none
Windows Server 2012 R2, Radius, NPS y Wirelless controller Cisco RRS feed

  • Pregunta

  • Buenas tardes Toda la comunidad,

    Actualmente estoy sumergido con este proyecto para implementar en la empresa, el poder usar el radius windows server, con NPS y Wirelless controller CISCO. ( WS 2012 R2 y 2504 Wireless Controller )

    Me he guiado de algunas paginas web como :

    http://www.cisco.com/c/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000.html

    https://bitacoraderedes.com/2013/09/17/configuracion-de-un-servidor-radius-es-windows-server-2012-parte-3/

    http://www.fatdex.net/php/2013/09/23/configuring-nps-on-server-2012-with-cisco-wlc-part-1/

    Pero hasta el momento no logro configurar correctamente, si alguien puede darme algun guia o algo.

    El LOG de windows me informa el error:

    Network Policy Server denied access to a user.
    Contact the Network Policy Server administrator for more information.
    User:
    Security ID: DOMINIO\lriveraa
    Account Name: DOMINIO\lriveraa
    Account Domain: DOMINIO
    Fully Qualified Account Name: DOMINIO.local/MIEMPRESA/Sistemas/Lazaro Rivera
    Client Machine:
    Security ID: NULL SID
    Account Name: -
    Fully Qualified Account Name: -
    OS-Version: -
    Called Station Identifier: 84-b2-61-56-5f-30:TESTMIST
    Calling Station Identifier: 5c-c5-d4-88-80-33

    NAS:
    NAS IPv4 Address: 172.18.1.13
    NAS IPv6 Address: -
    NAS Identifier: Cisco_10:d3:a4
    NAS Port-Type: Wireless - IEEE 802.11
    NAS Port: 1

    RADIUS Client:
    Client Friendly Name: Template of PuntosAccesos
    Client IP Address: 172.18.1.13

    Authentication Details:
    Connection Request Policy Name: Secure Wireless Connections 1
    Network Policy Name: Connections to other access servers
    Authentication Provider: Windows
    Authentication Server: milmcsrv01.DOMINIO.local
    Authentication Type: EAP
    EAP Type: -
    Account Session Identifier: 35376565396534382F35633A63353A64343A38383A38303A33332F37323532
    Logging Results: Accounting information was written to the local log file.
    Reason Code: 65
    Reason: The Network Access Permission setting in the dial-in properties of the user account in Active Directory is set to Deny access to the user. To change the Network Access Permission setting to either Allow access or Control access through NPS Network Policy, obtain the properties of the user account in Active Directory Users and Computers, click the Dial-in tab, and change Network Access Permission.

    Ya hice algunos cambios en la configuración pero el mismo error persiste.


    viernes, 30 de septiembre de 2016 23:29

Respuestas

  • Hola Lazaro, primero hay que ver que hay dos opciones para permitir el acceso: por máquina o por usuario, dependiendo de cómo lo tengas configurado es que asignar el permiso para que aplique la "Remote Access Policy"

    Si el W7 tiene todas las actualizaciones no debería tener ningún problema a mi entender, y es lo recomendable

    Respecto a las GPOs, dependiendo de si haz actualizado las Plantillas Administrativas tendrás las de del servidor, las de W7, o las de W10

    Desconozco que configuraciones de GPO estás poniendo, pero si usas las Plantillas administrativas, conviene que las tengas actualizadas a la última versión (W10), y a la vez cada una dice para qué versión de sistema operativo es válida

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 14 de octubre de 2016 19:46
    • Marcado como respuesta Moderador M jueves, 20 de octubre de 2016 14:02
    viernes, 14 de octubre de 2016 18:49
    Moderador

Todas las respuestas

  • Hola Lazaro Rivera, no es un tema que se pueda tratar fácilmente en un foro como este, habría mucho que revisar, además de los datos que pones

    Pero hay algo en la última parte de tu mensaje que ya muestra claramente un error:

    Dice que el usuario tiene "Deny" en el permiso de acceso remoto, y que debes cambiarlo. Para que lo pueda procesar la directiva del NPS, debe estar en "Control access through NPS Network Policy"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 4 de octubre de 2016 16:49
    • Marcado como respuesta Moderador M lunes, 10 de octubre de 2016 14:16
    • Desmarcado como respuesta Moderador M viernes, 14 de octubre de 2016 19:45
    lunes, 3 de octubre de 2016 10:14
    Moderador
  • Bueno aqui un detalle.

    Me olvide de decir que el cliente era windows 7 pro.

    No se si por usar un controlador de dominio con windows server 2012 R2  hace que algunas políticas no se apliquen bien al S.O windows 7.

    Acabo de integrar un equipo con s.o. windows 10 al dominio y el radius y NAP funciono sin problema. 

    Revise los log y se aplico sin problema. entonces mi inconveniente ocurre con las PC que tengan windows 7.

    Hay algún parche de seguridad o de compatibilidad que aya lanzado Microsoft para ello.


    • Editado Bullrem viernes, 14 de octubre de 2016 18:34
    viernes, 14 de octubre de 2016 18:34
  • Hola Lazaro, primero hay que ver que hay dos opciones para permitir el acceso: por máquina o por usuario, dependiendo de cómo lo tengas configurado es que asignar el permiso para que aplique la "Remote Access Policy"

    Si el W7 tiene todas las actualizaciones no debería tener ningún problema a mi entender, y es lo recomendable

    Respecto a las GPOs, dependiendo de si haz actualizado las Plantillas Administrativas tendrás las de del servidor, las de W7, o las de W10

    Desconozco que configuraciones de GPO estás poniendo, pero si usas las Plantillas administrativas, conviene que las tengas actualizadas a la última versión (W10), y a la vez cada una dice para qué versión de sistema operativo es válida

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 14 de octubre de 2016 19:46
    • Marcado como respuesta Moderador M jueves, 20 de octubre de 2016 14:02
    viernes, 14 de octubre de 2016 18:49
    Moderador