none
2008 NPS+無線802.1x 驗證問題

    問題

  • 小弟公司最近在測試2008 NPS+無線802.1x PEAP驗證當作使用者NB上網時的管控,

    原本就已經有架CA Server,已把企業根憑證部署到測試機的電腦,NPS Server也註冊完憑證,

    目前測試可與AP Controller以WPA安全性順利連線,一且以為正常,結果沒想到與內部主機發生連線問題,

    Ping與Trace都正常但卻無法存取,對外連線也不通,在Proxy上(ISA)的紀錄看到使用者是anonymous被拒絕,除了網頁內部的網路磁碟存取也都不通。

    感覺起來應該是缺乏使用者帳號驗證導致各項存取都異常,跟AP Controller是以電腦憑證做認證而不是使用者

    試過NB開機時如果插著網路線登入網域之後再拔除網路線,這樣一來後續內外部以無線802.1x 存取都正常

    不曉得各位先進,要如何讓NB在無線狀況下能使用者登錄網域與無線802.1x 電腦驗證一次做完呢?


    環境:
    1.NPS Server & Client端都有安裝CA的根憑證
    2.NPS Server 有安裝電腦憑證
    3.Client端同時有安裝使用者憑證與電腦憑證
    4.確認NPS Server 同時具備 DC
    5.NPS的Network Policy裡面所允許的存取權限是Domain Computers

    2010年3月1日 上午 10:56

解答

  • 的確從EventLog上看起來驗證是通過的

    如果換一台AP就可以,這台AP就不行
    我覺得是這台AP上面的設定有關係,因為我在你的提供的ETL檔案裡面看到下面一行資訊

    RepairOption:  檔案及列印共用資源 (imt-fs1.xxx.com) 已連線,但並未回應連線嘗試。遠端電腦未回應連接埠 445 的連線,這可能是防火牆或安全性原則設定所造成,或遠端電腦暫時無法使用。Windows 在具有防火牆的電腦上找不到任何問題。

    可能是這台AP上面的設定有阻擋port 445 , 導致無法正常連線Share Folder



    建議你可以用下面方式測試一下

    1.在Client端上面安裝Telnet , 然後執行 telnet servername 445 , 看是否有出現錯誤訊息 , 沒訊息表示是有通的 , 有錯誤訊息表示沒通

    2.為了確定問題點,麻煩使用Network Monitor 3.3去蒐集一下Client端連線 \\server\sharefolder 時的資訊 (分別在Client端 & Server端蒐集)
    這樣可以確認是否Client端有送出封包,但是Server端沒有收到 (表示中間設備阻擋掉)

    PS:麻煩覆上Client端IP , Server端IP 資訊

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已標示為解答 Vincent Lin 2010年3月6日 下午 04:09
    2010年3月5日 上午 03:56
  • Sorry~現在才來回報。

    結果好笑的是Aruba原廠的人把我家的帳號設成了Guest,這樣當然造成可以接得上卻沒任何權限的問題,冏~~

    哀...太依賴原廠就是會發生這種天兵現象><

    • 已標示為解答 Vincent Lin 2010年3月29日 上午 07:12
    2010年3月29日 上午 06:52

所有回覆

  • 麻煩你提供一下下面資訊,如果資訊更多比較好協助你處理問題

    1.Client端的系統是什麼? Client & Server的Service Pack版本為何?

    2.Client端的無線網路802.1x設定是否可以截圖給大家看看(上傳到網路上如http://www.badongo.com)  PS:盡量每個畫面都截取

    3.NPS裡面的802.1x驗證方式是PEAP ,  裡面的EAP類型是 EAP-MSCHAP v2? 還是智慧卡和其它憑證

    4.無線AP上面的驗證方式是使用WPA-Person還是WPA-Enterprise?

    5.NPS Server上面的Radius Client是否有設定為無線AP

    6.內部的Share Folder無法存取的話錯誤訊息是什麼?

    7.把NPS Server上面的事件檢視器內所有事件紀錄都點右鍵 - 另存事件 , 然後壓縮上傳到下面網址 (進入後直接輸入密碼)
       檢查看看是否驗證過程有問題
       https://sftasia.one.microsoft.com/choosetransfer.aspx?key=556ed802-944b-4007-9ff9-0cc466e421f4
       密碼: gH*3G]qrf89Lr@

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年3月3日 上午 02:41
  • Dear Vincent大:

    感謝您的回應,我蒐集的資訊如下:

    1.Client端的系統是什麼? Client & Server的Service Pack版本為何?
    ---Client Windows XP& 7, Server: Windows 2008 Standard SP2

    2.Client端的無線網路802.1x設定是否可以截圖給大家看看
    ---Client與Server設定截圖已上傳  http://www.badongo.com/file/20978161

    3.NPS裡面的802.1x驗證方式是PEAP ,  裡面的EAP類型是 EAP-MSCHAP v2? 還是智慧卡和其它憑證
    ---是PEAP 類型是EAP-MSCHAP v2

    4.無線AP上面的驗證方式是使用WPA-Person還是WPA-Enterprise?
    --無線AP Controller驗證方式WPA-Enterprise

    5.NPS Server上面的Radius Client是否有設定為無線AP
    --已有建立Radius Client

    6.內部的Share Folder無法存取的話錯誤訊息是什麼?
    ---在上述badongo

    7.把NPS Server上面的事件檢視器內所有事件紀錄
    ---已上傳至  https://sftasia.one.microsoft.com/choosetransfer.aspx?key=556ed802-944b-4007-9ff9-0cc466e421f4


    我再補述一下目前測試進度,目前環境所使用的AP Controller是 Aruba,屬於我們這棟大樓的總公司管轄(我們是附屬子公司)

    為了釐清是否是Aruba的問題,我們自己架設了一台buffalo AP設定為802.1x 與WPA-Enterprise測試,後來發現一樣的Client設定卻完全正常沒問題,但詢問廠商與總公司IT在網路路由層測試tracertc後發現確實request有由Aruba回到我們家core switch並沒有網路層的問題,廠商認為驗證已通過並且網路層路由也沒問題,已不是他們問題,但我們自己用小AP卻又都正常,所以現在就要釐清問題點壓。

    在NPS Log裡Aruba Radius ID:Aruba-1,buffalo  Radius ID:test
    從log看來是都通過驗證沒問題了><





    2010年3月4日 上午 09:42
  • 的確從EventLog上看起來驗證是通過的

    如果換一台AP就可以,這台AP就不行
    我覺得是這台AP上面的設定有關係,因為我在你的提供的ETL檔案裡面看到下面一行資訊

    RepairOption:  檔案及列印共用資源 (imt-fs1.xxx.com) 已連線,但並未回應連線嘗試。遠端電腦未回應連接埠 445 的連線,這可能是防火牆或安全性原則設定所造成,或遠端電腦暫時無法使用。Windows 在具有防火牆的電腦上找不到任何問題。

    可能是這台AP上面的設定有阻擋port 445 , 導致無法正常連線Share Folder



    建議你可以用下面方式測試一下

    1.在Client端上面安裝Telnet , 然後執行 telnet servername 445 , 看是否有出現錯誤訊息 , 沒訊息表示是有通的 , 有錯誤訊息表示沒通

    2.為了確定問題點,麻煩使用Network Monitor 3.3去蒐集一下Client端連線 \\server\sharefolder 時的資訊 (分別在Client端 & Server端蒐集)
    這樣可以確認是否Client端有送出封包,但是Server端沒有收到 (表示中間設備阻擋掉)

    PS:麻煩覆上Client端IP , Server端IP 資訊

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已標示為解答 Vincent Lin 2010年3月6日 下午 04:09
    2010年3月5日 上午 03:56
  • Dear Vincent大:

    剛測試了telnet fileserver 445確認是沒通的
    也用NM 去抓了封包比對,因為這塊比較不懂,大至看來是有去無回的狀態

    已經約廠商下禮拜到公司來實際查看,屆時再回報大家

    感謝~
    2010年3月5日 上午 08:31
  • 如果可以的話,可以上傳封包檔案給我,我可以幫忙看看:)
    我也滿想知道問題是怎樣..XD

    Thanks
    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年3月5日 上午 08:46
  • Sorry~現在才來回報。

    結果好笑的是Aruba原廠的人把我家的帳號設成了Guest,這樣當然造成可以接得上卻沒任何權限的問題,冏~~

    哀...太依賴原廠就是會發生這種天兵現象><

    • 已標示為解答 Vincent Lin 2010年3月29日 上午 07:12
    2010年3月29日 上午 06:52
  • 不好意思...

     

    小弟最近的Project也需要搞2008 NPS + 無線802.1x PEAP

     

    請問有沒有教學,可供參考??

    2010年4月3日 上午 07:16
  • 不好意思...

     

    小弟最近的Project也需要搞2008 NPS + 無線802.1x PEAP

     

    請問有沒有教學,可供參考??

    2010年4月3日 上午 07:16