none
Использование NAP SHC RRS feed

  • Общие обсуждения

  • Добрый день. Помогите пожалуйста решить данную проблему.

    Есть сервер на Windows Server 2012 Standart с поднятой ролью NAP.

    В организации установлена Wi-FI сеть с политикой разрешения соединения при наличии на машине сертификата машины в AD. Данная политика модерируется добавлением компонента SHV. Проблема в том, что независимо от конфигурации данного компонента, соединение не устанавливается.

    Для тестирования была добавлена политика на пропуск только NAP совместимых клиентов. Соединение по прежнему не устанавливается.При снятии условия на проверку совместимости NAP соединение устанавливается.

    На клиентской машине в оснастке napclcfg активированы все клиенты принудительной защиты и сервис napagent так же включен, что по логике должно сделать клиент NAP совместимым.

    Далее направляю логи.

    Помогите пожалуйста. Что именно неверно в конфигурации, как я понимаю, NAP клиента? Клиент работает под Windows 7 Enterprise x86

    Лог клиента:

     Выполнен запрос на проверку подлинности беспроводной сети.

    Субъект:
    Код безопасности: Domainname\administrator
    Имя учетной записи: administrator
    Домен учетной записи: Domainname
    Код входа: 0x2f1aa

    Сведения о сети:
    Имя (SSID): ED_WIFI
    GUID интерфейса: {b197af0b-ac1f-4d85-8662-6730e1dee231}
    Локальный MAC-адрес: 00:1E:65:D6:14:EE
    Одноранговый MAC-адрес: 00:1F:CA:50:04:31

    Дополнительные сведения:
    Код причины: Получена явная ошибка EAP (0x50005)
    Код ошибки: 0x40420110
    Код причины EAP: 0x40420110
    Строка основной причины EAP: Не удалось выполнить проверку подлинности сети из-за проблемы с учетной записью пользователя

    Код ошибки EAP: 0x40420110

    Лог сервера:

    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
    Security ID: Domainname\administrator
    Account Name: administrator@domainname.ru
    Account Domain: Domainname
    Fully Qualified Account Name: DOMAINNAME\administrator

    Client Machine:
    Security ID: NULL SID
    Account Name: -
    Fully Qualified Account Name: -
    OS-Version: -
    Called Station Identifier: 00-1f-ca-50-04-30:ED_WIFI
    Calling Station Identifier: 00-1e-65-d6-14-ee

    NAS:
    NAS IPv4 Address: 192.168.90.35
    NAS IPv6 Address: -
    NAS Identifier: Cisco_vWLC1
    NAS Port-Type: Wireless - IEEE 802.11
    NAS Port: 1

    RADIUS Client:
    Client Friendly Name: WLC
    Client IP Address: 192.168.81.141

    Authentication Details:
    Connection Request Policy Name: Wireless Request Policy
    Network Policy Name: -
    Authentication Provider: Windows
    Authentication Server: napserver.domainname.local
    Authentication Type: EAP
    EAP Type: -
    Account Session Identifier: -
    Logging Results: Accounting information was written to the local log file.
    Reason Code: 48
    Reason: The connection request did not match any configured network policy.

    30 июня 2014 г. 6:01

Все ответы

  • Привет,

    Поссмотрите следующие ссылки:

    How to Turn On Network Access Protection?

    Microsoft Network Access Protection (Simple setup)


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор
  • Спасибо большое зза ваш ответ, очень сильно продвинулся в данном направлен.

    Теперь правда проблема выглядит по другому, хотя по факту она все та же.

    Подключение производится через 802.1x политику. Соответственно включается сервис dot3svc на клиентской машине.

    При его активации соединение проходит и авторизуется. IP адрес компьютер получает из изолированного пула. Причина этому, что политика перекидывает его туда, тк компьютер NAP несовместим.

    Интересен тот момент, что на клиентской машине под правами администратора я не могу включить поддержку NAP на сетевом адаптере. Как я понимаю, в данном случае нужно обратиться к средствам групповой политики?