locked
NPS 2008 - Event 6273 - Code 269 - Le client et le serveur ne peuvent pas communiquer car ils ne possèdent aucun algorithme commun. RRS feed

  • Question

  • Bonjour,

    J'ai installé un serveur NPS sur 2008 R2 pour authentifier des clients WIFI via PEAP. Les postes sous Windows 7 peuvent se connecter, par contre pour les postes sous XP, j'ai ce message d'erreur :

    Le serveur NPS a refusé l’accès à un utilisateur.

    Contactez l’administrateur du serveur NPS pour plus d’informations.
    Utilisateur :
    ID de sécurité : ****\*******
    Nom de compte : ****\*******
    Domaine de compte : ****
    Nom de compte complet : ****\*******
    Ordinateur client :
    ID de sécurité : NULL SID
    Nom de compte : -
    Nom de compte complet : -
    Version du système d’exploitation : -
    Identificateur de la station appelée : 0024.97b6.XXXX
    Identificateur de la station appelante : 001f.3b2a.XXXX
    Serveur NAS :
    Adresse IPv4 du serveur NAS : 172.20.XX.XX
    Adresse IPv6 du serveur NAS : -
    Identificateur du serveur NAS : ap
    Type de port du serveur NAS : Sans fil - IEEE 802.11
    Port du serveur NAS : 306
    Client RADIUS :
    Nom convivial du client : nps-01
    Adresse IP du client : 172.20.XX.XXX
    Informations détaillées sur l’authentification :
    Nom de la stratégie de demande de connexion : Use Windows authentication for all users
    Nom de la stratégie réseau : WIFI_105
    Fournisseur d’authentification : Windows
    Serveur d’authentification :XXX.XXX.NET
    Type d’authentification : PEAP
    Type EAP : -
    Identificateur de la session du compte : -
    Résultats de la journalisation : Les informations de suivi ont été inscrites dans le fichier journal local.
    Code raison : 269
    Raison : Le client et le serveur ne peuvent pas communiquer car ils ne possèdent aucun algorithme commun.
    Le problème de configuration est il sur le client ou sur le serveur ? Doit installer un KB sur le client ? Changer une stratégie sur le serveur ?

    Merci par avance de vos réponses.
    lundi 18 janvier 2010 11:45

Réponses

  •  

     *** SOLUTION TROUVEE ***

     

    En fait, le problème provenait du fait que le certificat indiqué sur le serveur pour l'échange de clef n'était pas le bon.

     

    Pour corriger le problème, aller dans :

    -Console d'administratio NPS

    -Policies >Network Policies > "Votre stratégie d'accès" (obligatoire, s'il y en a pas,créait là !)

    -Dans votre stratégie :

           -Onglet "constraints "

           -Sélectionner "authentification methods " (à gauche), puis la ligne présente dans "EAP Types " > "edit"

           - Dans "Certificate issued ", choisir le certificat adéquat

     

    ATTENTION !!

    Bien penser à redémarrer le service du serveur NPS à chaque modification

     

    PROBLEME ORIGINAL :

    impossible de se connecter en VPN PPTP EAP (PEAP) via XP SP3. Avec Seven Pro cela fonctionnait sans problème.

    CONCLUSION :

    connexion dorénavant possible avec Seven et XP

     

    Pour le wifi, il se peut que cela soit légèrement différent. Mais le principe reste le même.

    mardi 13 avril 2010 21:25

Toutes les réponses

  • Passage du SP3 sur les XP ?
    Maxence Derieppe -- Consultant Overlap Groupe -- MCITP Windows Server - Exchange -- derieppe-maxence.blogspot.com
    mardi 19 janvier 2010 13:14
  • Ils sont déjà en SP3 :(
    mardi 19 janvier 2010 13:20
  • Bonjour,

     

    Vous avez regardé ce lien : http://technet.microsoft.com/fr-fr/library/cc735399(en-us,WS.10).aspx

     

    Cordialement,

     

    Roxana


    Roxana Panait, MSFT
    lundi 25 janvier 2010 10:43
  • Oui, ce n'est aucune de raisons indiquées sur cette page.

    Pour moi, c'est la négociation SSL qui échoue car mon xp n'arrive et le 2008 R2 ne trouvent pas un alogirthme commun.
    lundi 25 janvier 2010 11:02
  • Des messages d'erreurs dans les événements relatifs aux certifcats coté serveurs et clients ?
    Si c'est un probleme de nego, tu dois avoir des erreurs à te mettre sous la dent... 
    Maxence Derieppe -- Consultant Overlap Groupe -- MCITP Windows Server - Exchange -- http://derieppe-maxence.blogspot.com
    mardi 26 janvier 2010 10:49
  • Bonjour,

    Quel type d'EAP est paramétré sur les postes XP? De mémoire, si c'est à base de MD5, celui-ci n'est plus supporté à partir de 2008.

    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    lundi 1 février 2010 18:18
  • Bonjour Karie,

    Je suis également dans la même situation que toi. Les postes en Windows Seven peuvent se connecter, mais pas ceux en Windows XP SP3. En comparant les logs d'une connexion VPN sur mon serveur j'ai pu remarqué (et toi aussi je pense) que ces deux points différenciés :

    ************************************************
    LOG CONNEXION VIA SEVEN :

    Authentication Details:
        Connection Request Policy Name:    Accès VPN
        Network Policy Name:        Accès VPN PPTP
        Authentication Provider:    Windows
        Authentication Server:        XXX
        Authentication Type:        PEAP
        EAP Type :            Microsoft: Secured password (EAP-MSCHAP v2)
        Account Session Identifier:    3237

    ************************************************
    CONNEXION VIA XP SP3

    Authentication Details:
        Connection Request Policy Name:    Accès VPN
        Network Policy Name:        Accès VPN PPTP
        Authentication Provider:    Windows
        Authentication Server:        XXX
        Authentication Type:        PEAP
        EAP Type:              -
        Account Session Identifier:    3138
        Logging Results:        Accounting information was written to the local log file.
        Reason Code:            269
        Reason:                The client and server cannot communicate, because they do not possess  a common  algorithm.
    ************************************************

    On remarque donc que la ligne "EAP Type" est vide dans une connexion via XP SP3. Or le type EAP utilisé est MSCHAP v2, et il encore supporté, contrairement au MD5 comme il est cité plus haut.

    Ce qui est curieux, c'est que avant j'avais exactement le même serveur (EAP + MSCHAPv2) mais sous Server 2003 R2 est il n'y avait aucun soucis avec XP et Seven.

    ==> Le problème provient donc du NPS ou du Firewall (à ne pas oublier) de Server 2008 (R2 ?). J'ai essayé de "purger" au maxium les filtres dans <NPS/POLICIES> mais cela n'a rien changé.

    Peut être as-tu du nouveau ?
    lundi 1 mars 2010 10:19
  • Bonjour,

    J'ai également le même problème que Karie (2008R2) pour mes connexions wifi et aucune solution.

    Il y a effectivement un probleme au niveau de la negociation SSL.

    Logs:

    "An TLS 1.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed."

    Auriez-vous des news à ce sujet?

    Merci d avance

    mardi 13 avril 2010 15:31
  •  

     *** SOLUTION TROUVEE ***

     

    En fait, le problème provenait du fait que le certificat indiqué sur le serveur pour l'échange de clef n'était pas le bon.

     

    Pour corriger le problème, aller dans :

    -Console d'administratio NPS

    -Policies >Network Policies > "Votre stratégie d'accès" (obligatoire, s'il y en a pas,créait là !)

    -Dans votre stratégie :

           -Onglet "constraints "

           -Sélectionner "authentification methods " (à gauche), puis la ligne présente dans "EAP Types " > "edit"

           - Dans "Certificate issued ", choisir le certificat adéquat

     

    ATTENTION !!

    Bien penser à redémarrer le service du serveur NPS à chaque modification

     

    PROBLEME ORIGINAL :

    impossible de se connecter en VPN PPTP EAP (PEAP) via XP SP3. Avec Seven Pro cela fonctionnait sans problème.

    CONCLUSION :

    connexion dorénavant possible avec Seven et XP

     

    Pour le wifi, il se peut que cela soit légèrement différent. Mais le principe reste le même.

    mardi 13 avril 2010 21:25