none
PKI + NPS Radius + Wi-Fi аутентификация проблема RRS feed

  • Вопрос

  • Добрый день, очень нужно помощь знающих или кто уже сталкивался с такой проблемой.

    Компании поднята структура  Windows Server 2008 R2 SP1 AD DS, DNS, AD CS, DHCP, сертификация собранна на базе RootCA а после SubCA который является сам же домент котролер, после на нем же было поднято NPS для аторизации беспроводных пользователей. также в сети каждый компьютер и пользователь получает сертификат от Sertification authority.

    Мои проблема в том что когда пользователь пытается подключится к радиус серверу у него это не получается и в просмотре логах сервера пишется следующая ошибка:

    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
        Security ID:            NULL SID
        Account Name:            host/Conference.domain.com
        Account Domain:            domain
        Fully Qualified Account Name:    domain\CONFERENCE$

    Client Machine:
        Security ID:            NULL SID
        Account Name:            -
        Fully Qualified Account Name:    -
        OS-Version:            -
        Called Station Identifier:        12-18-D6-91-FB-89:Radius
        Calling Station Identifier:        4C-80-93-22-BB-36

    NAS:
        NAS IPv4 Address:        192.168.1.15
        NAS IPv6 Address:        -
        NAS Identifier:            0418d690fb89
        NAS Port-Type:            Wireless - IEEE 802.11
        NAS Port:            0

    RADIUS Client:
        Client Friendly Name:       Radius
        Client IP Address:            192.168.1.15

    Authentication Details:
        Connection Request Policy Name:    Secure Wireless Connections
        Network Policy Name:        -
        Authentication Provider:        Windows
        Authentication Server:        SRV01
        Authentication Type:        PEAP
        EAP Type:            -
        Account Session Identifier:        -
        Logging Results:            Accounting information was written to the local log file.
        Reason Code:            23
        Reason:                An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

    буду рад любой помощи уже мучаюсь пару дней в интернете как такого решения не нашел!




    • Изменено dkarapetian 17 сентября 2015 г. 7:54
    15 сентября 2015 г. 5:52

Ответы

  • После долгих решений выявилось, что проблема была на сервера с сертификатом SRV01, был заменен и после все заработало! 
    • Помечено в качестве ответа dkarapetian 17 сентября 2015 г. 7:53
    17 сентября 2015 г. 7:53

Все ответы


  •     Reason:                An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

    буду рад любой помощи уже мучаюсь пару дней в интернете как такого решения не нашел!



     Ну, и что у вас там в логах EAP (по умолчанию они должны быть в C:\WINOWS\System32\LogFiles)

    Слава России!

    15 сентября 2015 г. 16:06
  • а по конкретнее можно, там их

    много разных файлов

    15 сентября 2015 г. 17:54
  • eapol.log, кажется.

    Слава России!

    15 сентября 2015 г. 18:58
  • На англоязычном Technet в аналогичном случае была проблема с сертификатами.

    Проверьте сертификаты, используемые самим NPS и клиентами (каким-нибудь конкретным) - нет ли в них проблем (например, со списком отзыва):

    certutil -f –urlfetch -verify [FilenameOfCertificate]<o:p></o:p>


    Слава России!

    16 сентября 2015 г. 9:55
  • На англоязычном Technet в аналогичном случае была проблема с сертификатами.

    Проверьте сертификаты, используемые самим NPS и клиентами (каким-нибудь конкретным) - нет ли в них проблем (например, со списком отзыва):

    certutil -f –urlfetch -verify [FilenameOfCertificate]<o:p></o:p>


    Слава России!

    Вы имеете ввиду сертификат самого сервера на котором стоит NPS ?
    16 сентября 2015 г. 11:17
  • Прежде всего - самого сервера.

    Потом - одного из клиентов, например, упомянутого компьютера MKARSANIDZE 


    Слава России!

    16 сентября 2015 г. 13:07
  • Прежде всего - самого сервера.

    Потом - одного из клиентов, например, упомянутого компьютера MKARSANIDZE 


    Слава России!

    Ок тогда вот ответ:

    Exclude leaf cert:
      c3 c2 c4 e2 dd 77 b7 05 ba 82 dd 1c ed 50 df c2 cc d8 24 fd
    Full chain:
      dd 82 68 7f 9a 5c e4 5f 71 b9 e6 7a ef 85 d4 9a 38 56 fe ca
    ------------------------------------
    Verified Issuance Policies: None
    Verified Application Policies:
        1.3.6.1.5.5.7.3.1 Server Authentication
        1.3.6.1.5.5.7.3.2 Client Authentication
    Leaf certificate revocation check passed
    CertUtil: -verify command completed successfully.

    16 сентября 2015 г. 13:30
  • После долгих решений выявилось, что проблема была на сервера с сертификатом SRV01, был заменен и после все заработало! 
    • Помечено в качестве ответа dkarapetian 17 сентября 2015 г. 7:53
    17 сентября 2015 г. 7:53