none
Win7无法连接公司的无线,但手机或Win10都可以 RRS feed

  • 问题

  • 公司用Win2012R2+NPS做的RADIUS服务器,用来验证WPA2-Enterprise无线网络,Win7的客户端比较少,用了一段时间才发现WIn7是不能验证成功的,但Win10和手机都可以。

    NPS上日志报错:

    原因:
    由于用户凭据不匹配,身份验证失败。提供的用户名未映射到现有用户帐户或密码错误。

    Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.

    NPS配置

    Win10通过计算机账户证书验证通过,手机通过账号密码验证通过,Win7也应该是用账户密码验证,但是失败。

    无线网络设备即RADIUS客户端有多台,思科和飞塔提供的无线网络有同样的问题,因此应该与网络硬件无关。请求各位帮助排错。感谢!

    2019年7月15日 11:24

答案

  • 我重新更新的证书模板,Radius服务器得到的新证书里面使用者一项是FQDN,然后WIn7就可以正常连接了

    老外的文章里面说的是对的。

    EAP验证是双向的,Win7也会验证服务器提供的证书,如果该证书使用者一项为空,服务器不会向Win7出示此证书,或者即使出示了Win7认为此证书无效,这样就验证失败了。

    • 已标记为答案 R_LIU 2019年8月8日 9:51
    2019年8月8日 9:50

全部回复

  • 你好,

    你这个报错除了用户密码不正确之外,应该就是证书错误了。

    请到客户端的事件日志中看一下验证结果。

    Event Viewer>Application and Services Log>Microsoft>Windows>WLAN-AutoConfig>Operation 

    如果是证书失败,那么就检查WIFI的配置文件,修改身份验证的方法。

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月16日 2:57
    版主
  • 你好,客户端错误日志如下:

    无线 802.1x 身份验证失败。

    网络适配器: Intel(R) Dual Band Wireless-AC 8260
    接口 GUID: {c1e83fb2-96cc-41ed-af68-722aca3bbedf}
    本地 MAC 地址: 34:F6:4e:3A:04:33
    网络 SSID: Wecure
    BSS 类型: Infrastructure
    对等 MAC 地址: 00:81:C4:32:97:E9
    标识: 123@abc.com
    用户: 123
    域: CN
    原因: 接收到显式 EAP 失败
    错误: 0x80074005
    EAP 原因: 0x4005
    EAP 根源字符串: 
    EAP 错误: 0x4005

    2019年7月16日 7:13

  • 看了这篇文章,说是如果NPS验证的证书里面使用者一项是空白,会影响Win7的无线验证,无论是否勾选客户端上PEAP中验证服务器证书一项。所以怎么才能实现Win7验证呢?用域账号和密码验证就行。

    https://www.catapultsystems-com/blogs/mystery-solved-windows-7-and-windows-8-treat-validate-server-certificate-differently-in-802-1x/

    -com改.com

    2019年7月16日 7:19
  • 你好,

    那么在无线网络属性 - >安全设置中取消选中“通过验证证书来验证服务器的身份”。


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月16日 7:22
    版主
  • 你好,

    可以使用其他的验证方法,不要使用EAP,比如chapv2。


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月16日 7:24
    版主
  • 无论是否勾选客户端上PEAP中验证服务器证书一项, Win7都不能连接,即使按照要求输入用户名和密码也验证不通过。
    2019年7月16日 7:41
  • 那样NPS需要做哪些配置修改呢?

    2019年7月16日 7:43
  • 你好,

    你们配置了证书了吗?如果使用PEAP,那么是需要证书的。

    如果只是使用账户密码登录,那么可以使用其他的验证方法。

    如图,如果你没有在conditions里配置验证方法,那么只要在constraints里修改验证方法。比如我截图中使用的是MS-CHAP-v2。


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月16日 7:50
    版主
  • 同一个SSID,Win10连接时就用PEAP,配置了证书(但是使用者一项是空,因此Win7不能连接),Win7连接时就用chapv2, 上图中2项都已勾选,还勾选了下面ms-chap一项。

    但是Win7不能连接,报错。  还有什么需要配置的吗?谢谢

    2019年7月16日 8:00
  • 你好,

    我不是很明白你的意思。

    win10用eap和证书验证,win7使用chapv2验证,对吗?

    报错还是一样吗?

    你单独为win7创建一个新的policy试试呢。


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月16日 8:08
    版主
  • 试过了,新策略在旧策略下面,Win7仍然不成功。

    如果新策略在旧策略上面,Win10的验证会受影响

    2019年7月17日 2:19
  • 你好,

    这个不应该啊,客户端只要满足一条NPS策略就可以连接,应该不会出现win10验证受影响的。

    另外,Win7上不能使用PEAP和证书吗?

    那么尝试使用EAP的chapv2的验证方法呢

    选择网络身份验证方法设置为Microsoft Protected EAP(PEAP)。设置完成后,单击“设置”。

    出现“受保护的EAP属性”窗口时,不应选中“验证服务器证书”。选择身份验证方法设置为(EAP-MSCHAP v2)。



    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月17日 7:17
    版主
  • 不选中“验证服务器证书”,也不行,试过多次了。

    所以我才找到了这篇文章,说是如果NPS验证的证书里面使用者一项是空白,会影响Win7的无线验证,无论是否勾选客户端上PEAP中验证服务器证书一项。

    https://www.catapultsystems-com/blogs/mystery-solved-windows-7-and-windows-8-treat-validate-server-certificate-differently-in-802-1x/

    https://docs.microsoft-com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731363(v=ws.11)

    -com改成.com


    • 已编辑 R_LIU 2019年7月18日 1:11
    2019年7月18日 0:36
  • 而且我们的NPS验证的证书里面使用者一项刚好是空白的.

    我猜测Win7认为这样的服务器证书有问题,导致验证失败, Win8 win10对此无所谓

    无论是PEAP还是EAP-MSCHAP v2,都要用到证书,Win7认为这样的证书都有问题

    • 已编辑 R_LIU 2019年7月18日 1:59
    2019年7月18日 0:36
  • 你好,

    那你怎么配置证书模板的?

    如果你要使用者名称,那么在模板里配置使用者名称的格式。


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月18日 7:33
    版主
  • 我负责网络的,没有域的管理权限,所以正在想办法绕过去。不知道还能不能绕过去?证书必须要有使用者名字?
    2019年7月18日 10:08
  • 你好,

    一般来说,证书是用FQDN来注册的,但是不清楚win7是否有特别的要求。我对证书了解不是很深。

    其实之前我提到,对win7使用chapv2这样的验证方法,应该行的通的。

    不过,使用证书的话比较安全。

    祝您工作顺利!


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月19日 6:57
    版主
  • 你好,

    请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月23日 6:20
    版主
  • 我重新更新的证书模板,Radius服务器得到的新证书里面使用者一项是FQDN,然后WIn7就可以正常连接了

    老外的文章里面说的是对的。

    EAP验证是双向的,Win7也会验证服务器提供的证书,如果该证书使用者一项为空,服务器不会向Win7出示此证书,或者即使出示了Win7认为此证书无效,这样就验证失败了。

    • 已标记为答案 R_LIU 2019年8月8日 9:51
    2019年8月8日 9:50
  • 非常好,我收藏了!
    2019年8月8日 9:58