none
NPS Event 6273 reason code 16 but user can connect afterwards

    Question

  • We are trying to set up RADIUS authentication with our cisco-switches. I got one switch to test the whole thing and it is working okay. Only the logon-process is quite slow. We are using NPS on Windows Server 2012 R2.

    When having a look at the event log, I see for every login-attempt up to five events: the first three deny the login with a reason code 16, the other two grant the access to the switch. So at the end, the user is logged on to the switch and everything fine, but it took some time I'd love to have reduced. 

    Here is the output for one login-attempt I did today (sorry for the german, but I hope it might still help. For security-reasons, I changed the IPs and domain-names): 

    1 (deny):

    Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

    Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

    Benutzer:
    Sicherheits-ID: NULL SID
    Kontoname: hellwig
    Kontodomäne: domainname
    Vollqualifizierter Kontoname: domainname\hellwig

    Clientcomputer:
    Sicherheits-ID: NULL SID
    Kontoname: -
    Vollqualifizierter Kontoname: -
    Betriebssystemversion: -
    Empfänger-ID: -
    Anrufer-ID: cuputerip

    NAS:
    NAS-IPv4-Adresse: switchip
    NAS-IPv6-Adresse: -
    NAS-ID: -
    NAS-Porttyp: Virtuell
    NAS-Port: 1

    RADIUS-Client:
    Clientanzeigenname: switchname
    Client-IP-Adresse: switchip

    Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie: Windows-Authentifizierung für alle Benutzer verwenden
    Netzwerkrichtlinienname: -
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: radiusservername.domain.de
    Authentifizierungstyp: PAP
    EAP-Typ: -
    Kontositzungs-ID: -
    Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode: 16
    Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

    2. (deny)
    Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

    Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

    Benutzer:
    Sicherheits-ID: NULL SID
    Kontoname: hellwig
    Kontodomäne: domainname
    Vollqualifizierter Kontoname: domainname\hellwig

    Clientcomputer:
    Sicherheits-ID: NULL SID
    Kontoname: -
    Vollqualifizierter Kontoname: -
    Betriebssystemversion: -
    Empfänger-ID: -
    Anrufer-ID: cuputerip

    NAS:
    NAS-IPv4-Adresse: switchip
    NAS-IPv6-Adresse: -
    NAS-ID: -
    NAS-Porttyp: Virtuell
    NAS-Port: 1

    RADIUS-Client:
    Clientanzeigenname: switchname
    Client-IP-Adresse: switchip

    Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie: Windows-Authentifizierung für alle Benutzer verwenden
    Netzwerkrichtlinienname: -
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: radiusservername.domain.de
    Authentifizierungstyp: PAP
    EAP-Typ: -
    Kontositzungs-ID: -
    Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode: 16
    Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

    3.(deny):

    Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

    Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

    Benutzer:
    Sicherheits-ID: NULL SID
    Kontoname: hellwig
    Kontodomäne: domainname
    Vollqualifizierter Kontoname: domainname\hellwig

    Clientcomputer:
    Sicherheits-ID: NULL SID
    Kontoname: -
    Vollqualifizierter Kontoname: -
    Betriebssystemversion: -
    Empfänger-ID: -
    Anrufer-ID: cuputerip

    NAS:
    NAS-IPv4-Adresse: switchip
    NAS-IPv6-Adresse: -
    NAS-ID: -
    NAS-Porttyp: Virtuell
    NAS-Port: 1

    RADIUS-Client:
    Clientanzeigenname: switchname
    Client-IP-Adresse: switchip

    Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie: Windows-Authentifizierung für alle Benutzer verwenden
    Netzwerkrichtlinienname: -
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: radiusservername.domain.de
    Authentifizierungstyp: PAP
    EAP-Typ: -
    Kontositzungs-ID: -
    Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode: 16
    Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

    4. (grant)

    Der Netzwerkrichtlinienserver hat einem Benutzer Vollzugriff erteilt, da der Host die Integritätsrichtlinien erfüllt.

    Benutzer:
    Sicherheits-ID: domainname\hellwig
    Kontoname: hellwig
    Kontodomäne: domainname
    Vollqualifizierter Kontoname: domain.de/Security Einstellungen Desktop Berechtigungen InHaus/alles offen ausser Proxy Einstellungen/hellwig

    Clientcomputer:
    Sicherheits-ID: NULL SID
    Kontoname: -
    Vollqualifizierter Kontoname: -
    Betriebssystemversion: -
    Empfangs-ID: -
    Anrufer-ID: cuputerip

    NAS:
    NAS-IPv4-Adresse: switchip
    NAS-IPv6-Adresse: -
    NAS-ID: -
    NAS-Porttyp: Virtuell
    NAS-Port: 1

    RADIUS-Client:
    Clientanzeigename: switchname
    Client-IP-Adresse: switchip

    Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtline: Windows-Authentifizierung für alle Benutzer verwenden
    Netzwerkrichtlinienname: Cisco-SW
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: radiusservername.domain.de
    Authentifizierungstyp: PAP
    EAP-Typ: -
    Kontositzungs-ID: -

    Quarantäneinformationen:
    Ergebnis: Vollzugriff
    Erweitertes Ergebnis: -
    Sitzungs-ID: -
    Hilfe-URL: -
    Verifizierungsergebnis(se) der Systemintegrität: -

    5.(granted):

    Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.

    Benutzer:
    Sicherheits-ID: domainname\hellwig
    Kontoname: hellwig
    Kontodomäne: domainname
    Vollqualifizierter Kontoname: domain.de/Security Einstellungen Desktop Berechtigungen InHaus/alles offen ausser Proxy Einstellungen/hellwig

    Clientcomputer:
    Sicherheits-ID: NULL SID
    Kontoname: -
    Vollqualifizierter Kontoname: -
    Betriebssystemversion: -
    Empfänger-ID: -
    Anrufer-ID: cuputerip

    NAS:
    NAS-IPv4-Adresse: switchip
    NAS-IPv6-Adresse: -
    NAS-ID: -
    NAS-Porttyp: Virtuell
    NAS-Port: 1

    RADIUS-Client:
    Clientanzeigename: switchname
    Client-IP-Adresse: switchip

    Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie: Windows-Authentifizierung für alle Benutzer verwenden
    Netzwerkrichtlinienname: Cisco-SW
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: radiusservername.domain.de
    Authentifizierungstyp: PAP
    EAP-Typ: -
    Kontositzungs-ID: -
    Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

    Quarantäneinformationen:
    Ergebnis: Vollzugriff
    Sitzungs-ID: -

    I'm kinda new to the whole World of RADIUS, so sorry if the question is somehow strange. I've read through different threads, but the only problem similar to mine is https://social.technet.microsoft.com/Forums/windowsserver/en-US/3af9ae2b-cdc4-4bf2-8310-eb155e9b5d8d/nps-event-id-6273-with-reason-code-16-but-users-are-able-to-connect?forum=winserverNIS which wasn't solved, I guess. 


    Wednesday, May 09, 2018 11:18 AM

All replies

  • Hi,

    Thanks for your question.

    The Event ID 6273, Reason Code 16 said that, "Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect."

    Please check if the NPS connection policy or GPO for domain firewall setting to reject the request from clients.

    The first policy in the ordered list of network policies is checked. If there are no network policies configured in NPS, the connection request is rejected.

    If all the conditions of the policy do not match the connection request, NPS moves on to and evaluates the next policy. If there are no more policies, NPS rejects the connection request.

    More detailed information, you may refer to the following link,

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd197420(v%3dws.10)

    In addition, I found an answer from the link you posted, it may be helpful.

    <<The router had to be configured to pass MSCHAPv2 (instead of PAP).  After that change (and others on the router) is still didn't work.  The Cisco then copied the 'Share Secret' from the running config and pasted in the RADIUS clients config.  After restarting the services, it worked. 

    Hope above information can help you.

    Highly appreciate your successive effort and time. If you have any questions and concerns, please feel free to let me know.

    Best regards,

    Michael 


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    Thursday, May 10, 2018 7:43 AM
  • Hello Michael,

    thank you for your answer.

    Sadly, it doesn’t help with my problem. As I already wrote: The user can connect tot he switch afterwards and isn’t permanently rejected. The logs I gave in my posting, I took from one single logon.

    So I try to login, give the switch my username and password and I wait. In the background, server is trying to do so for 5 different times. The first 4 are always rejected with event 6273 reason 16, the other two are permittet with Event ID 6272 and 6278. Now the switch let's me work in it's cli. 

    Our policies on the server are quite simple – first one is for logon on the switches. It says, that if the user is in a specified group and the manufacturer is cisco, the access is allowed. Anything else is denied.  Looking that I can logon, it seems to work so far.

    I already read through that thread you took your quote from. But they all had the problem they coudln’t login at all. I can – that’s what confuses me. Still I tried to work with the password between switch and server, but it has no affection on the login behavior.

    Also, I asked my other colleagues to login, thinking maybe something in my profile might be the problem. But they all can logon – but get three to four denies in forehand.

    Sorry if I’m hard to understand. I’d love to get to the ground of this problem, but I have no idea where else I could look at the moment.

    Thank you for your help.

    Sarah

    Update: 

    I took a deeper look into the events logged and noticed something, which could be the problem from my stand of view here: In all the denies, the server takes a look at the Connection Request Policy Name ("Name der Verbindungsanforderungsrichtlinie: Windows-Authentifizierung für alle Benutzer verwenden") but it doesn't take a deeper look at the Network Policy Name ("Netzwerkrichtlinienname: - "). Whereas when the request is accepted in the next two logs, it looks at both the things (Authentifizierungsdetails: Name der Verbindungsanforderungsrichtlinie: Windows-Authentifizierung für alle Benutzer verwenden Netzwerkrichtlinienname: Cisco-SW")

    Also, when I didn't try to login via radius for a while, it gives me another event in between the rejects and accepts (Event ID 4400) which states, that the server now established a connection with the domain controller. 
    To me that sounds like the radius first looks in it's local user database for the given username - which it can't find, since the AD sits on the domain controller. Just the moment, as the NPS notices that, it asks the AD and finds what it is searching for.

    Can that be the problem? And if so: is there a way to tell the radius to look at the domain-controller directly?

    • Edited by moondance14 Friday, May 11, 2018 11:47 AM Found another idea
    Friday, May 11, 2018 8:51 AM