none
Windows Serveur 2019 - NPS RADIUS RRS feed

  • Question

  • Bonjour,
    Je suis actuellement en BTS SIO 2ème année et je prépare l'épreuve nommé E4. J'ai 4 ans d'ancienneté dans l'informatique en tant qu'apprentis.

    Toutes les machines communiquent normalement entre elles, tous les pare-feu sont désactivés, toutes les machines sont dans le domaine et toutes les manipulations ont été faite depuis le compte Administrateur domaine.

    Ce qui me pose problème est le NPS. J'ai d'ailleurs deux questions à ce sujet :

    1/ Après l'ajout du rôle NPS sur mon serveur, je n'arrive pas à l'inscrire dans l'active directory (erreur: vous n'avez pas les droits nécessaires..etc) - Pourtant le serveur est loggé avec l'administrateur du domaine, et a été ajouté manuellement au groupe "Serveurs RAS et IAS".
     -> A des fins de test le rôle a été ajouté sur l'AD où celui-ci s'est bien inscrit dans le domaine

    Pourquoi et/ou comment je peux inscrire le Serveur NPS dans le domaine ?



    2/ Que ce soit depuis le serveur AD ou depuis le Serveur Radius, lors de la tentative de connexion en WiFi au réseau E4.LOCAL, wireshark m'indique que le serveur radius réponds : server access_reject
    J'ai une stratégie de réseau qui autorise les utilisateurs du domaine à se connecter et c'est tout.
    Le client radius est bien déclaré au niveau du serveur radius

    Savez-vous d'où cela pourrait venir ?


    Je vous remercie,

    dimanche 24 mars 2019 18:16

Réponses

  • AH J'AI COMPRIS LE PROBLÈME !

    Outre le faite que l'un de mes certificats devaient être moisi, il s’avère que le problème principale ce situait au niveau du paramétrage de ma borne WiFi.

    J'étais en mode WPA2 Entreprise en version WPA2 et en "encryption" AES - lorsque le paramètre "encryption" est passé en "automatique" cela a fonctionné du premier coup (bon 40 secondes d'attente avant validation.. mais ça passe)

    Je ne sais pas si je dois poser la question pourquoi radius n'est pas ami avec l'AES ou si je clos juste ce sujet sur cette résolution...



    • Modifié [BHO] Ben mardi 16 avril 2019 21:48 EUREKA
    • Marqué comme réponse [BHO] Ben mercredi 17 avril 2019 07:32
    mardi 16 avril 2019 19:39

Toutes les réponses

  • Bonjour, êtes vous sur d'être bien connecté en "administrateur du domaine" et non pas en "administrateur local".

    Faites un "Whoami" en ligne de commande pour savoir ou vous êtes.

    Si besoin tester avec un autre compte admin du domaine.

    lancer la commande suivante:  netsh nps add resgistered server

    Pour la partie 2, vous n'avez pas tout configurer je pense.

    Pouvez-vous vérifier le point suivant: https://www.thebaud.com/connexion-wifi-entreprise-sur-un-ad2012r2/

    N'hésitez pas à vérifier le répertoire de logs (voir configuration de votre NPS), les journaux d’événements...

    Egalement un lien qui correspond à votre problème: https://social.technet.microsoft.com/Forums/fr-FR/ddf5d6a6-e6d6-4e55-ba76-d26aa9db79b9/authentification-refuse-sur-serveur-nps?forum=windowsserver8fr

    Cordialement.

    lundi 25 mars 2019 07:43
  • Bonjour,

    1/ Merci pour votre réponse, comme indiqué plus haut, je suis bien connecté en administrateur domaine, j'ai déjà testé la commande netsh nps add registered server qui n'a pas résolut mon problème

    2/ J'ai déjà vérifié le répertoire des logs qui, soit je ne sait pas les lire, soit ne m'indique pas de code d'erreur.

    Le lien fournit finissant par "ad2012r2/" indique bien la procédure que j'ai suivit j'ai par ailleurs effectué d'autre test avec plus et moins de paramètres

    Pour la résolution du problème similaire par la création d'un nouveau certificat, cela semble être une bonne piste, je vais me renseigner pour voir et comprendre comment ça marche

    lundi 25 mars 2019 11:58
  • J'ai effectué une ré-installation, et checké les certificats au niveau du protocole EAP - J'ai ré-effectué l'installation du serveur radius complètement, et j'ai pu avancé un tout petit peu.

    Je me suis appuyer sur ce tutoriel : https://www.virtualizationhowto.com/2018/12/installing-configuring-troubleshooting-windows-server-2019-nps-as-radius/

    (notamment pour la commande powershell)

    => Désormais, les mobiles et sessions locales ont accès au WiFi via en utilisants les identifiants des utilisateurs domaines.

    MAIS dès qu'un ordinateur est loggé directement avec une session domaine, il est impossible de le connecter au WiFi


    • Modifié [BHO] Ben mardi 26 mars 2019 17:37 Ajout d'informations
    mardi 26 mars 2019 17:20
  • Bonjour, est ce que le radius est également configuré pour le réseau filaire?

    Cordialement. 

    mercredi 27 mars 2019 07:25
  • euh..? Non Parce que les clients ne sont pas reliés par câble au réseau..? 

    • Modifié [BHO] Ben mercredi 27 mars 2019 19:16 orthographe
    mercredi 27 mars 2019 18:02
  • Bonjour, désolé j'ai mal lu post ci-dessus, j'avais cru voir filaire et domaine.

    Là comme ça, il faudrait voir différentes règles configurées.

    Pouvez-vous m'envoyer des écrans?

    Cordialement.

    jeudi 28 mars 2019 07:04
  • Je ne sais pas, la dernière fois que j'ai voulut en mettre on m'as indiqué que je n'étais pas "vérifié" - peut-être peut-on le faire via discord ou yopmail ou autre chose ?
    vendredi 29 mars 2019 17:18
  • vous pouvez insérer des images, donc pas de soucis.Cordialement.

    vendredi 29 mars 2019 18:33
  • Je confirme qu'on m'indique que je ne peux pas placer d'image tant que mon compte n'a pas été validé

    Du coup j'ai fais une vidéo youtube accessible depuis le lien suivant : https://youtu.be/JWqgpARQwuU

    (il faut la regarder en pleine écran)

    • Modifié [BHO] Ben samedi 30 mars 2019 08:46 ajout d'informations
    samedi 30 mars 2019 08:35
  • Bonjour, merci pour ce retour.

    Un truc que je vois dans la vidéo.

    Dans la stratégie réseau, ajouter dans les conditions la condition concernant le  WIFI.

    Avez-vous essayer d’interpréter les logs NPS répertoires IAS (voir configuration dans NPS par défaut c:\Windows\system32\LogFiles).

    https://iso.csusb.edu/tools/nps-log-interpreter

    https://www.deepsoftware.com/iasviewer/help_viewingiasrecords.html

    Cordialement.

    dimanche 31 mars 2019 13:45
  • Bonjour,

    Navré de ma réponse tardive, oui j'ai tenté de les interpréter la seule "anomalie" que je constate c'est un code hexadécimal.

    Pour  citation :"Dans la stratégie réseau, ajouter dans les conditions la condition concernant le  WIFI."

    J'avais déjà effectué le test en cochant et décochant l'option sans voir de changement et dans les tutos croisés à droite à gauche la plus part ne présente pas se paramètre.. :(

    mercredi 3 avril 2019 05:52
  • Bonjour, vous avez la possibilité de copier/copier les quelques lignes du fichier de logs IAS?

    Cordialement.

    mercredi 3 avril 2019 06:25
  • "SRV-RADIUS","IAS",03/26/2019,18:33:45,11,,"E4.MLRD/UTIL_E4/Informatique/Admin reseau",,,,,,,,0,"10.0.70.2","TP-LINK",,,,,,,11,"UTIL_E4",0,"311 1 10.0.50.4 03/26/2019 17:00:18 78",30,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Utiliser l'authentification Windows pour tous les utilisateurs",1,,,,
    "SRV-
    
    RADIUS","IAS",03/26/2019,18:33:45,1,"adminres","E4.MLRD/UTIL_E4/Informatique/Admin reseau","0C-80-63-E5-93-8C","10-02-B5-77-51-D7",,,"RalinkAP0","10.0.70.2",0,0,"10.0.70.2","TP-LINK",,,19,,,,11,"UTIL_E4",0,"311 1 10.0.50.4 03/26/2019 17:00:18 79",,,,"Microsoft: Mot de passe sécurisé (EAP-MSCHAP version 2)",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Utiliser l'authentification Windows pour tous les utilisateurs",1,,,,
    "SRV-
    
    RADIUS","IAS",03/26/2019,18:33:45,2,,"E4.MLRD/UTIL_E4/Informatique/Admin reseau",,,,,,,,0,"10.0.70.2","TP-LINK",,,,,1,2,11,"UTIL_E4",0,"311 1 10.0.50.4 03/26/2019 17:00:18 79",,,,"Microsoft: Mot de passe sécurisé (EAP-MSCHAP version 2)",,,,,,,,,,,,,,,,,,,,,,,,,,,"0x014534",,,"Utiliser l'authentification Windows pour tous les utilisateurs",1,,,,

    A noter que ce matin, par magie, j'ai réussi à me connecter au réseau WiFi lorsqu'aucune session n'était logger sur l'ordinateur, je vais approfondir mes tests pour être sûr de comprendre (ou pas) ce qui ce passe. Lorsqu'une session domaine est ouverte sur le poste et que l'on veut se connecter au WiFi parfois ça passe et d'autre fois non.

    Ci-dessus voici les logs des derniers  tests qui ont échoué, ceux de ce matin je les gardes sous le coude pour le moment. Je les transmettrai si nécessaire mais ils sont similaire à ceux ci-dessus.

    J'ai effectué des recherches sur le code hexadécimal que j'avais trouvé qui semble juste indiqué la chaîne "E4" correspondant à une partie de mon domaine.. Rien de très utile par conséquent 


    Merci :)


    • Modifié [BHO] Ben jeudi 4 avril 2019 05:52 Ajout d'informations
    mercredi 3 avril 2019 19:31
  • Bonjour, ok merci pour votre retour.

    Pour moi les deux dernières lignes sont correctes.

    Le chiffre "1" près "18:33:45" indique une tentative d'accès et le chiffre "2" indique que l'utilisateur s'est bien authentifié sir le radius.

    N'hésitez pas à nous tenir au courant.

    Cordialement.

    jeudi 4 avril 2019 06:09
  • En regardant la généralité de mes logs la plus part des numéros sont 1 puis 11 sur une vingtaine de lignes

    j'ai aussi du 1 puis 3 qui ce suivent sur plusieurs lignes

    Où je peux trouver une doc expliquant les "états" (peut-être ?) du radius ?

    vendredi 5 avril 2019 07:37
  • Bonjour, oui 3 veut dire que l’authentification ne fonctionne pas.

    Si dessous la liste pour lire les erreurs:

    PACKET-TYPES

     1 = Access-Request

     2 = Access-Accept

     3 = Access-Reject

     4 = Accounting-Request

     5 = Accounting-Response

     6 = Accounting-Status

     7 = Password-Request

     8 = Password-Ack

     9 = Password-Reject

    10 = Accounting-Message

    11 = Access-Challenge

    21 = Resource-Free-Request

    22 = Resource-Free-Response

    23 = Resource-Query-Request

    24 = Resource-Query-Response

    25 = Alternate-Resource-Reclaim-Request

    26 = NAS-Reboot-Request

    27 = NAS-Reboot-Response

    29 = Next-Passcode

    30 = New-Pin

    31 = Terminate-Session

    32 = Password-Expired

    33 = Event-Request

    34 = Event-Response

    40 = Disconnect-Request

    41 = Disconnect-ACK

    42 = Disconnect-NAK

    43 = CoA-Request

    44 = CoA-ACK

    45 = CoA-NAK

    50 = IP-Address-Allocate

    51 = IP-Address-Release 

    Cordialement.

    vendredi 5 avril 2019 08:01
  • Merci pour cette information,

    Reste plus qu'à comprendre pourquoi l'access est rejeté - est-il possible qu'un paramètre au niveau de l'AD ou radius empêche les sessions domaines déjà loggé de se connecté au Wifi ?

    NB: J'ai rajouté le paramètre "type de port NAS" = sans fil IEEE 802.11

    vendredi 5 avril 2019 09:14
  • Vous avez configurer une clé de partage sur la borne wifi et le serveur Radius?

    Cordialement.

    vendredi 5 avril 2019 10:11
  • Oui, une clef simple de 6 caractère avec un caractère spéciale sans majuscule et deux chiffres
    samedi 6 avril 2019 07:29
  • Bonjour, je ne le vois pas sur la vidéo, comment est configurée la stratégie dans "Stratégie à la demande"?

    Le problème peut venir de là.

    Cordialement.

    dimanche 7 avril 2019 09:25
  • Bonjour,

    Désolé pour la réponse tardive.

    La strat à la demande est celle configurée par défaut indiquant une plage horaire de connexion pour les utilisateurs.

    1- Les paramètres sont d'autoriser les connexions sur les horaires suivantes :

    du lundi au dimanche de 00:00-24:00 (Onglet Conditions)

    2- Puis dans l'onglet "Paramètres" le seul paramètre configurer est "Authentification" qui correspond à :

    Authentifier les demandes sur ce serveur (Onglet Paramètres)

    Je vous remercie pour vos réponses et votre patience

    mercredi 10 avril 2019 06:15
  • Relance
    lundi 15 avril 2019 11:06
  • Bonjour, oui désolé.

    dans la règle Util_E4, je ne vois pas la condition concernant le WIFI.

    Exemple:

    Cordialement.

    lundi 15 avril 2019 12:17
  • Je viens de l'ajouter, malheureusement je n'ai pas la possibilité de tester mon client WiFi à distance, j'essaye dès que possible
    lundi 15 avril 2019 12:58
  • Pas de changement.. La connexion charge dans le vide pendant x temps avant de me dire "connexion impossible"

    Pendant que j'y pense le serveur radius est sur un vlan différent du client radius, est-ce que cela à une incidence ?

    lundi 15 avril 2019 15:12
  • Non ça ne gêne pas tant que le client radius arrive à communiquer avec le serveur.

    Quel est le code erreur dans les logs?

    Cordialement. 

    lundi 15 avril 2019 16:11
  • Je me suis rendu compte hier soir que le radius ne mettait plus à jour ses logs sous entendu qu'il ne reçoit plus rien.. J'ai un peu ragequit hier du coup puisque je n'ai rien toucher à la configuration et que plus rien ne fonctionne, mon client WiFi me faisant des blagues quand je le paramètres pour la PMAD je vais regarder ça de nouveau à tête plus reposé qu'hier  n'ayant pas d'accès physique avant ce soir..
    mardi 16 avril 2019 06:07
  • AH J'AI COMPRIS LE PROBLÈME !

    Outre le faite que l'un de mes certificats devaient être moisi, il s’avère que le problème principale ce situait au niveau du paramétrage de ma borne WiFi.

    J'étais en mode WPA2 Entreprise en version WPA2 et en "encryption" AES - lorsque le paramètre "encryption" est passé en "automatique" cela a fonctionné du premier coup (bon 40 secondes d'attente avant validation.. mais ça passe)

    Je ne sais pas si je dois poser la question pourquoi radius n'est pas ami avec l'AES ou si je clos juste ce sujet sur cette résolution...



    • Modifié [BHO] Ben mardi 16 avril 2019 21:48 EUREKA
    • Marqué comme réponse [BHO] Ben mercredi 17 avril 2019 07:32
    mardi 16 avril 2019 19:39
  • Bonjour, merci pour ton retour.

    A force de persévérance on y arrive toujours. :) 

    N'hésite pas à valider les réponses qui ont pu t'aider.

    Cordialement.




    mercredi 17 avril 2019 06:12