none
Windows 2008 R2 NPS对Windwos 10 Client认证问题 RRS feed

  • 问题

  • Dear Sir,

    企业部署有Windows 2008 R2 NPS Server,只针对是否加入域电脑进行身份认证审核,认证成功允许接入公司网络,认证失败则隔离到独立网络。目前Windows7均正常,但Windows10 Client出现问题。

    环境:

      • AD: Windows 2012,部署NAP组策略(Windows7启动NAP服务+Wired AutoConfig服务,Windows10启动安全中心服务+Wired AutoConfig服务)
      • NPS: Windows 2008 R2
      • Client: Windows 7Windows 10,均加入Windows域,并确认隶属于Domain Computers
      • NPS 网路策略(802.1x有线符合策略)
      1. NAS端口 Ethernet
      2. Windows组:Domain Computers

    现象:

    1. Windows 7有线网络接入身份认证正常
    2. Windows 10有线网络接入身份认证失败

    Windows 10 Client认证失败NPS日志如下,NPS似乎无法获得Windows10电脑账户信息:

    网络策略服务器已拒绝授予某个用户的访问。

    有关详细信息,请与网络策略服务器管理员联系。

    用户:

           安全 ID:                 ITC\xxxxxx

           帐户名称:               ITC\xxxxxx

           帐户域:                  ITC

           完全限定的帐户名称:       ITC\xxxxxx

    客户端计算机:

           安全 ID:                 NULL SID

           帐户名称:               -

           完全限定的帐户名称:       -

           OS 版本:                -

           已调用的站标识符:          20-3A-07-91-42-07

           正在调用的站标识符:              84-34-97-21-20-09

    NAS:

           NAS IPv4 地址:              10.x.x.x

           NAS IPv6 地址:              -

           NAS 标识符:                  -

           NAS 端口类型:               以太网

           NAS 端口:                     50007

    RADIUS 客户端:

           客户端友好名称:             Cisco2960_IT

           客户端 IP 地址:                     10.x.x.x

    身份验证详细信息:

           连接请求策略名称:   NAP 802.1X (有线)

           网络策略名称:         Connections to other access servers

           身份验证提供程序:          Windows

           身份验证服务器:             NPS01.X.X

           身份验证类型:         PEAP

           EAP 类型:                     Microsoft: 安全密码(EAP-MSCHAP v2)

           帐户会话标识符:             -

           日志记录结果:                将记帐信息写入本地日志文件。

           原因代码:               65

           原因:                            在 Active Directory 中将用户帐户的拨入属性中的网络访问权限设置设置为拒绝用户访问。若要将网络访问权限设置更改为允许访问通过 NPS 网络策略控制访问权限,请在 Active Directory 用户和计算机中获取用户帐户的属性,单击拨入选项卡,然后更改网络访问权限

    我已在Windows论坛发布此问题尚未找到原因:https://social.microsoft.com/Forums/zh-CN/dedb748d-8890-43b7-a80b-3ff638f66387/windows-10-client-nps?forum=window7betacn

    以上请教是否NPS Server针对Windows 10需要进行调整?

    谢谢!

    2015年12月31日 3:10

全部回复

  • Dear Sir,

    发现个现象:

    1. Windows 10 Client开机启动,用户尚未登录域账号时,从NPS日志看,审核是成功的:

    网络策略服务器已授予某个用户完全访问权限,因为主机已满足定义的健康策略。

    用户:
     安全 ID:   ITC\hostname$
     帐户名称:   host/hostname.domain
     帐户域:   ITC
     完全限定的帐户名称: ITC\hostname$

    客户端计算机:
     安全 ID:   NULL SID
     帐户名称:   -
     完全限定的帐户名称: -
     OS 版本:   -
     被调用站标识符:  20-3A-07-91-42-07
     调用站标识符:  84-34-97-21-20-09

    NAS:
     NAS IPv4 地址:  10.xxx.xxx.xxx
     NAS IPv6 地址:  -
     NAS 标识符:   -
     NAS 端口类型:   以太网
     NAS 端口:   50007

    RADIUS 客户端:
     客户端友好名称:  Cisco2960_IT
     客户端 IP 地址:   10.xxx.xxx.xxx

    身份验证详细信息:
     连接请求策略名称: ITC NAP 802.1X (有线)
     网络策略名称:  1.ITC NAP 802.1X (有线) 符合
     身份验证提供程序:  Windows
     身份验证服务器:  NPS.xxx.xxxxx
     身份验证类型:  PEAP
     EAP 类型:   Microsoft: 安全密码(EAP-MSCHAP v2)
     帐户会话标识符:  -

    隔离信息:
     结果:    完全访问
     扩展结果:   -
     会话标识符:   -
     帮助 URL:   -
     系统健康验证程序结果: -

    2. 而当用户从Windows 10登录域账号后,则NPS日志马上显示审核失败,但NPS网络策略并未设置对域用户进行身份认证。

    网络策略服务器已拒绝授予某个用户的访问。

    有关详细信息,请与网络策略服务器管理员联系。

    用户:
     安全 ID:   ITC\username
     帐户名称:   ITC\username
     帐户域:   ITC
     完全限定的帐户名称: ITC\username

    客户端计算机:
     安全 ID:   NULL SID
     帐户名称:   -
     完全限定的帐户名称: -
     OS 版本:   -
     已调用的站标识符:  20-3A-07-91-42-07
     正在调用的站标识符:  84-34-97-21-20-09

    NAS:
     NAS IPv4 地址:  10.xxx.xxx.xxx
     NAS IPv6 地址:  -
     NAS 标识符:   -
     NAS 端口类型:   以太网
     NAS 端口:   50007

    RADIUS 客户端:
     客户端友好名称:  Cisco2960_IT
     客户端 IP 地址:   10.xxx.xxx.xxx

    身份验证详细信息:
     连接请求策略名称: ITC NAP 802.1X (有线)
     网络策略名称:  Connections to other access servers
     身份验证提供程序:  Windows
     身份验证服务器:  NPS.xxx.xxxxx
     身份验证类型:  PEAP
     EAP 类型:   Microsoft: 安全密码(EAP-MSCHAP v2)
     帐户会话标识符:  -
     日志记录结果:   将记帐信息写入本地日志文件。
     原因代码:   65
     原因:    在 Active Directory 中将用户帐户的拨入属性中的网络访问权限设置设置为“拒绝用户访问”。若要将网络访问权限设置更改为“允许访问”或“通过 NPS 网络策略控制访问权限”,请在 Active Directory 用户和计算机中获取用户帐户的属性,单击“拨入”选项卡,然后更改“网络访问权限”。

    2015年12月31日 8:12
  • 你好!

    非常抱歉,NAP从Windows 10起被取消了。

    详细信息,请参考以下文档:

    https://msdn.microsoft.com/en-us/library/windows/desktop/aa369712(v=vs.85).aspx

    希望这对你有帮助!


    Steven Lee Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2016年1月5日 7:43
    版主
  • Dear Sir,

    这样的话,如果希望对Windows 10启用基于 IEEE 802.1X 身份验证,还有怎样的解决方案吗?

    NPS网络身份认证需求为,仅审核Windows 10是否为域内电脑,不对电脑作健康检查。

    谢谢!




    2016年1月5日 8:01
  • Dear Sir,

    发现这样的现象:

    1.Windows 2008 R2 NPS Server网络策略,如仅设置域用户组条件,当Windows10加入域并使用域用户组内账号登入,则网络身份认证正常,Windows10接入网络正常;

    2.Windows 2008 R2 NPS Server网络策略,如设置有计算机组条件,虽然Windows10已加入域且属于网络策略的计算机条件组,网络身份认证仍会失败,无法接入公司网络;

    2016年1月6日 5:42
  • 你好,

    我在你另一个发在Client论坛的Case中发现你的802.1x的验证模式是”计算机或用户“。

    请将其改为仅使用计算机验证。然后再次尝试。

    希望这对你有帮助!


    Steven Lee Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2016年1月7日 6:49
    版主
  • Dear Steven,

    按您的建议,802.1x验证模式改为“仅计算机”,原来一直认证失败的Win10,可以通过认证,正常取得IP。

    但今天新装的一台Win10,加入域,套用相同GPO设置好Win10 802.1x验证环境,加入同样的计算机组,先尝试开机通过无线以域帐号登入域,一切正常后,有线网卡接到交换机启用802.1x认证端口,Client端显示身份认证失败,无法正常获取ip,奇怪的是,NPS段日志看,显示这台电脑是审核成功的记录。

    这台新装的Win10除了尚未激活,其它环境配置与另一台认证成功的Win10相同:套用的相同GPO,属于同一个域计算机组,交换机端口配置也相同。

    烦请再帮忙看哪里可能有问题?新装的Win10还有什么特别服务需要启动吗?还是没激活的原因?

    另外,还发现,只要NPS网络策略的条件中,同时有域用户组和计算机组,即便Win10 802.1x验证模式改为“用户或计算机身份认证”,登录帐号和计算机帐号符合NPS条件,基本均会认证失败。

    谢谢!

    2016年1月19日 9:13