服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows更新后,NPS EAP身份validation失败
Intereting Posts
使用LDAP来存储客户数据 如何让IPv6正常运行? 从sql mgmt studio 2005导入已注册的服务器到2008 curl和多行获取参数 我怎样才能encryption我的SSD,但仍然无人值守(Linux)启动? 如何在不通过RDPlogin的情况下查看ec2实例的windows计算机名称? 我如何在MySQL中备份多千兆字节的数据库? 奖励积分加快恢复 运行KVM qcow2 VPS的备份 捕获HTTP GET请求 可以/非Windows域计算机如何访问域上的共享 如何使用sonicwall tz205监控用户活动? 如何为Windows Azure Mobile创buildECC证书? 星号 – 非常高的平均负载,没有任何理由 如何在Dovecot中启用maildir以及sendmail local_procmail 启用一个接口会中断另一个接口

Windows更新后,NPS EAP身份validation失败

我有一个运行NPS的Windows 2008标准服务器。 在应用最新一轮更新(包括2012年4月KB931125(请参阅http://support.microsoft.com/kb/933430/ )的根证书)之后,EAP身份validation由于格式错误而失败。

示例错误(安全/事件ID 6273),为简洁起见被截断: 

Authentication Details: Proxy Policy Name: Use Windows authentication for all users Network Policy Name: Wireless Access Authentication Provider: Windows Authentication Server: nps-host.corp.contoso.com Authentication Type: PEAP EAP Type: - Account Session Identifier: - Reason Code: 266 Reason: The message received was unexpected or badly formatted.

NPS策略(无线接入)相应地configuration(对于约束/authentication方法) 

 EAP Types: Microsoft: Protected EAP (PEAP) - with a valid certificate from ADCS Microsoft: Secured password (EAP-MSCHAP v2) Less secure authentication methods: Microsoft Encrypted Authentication version 2 (MS-CHAP-v2) User can change password after it has expired Microsoft Encrypted Authentication (MS-CHAP) User can change password after it has expired

我们已经testing了不同的RADIUS服务器,没有提到上述补丁,并且删除了EAP作为authenticationtypes,并取得了成功。

有没有人遇到过这个问题?

我打算把这个放在这里,因为我昨天经历了这个,我的第一次search引起了我的这个问题。

正如ALF4提到的那样,问题最终导致了太多的根证书。 它发生在Windows更新到根证书之后。

我们通过更改registry来解决此问题,以防止NPS服务器向客户端发送受信任的根证书列表。

防止NPS向客户端发送受信任的根证书

  • 打开registry键到以下键:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  • 创build一个新的DWORDSendTrustedIssuerList并将其设置为0 (false)

这立即解决了问题,客户端可以再次连接。

特别感谢Brian指出KB933430 ,尽pipe它是Windows Server 2003,但是它修复了我们的Server 2008和Server 2008 R2机箱。

2012年12月,当微软在2012年12月11日搞错了更新KB931125,意外地将root cert更新应用到客户端和服务器 ,而这个应用只应用于客户端时,这个问题就已经出现了。 这将数百个第三方根证书添加到服务器上的受信任的根证书列表中,导致您显示的问题。

花了我很长时间才发现它,但是MS有一篇文章和修补程序,可在KB2801679“安装KB 931125后的SSL / TLS通信问题” 。在Windows Update和WSUS上发生故障的更新已过期,但是如果您已经应用它, 您可以通过运行所有受影响的服务器上的文章中提供的修复程序来清理根证书列表

我认为它以比上面提到的registry黑客或手动证书清理更干净的方式修复了原因。

如果您希望手动执行此操作,则修复本质上是删除所有第三方根证书,之后将自动从Windows Update中重新创build所有必需的证书。 只要确保你已经同步了WSUS并接受了KB931125的到期。

删除以下registry项:

HKEY_LOCAL_MACHINE \ SOFTWARE \微软\ SystemCertificates \ AuthRoot \证书

修复它似乎为我工作,没有重新启动或其他更新。 我删除了在Jason的回答中提到的registry修改,并且仍然能够通过NPSvalidationWi-Fi。

根证书! 你有太多的被派遣,因此“形成严重”。 删除过期的尽可能多的缩小列表,它会重新开始工作。

http://support.microsoft.com/kb/933430 。 我使用方法3,并备份和运行。