所以,我猜这个问题的简短版本是:
设置“新”NPS服务器和新的CA后,我无法让客户端连接到企业WPA无线networking。 在我从NPS / CA服务器上手动向我的客户端申请一个新的证书并尝试连接到无线networking之后,他们在放弃之前坐在“尝试authentication”/“等待networking准备就绪”说他们不能连接。
我的NPS / CA服务器上的日志给出了一个IAS4142的“原因代码”为23 …,这是关于各种错误代码是什么意思的technet文档缺席。 >:/正在发生什么事,有谁知道如何解决它? 或从哪里开始解决这个问题? (Google一直很无用……发现几个人有同样的问题,但没有解决scheme。)
更长的版本,希望包含可以帮助别人帮助我的信息是:
几个星期前,我们举办了一个活动,强烈地从我们在总部的两个“主要”区域(2k3 R2)抓住了FSMO的angular色。 因此,他们脱机了,不会回来。 当然,这样做后,解决眼前的危机,我们得到报告,无线访问不再工作。 这是有道理的,当我们回去看看断开的前DC时,发现其中一个是我们唯一的IAS服务器,另一个是我们环境中唯一的CA. 当然,我们使用WPA-企业无线encryption,将证书颁发给客户端计算机帐户,并使用所需的域凭证进行身份validation(懒惰的方式,允许客户端使用他们的login凭据在无用户交互的情况下自动进行身份validation)。 所以问题在于没有可用的RADIUS服务器来处理这些请求,而颁发的CA也不见了。
这个解决scheme在当时看起来很不错,它是站在一台新的服务器上,由于设备的限制,把CA和NPS的angular色放在上面。 我本来也想把它作为一个区议会,但由于其他限制而无法成立。 我所知道的一切,并阅读,表明这将是好的。 我也有一个滑稽的假设,我可以用这种方式来设置它,而不用担心以前的设置。 而且,不想手动重新input几百个客户端和几十个策略,我遵循这个关于如何迁移NPS服务器的技术文章(以及将不正确的IAS修复为NPS EAP参数 ,主要是。而不是0,16,515在那一段,我有0,15,521 …所以我按照指示纠正了'0',并继续前进。)
我改变了一些CAencryption设置(SHA-1到SHA-512,由于SHA-1这些日子不安全,以不太迟钝的方式命名了根证书等),在AD中注册了NPS,并认为我是很好去。 然后我遇到了XP无法使用SHA-2证书的问题 (&%#^ !!!),这在我们的客户仍然在XP时是有问题的。 应用该修补程序(其中提到的更新将包括在XP SP4 …:/),仍然没有喜悦。 发现错误代码比我想承认多一点工作(尤其是当我后来注意到在安全事件日志中的错误,所以我浪费了我的时间破译***国际会计准则日志),并去了谷歌求助,几乎完全空了。 其他人也报道过同样的问题,但似乎没有人知道什么是错的,或者如何解决这个问题。 EventLog文本:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 6273 Task Category: Network Policy Server Level: Information Keywords: Audit Failure User: N/A Computer: [The NPS/CA server] Description: Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: [domain\username] Account Name: [domain\username] Account Domain: [domain] Fully Qualified Account Name: [domain\username] Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: 003a.9a18.7671 Calling Station Identifier: 0013.e888.ecef NAS: NAS IPv4 Address: [AP's IP] NAS IPv6 Address: - NAS Identifier: [AP's name] NAS Port-Type: Wireless - IEEE 802.11 NAS Port: 1939 RADIUS Client: Client Friendly Name: [AP's name] Client IP Address: [AP's IP] Authentication Details: Connection Request Policy Name: [Wifi access policy name] Network Policy Name: [Wifi access policy name] Authentication Provider: Windows Authentication Server: [The NPS/CA server.domain.tld] Authentication Type: PEAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 23 Reason: An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors. 而且,实际上,当我正在通过日志来抓取这个错误时,我注意到了它之前(同一个时间戳,但在EventLog中的另一个之前)…不知道这是什么意思…我的根证书不好?!?!?
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 5061 Task Category: System Integrity Level: Information Keywords: Audit Failure User: N/A Computer: [The NPS/CA server] Description: Cryptographic operation. Subject: Security ID: SYSTEM Account Name: [The NPS/CA server] Account Domain: [domain] Logon ID: 0x3e7 Cryptographic Parameters: Provider Name: Microsoft Software Key Storage Provider Algorithm Name: RSA Key Name: [Root cert created when the CA was installed] Key Type: Machine key. Cryptographic Operation: Operation: Decrypt. Return Code: 0x80090010
在我做一些激烈的事情之前,[像]重新安装我们的CA和NPS服务器,然后全部手动configuration…或购买一堆弹药,并开始向Remdond [/哭],有没有人有任何想法,less痛苦的措施,可能有助于解决我的问题?
如果您要replace签名根CA,则需要确保您正在导入新的受信任根和新客户端证书。
请确保由于服务器向客户端发送hello包,新的服务器证书已被导入到个人证书中。 如果没有,则服务器无法初始化EAP协议上发生错误的EAP-TLS握手。
我不想混淆简明的,通常适用于MDMARA的答案,但事实certificateCA / NPS服务器在生成自己的机器证书后也需要自动重启。
不知道在一般情况下这是否属实,或者仅仅是因为服务器兼具两种angular色,或者是因为我们的环境如此糟糕,但似乎值得一提。 重新启动服务是不够的,但重新启动框似乎已经解决了一切。 Windowspipe理员101,或其他。 “如果一开始你没有成功,请重新启动并重试。”