嗨,我已经尝试了下面的指南,并在一点点泡菜。 http://techblog.mirabito.net.au/?p=87 我的主要目标是有一个基于用户名/密码的无线authentication与积极的目录集成。 我不断收到错误 networking策略服务器拒绝访问用户。 联系networking策略服务器pipe理员了解更多信息。 用户: 安全ID:domain \ rhysbeta 帐户名称:rhysbeta 帐户域名:域名完全合格帐户名称:domain \ rhysbeta 客户机: 安全ID:NULL SID 用户名: – 完全合格的帐户名称: – 操作系统版本: – 被叫站标识符:00-12-BF-00-71-3C:无线名称 主叫识别码:00-23-76-5D-1E-31 NAS: NAS IPv4地址:0.0.0.0 NAS IPv6地址: – NAS标识符: – NAS端口types:无线 – IEEE 802.11 NAS端口:2 RADIUS客户端: 客户友好名称:Belkin54g 客户端IP地址:xxx10 authentication详情: 连接请求策略名称:安全无线连接 networking策略名称:安全无线连接 validation提供程序:Windows authentication服务器:srvr.example.com authenticationtypes:EAP EAPtypes: – 帐户会话标识符: – logging结果:记帐信息已写入本地日志文件。 原因代码:22 原因:由于服务器无法处理可扩展身份validation协议(EAP)types,客户端无法通过身份validation。 ` […]
我想最终configurationSG300使用802.1x和Microsoft NPS(RADIUS)authentication有线客户端。 我目前正在使用我的SG300(testing机器)和基于AD的networking策略服务器上的单个端口(端口7)来testing此设置。 我遇到的问题是,当我将端口7的pipe理端口控制更改为强制授权时,我看到以下日志条目: 信息%SEC-I-PORTAUTHORIZED:Port gi7已授权 然后当我改变端口控制为自动的端口立即变成未经授权,我看到这个日志条目: 警告%SEC-W-PORTUNAUTHORIZED:端口gi7未经授权 但是,我从来没有看到任何RADIUS消息从SG300发送到我的RADIUS服务器或从SG300发送到testing机器插入到端口7.我在我的RADIUS服务器上使用WireShark来观看从SG300 IP地址的消息,我在configuration为监视插入端口7的testing机器中的NIC卡的第二台testing机上使用WireShark(我正在使用Hyper-V及其设备进行此NIC监视设置)。 这是我的configuration: 交换机 – 10.1.1.3 RADIUS(Microsoft NPS) – 10.1.1.15 交换机使用types – 全部(login和802.1x) 端口7configuration: VLAN模式是通用的 主机authentication是单一主机authentication pipe理端口控制是自动的 RADIUS VLAN分配已禁用 访客VLAN已启用 基于802.1x的身份validation已启用d 安全下的其他configuration – 802.1x / MAC / Webauthentication: 基于端口的身份validation已启用 身份validation方法是RADIUS 访客VLAN已启用 访客VLAN ID是2 我所有的VLAN都启用了身份validation 最后一点说明: SG300使用相同的RADIUS服务器进行pipe理控制台访问,工作正常。 当我login交换机时,WireShark将显示从交换机到RADIUS服务器的RADIUS消息并返回。 所以我知道RADIUS在交换机上configuration正确。
目前,我正在致力于Microsoft NPS解决scheme,为有线和无线客户端提供802.1x MAC身份validation,同时为客户端提供VLAN。 目前,我们的无线接入点和交换机可以完美工作,但是我们希望NPS / RADIUS服务器能够通过访问接受来响应,即使MAC地址无法通过身份validation,从而将客户端置于访客/注册VLAN中。 是否有可能在NPS服务器上创build一个策略或规则,该策略或规则具有授权MAC地址不在数据库中并提供相关VLAN标记的作用? 我们已经使用vlan / tunnel-id字段为授权用户及其好用的vlan标记。 谢谢
我努力使用基于Windows的RADIUS设置(networking策略服务器)和SuperMicro IPMI接口。 我发现我需要添加特定于供应商的属性H=4, I=4 ( SuperMicro IPMI手册中的附录C ),但我不确定configurationNPS策略所需的一些设置: 我想我错过了供应商代码或供应商分配的属性编号,它们都应该是一个数字值。 属性值本身是H=4, I=4string。
我们最近遇到了一个问题,那就是用户从家里带来笔记本电脑,并将其插入networking,试图访问互联网。 我知道在一个端口级别,我可以设置MAC限制,但是我想知道是否有办法阻止一个不兼容的机器在将来访问我们的networking? 我们目前运行所有的Windows 7客户端机器,我只想告诉它“如果不是Windows 7,不能访问”,但不知道如何去做。 我们正在运行一个AD环境,2008年和Windows服务器之上。 我想也许NAP会工作,它似乎有一个WinXP的设置(一个用于Win7的),但它允许我不允许或允许访问,如果它是最新的,如果病毒保护打开等,而不是如果它是Windows XP本身。 有没有办法,我可以禁用任何东西,但我指定从这样的访问networking? 在此先感谢您的帮助!
在我们的域中,我安装了Windows Server 2008 R2机器“GWY”,并安装了networking策略和访问服务angular色。 在这台机器上,我可以打开networking策略服务器pipe理控制台来pipe理这个angular色。 但是,在我们安装了所有pipe理控制台的域中,我有另一个Server 2008 R2计算机“WKS”,因此我们可以从一个位置pipe理所有服务器。 我找不到如何访问此计算机上的networking策略服务器控制台。
我们使用运行带有RRAS和NPSangular色的Windows Server 2008(32位)的计算机来validation用户是否通过RADIUS进行VPN和无线访问。 这个configuration已经运行了一年多了,但从今天上午开始,服务器已经开始拒绝所有请求。 据我所知,唯一的变化是昨天晚上安装Windows更新。 这不是连接或防火墙问题。 服务器使用Access-Reject答复所有RADIUS请求。 只有一个连接请求策略,它会全天候处理该服务器上的所有请求。 出于testing目的,我已经创build了一个应该全天候批准所有请求的networking策略。 日志文件( C:\Windows\System32\LogFiles\IN1110.log )表示正在select此策略,但服务器仍然使用Access-Reject进行回复。 我已经validation所有发送RADIUS请求的服务器都列在RADIUS客户端中,并且事件日志中没有关于无效RADIUS客户端的条目。 但是,每次服务器响应RADIUS请求时,都会看到一个奇怪的系统事件。 我们根本不使用MGM或多播,所以我不知道如何跟踪。 Warning RasServer, 50015 Specified interface was not present in MGM. 我已经尝试重新启动服务器,并重新安装RRAS / NPS。 (注意:当删除NPS时,所有的configuration都会被保留下来,并且在重新安装之后仍然存在。)build立一个全新的服务器的时间不长了,我已经无所适从了。 其他人有RRAS / NPS这样的问题吗? 2011-10-17更新:添加了事件ID 6274的完整文本 networking策略服务器丢弃了对用户的请求。 联系networking策略服务器pipe理员了解更多信息。 用户: 安全ID:CFL \ nic 帐户名称:nic 帐户域:CFL 完全合格的帐户名称:cfl.local / People / Prince George / Nic Waller 客户机: 安全ID:NULL SID 用户名: […]
我试图根据组成员和IP地址来限制谁可以访问我们的RD网关(因此,组A中的人只能从IP地址X访问系统)。 由RD网关安装的networking策略服务器似乎意味着这可以完成,有一个设置来限制基于客户端IP地址的访问,但是这似乎不能正常工作。 如果我添加IP地址限制,即使用户拥有正确的IP,用户也无法连接,因此删除限制意味着他们可以连接。 看看审计日志,看起来这里的IP地址不存在。 有谁知道如何使这项工作?
我正在通过RADIUS设置validation到Acme Packet Net-Net 3820(SBC)。 事情的会计方面工作得很好,没有问题。 事情的authentication方面是另一回事。 从数据包捕获中我可以看到,访问请求消息实际上正在到达RADIUS服务器,RADIUS服务器开始与域控制器进行通信。 然后我看到通信链回到RADIUS,最后回到SBC。 问题是我得到的响应始终是一个原因码为16的访问拒绝消息(由于用户凭据不匹配而导致身份validation失败,或者提供的用户名与现有用户帐户不匹配,或者密码不正确)。 这可以通过查看安全事件日志来确认,我可以在其中看到事件4625和6273.请参阅以下事件(注意:名称和IP已更改为保护无辜者): 事件ID:6273 Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: NULL SID Account Name: real_username Account Domain: real_domain Fully Qualified Account Name: real_domain\real_username Client Machine: Security ID: NULL SID Account Name: – Fully Qualified […]
当试图连接到VPN服务器时,我得到了客户端上的691错误代码,它说: 错误说明:691:远程连接被拒绝,因为您提供的用户名和密码组合未被识别,或者远程访问服务器上不允许所选的validation协议。 我validation了用户名和密码是正确的。 我还安装了一个与IKEv2安全types一起使用的authentication。 我也validation了VPN服务器支持的安全方法。 但是我无法login。 在服务器日志中我得到这个日志: networking策略服务器拒绝访问用户。 从IP地址连接的用户DomainName \ UserName由于以下原因而未通过身份validation:远程连接被拒绝,因为您提供的用户名和密码组合不被识别,或者所选的身份validation协议不允许在远程访问服务器。 任何想法,我可以做什么? 提前致谢! Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 12/29/2010 7:12:20 AM Event ID: 6273 Task Category: Network Policy Server Level: Information Keywords: Audit Failure User: N/A Computer: VPN.domain.com Description: Network Policy Server denied access to a user. Contact the Network Policy Server administrator for […]