none
Windows 10 Client NPS身份认证问题 RRS feed

  • 问题

  • Dear Sir,

    企业部署有Windows 2008 R2 NPS Server,只针对是否加入域电脑进行身份认证审核,Windows7均正常,但Windows10 Client出现问题。

    环境:

      • AD: Windows 2012,部署NAP组策略(Windows7启动NAP服务+Wired AutoConfig服务,Windows10启动安全中心服务+Wired AutoConfig服务)
      • NPS: Windows 2008 R2
      • Client: Windows 7Windows 10,均加入Windows域,并确认隶属于Domain Computers
      • NPS 网路策略(802.1x有线符合策略)
      1. NAS端口 Ethernet
      2. Windows组:Domain Computers

    现象:

    1. Windows 7有线网络接入身份认证正常
    2. Windows 10有线网络接入身份认证经常失败

    NPS日志如下,NPS似乎无法获得Windows10电脑账户信息

    身份认证正常(Windows 7)

    身份认证失败(Windows 10)

    2015年12月24日 9:08

全部回复

  • 您好,

    我们已经大概理解了关于您的问题的信息。Windows 7 可以验证NPS但是Windows 10却不可以。我们推断Windows 10的网络连接可能不被你们设置的网络策略允许。

    您可以尝试改变这个策略。

    您也可以参考以下链接获取更多关于此Event ID的信息。

    https://technet.microsoft.com/en-us/library/cc735399%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Best Regards

    Simon 


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.


    2015年12月25日 5:27
    版主
  • 您好,

    我们已经大概理解了关于您的问题的信息。Windows 7 可以验证NPS但是Windows 10却不可以。我们推断Windows 10的网络连接可能不被你们设置的网络策略允许。

    您可以尝试改变这个策略。

    您也可以参考以下链接获取更多关于此Event ID的信息。

    https://technet.microsoft.com/en-us/library/cc735399%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Best Regards

    Simon 


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.


    Dear Sir,

    我的NPS Server网路策略,已经有上述条件设置,请参加以下截图

    2015年12月28日 6:39
  • 您好,

    如果在网络策略配置的配置端没有问题,我建议您查看一下Client端的配置信息。打开“网络与共享中心" > "更改适配器设置”。 右击您的以太网卡 > “属性” > “Authentication” tab. 对比一下里面的设置是否与Windows 7相同。如果有不同的设置,您可以将此设置改成和Windows 7 相同的设置。如下图,

    Best Regards

    Simon 


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2015年12月30日 1:52
    版主
  • Dear Sir,

    Windows10 Client NAP环境配置与Windows7相同,都是套用同样组策略配置的。从NPS日志看,似乎是因为NPS得不到Windows10 Client的电脑账号信息,从而导致审核失败:

    网络策略服务器已拒绝授予某个用户的访问。

    有关详细信息,请与网络策略服务器管理员联系。

    用户:

           安全 ID:                 ITC\xxxxxx

           帐户名称:               ITC\xxxxxx

           帐户域:                  ITC

           完全限定的帐户名称:       ITC\xxxxxx

    客户端计算机:

           安全 ID:                 NULL SID

           帐户名称:               -

           完全限定的帐户名称:       -

           OS 版本:                -

           已调用的站标识符:          20-3A-07-91-42-07

           正在调用的站标识符:              84-34-97-21-20-09

    NAS:

           NAS IPv4 地址:              10.x.x.x

           NAS IPv6 地址:              -

           NAS 标识符:                  -

           NAS 端口类型:               以太网

           NAS 端口:                     50007

    RADIUS 客户端:

           客户端友好名称:             Cisco2960_IT

           客户端 IP 地址:                     10.x.x.x

    身份验证详细信息:

           连接请求策略名称:   NAP 802.1X (有线)

           网络策略名称:         Connections to other access servers

           身份验证提供程序:          Windows

           身份验证服务器:             NPS01.X.X

           身份验证类型:         PEAP

           EAP 类型:                     Microsoft: 安全密码(EAP-MSCHAP v2)

           帐户会话标识符:             -

           日志记录结果:                将记帐信息写入本地日志文件。

           原因代码:               65

           原因:                            在 Active Directory 中将用户帐户的拨入属性中的网络访问权限设置设置为拒绝用户访问。若要将网络访问权限设置更改为允许访问通过 NPS 网络策略控制访问权限,请在 Active Directory 用户和计算机中获取用户帐户的属性,单击拨入选项卡,然后更改网络访问权限

    2015年12月30日 6:00
  • 这是我们Windows10 Client配置环境

    2015年12月30日 6:13
  • 您好,

    如果您的网络访问被NPS拒绝,Client是没有访问权限的。但是根据您的截图,我注意到您现在的PC是有网络访问权权限的。所以我推断是否是Server端的NPS策略有问题。 我建议您可以把这个问题贴到Server论坛寻求更多的帮助。

    https://social.technet.microsoft.com/Forums/windowsserver/zh-cn/home?category=Windowsserver

    The reason why we recommend posting appropriately is you will get the most qualified pool of respondents, and other partners who read the forums regularly can either share their knowledge or learn from your interaction with us.

    Thank you for your understanding.

    Best Regards

    Simon


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2015年12月31日 2:08
    版主
  • Dear Sir,

    我的Windows10 Client被NPS拒绝后,交换机会将其隔离到一个独立网络,所以截图上看Client有网络连接。

    我也将问题发到Server论坛看下有无其它原因。

    感谢!

    2015年12月31日 3:03
  • 你好,我这边也遇到同样的问题,请问你的NPS问题解决了吗?
    2017年7月23日 8:46
  • 你好,我这边也遇到同样的问题,请问你的NPS问题解决了吗?

    解决了, 把Windows 10的802.1x身份认证改为仅计算机认证, 可以解决这个问题.

    希望对你有帮助.

    2017年7月24日 2:55
  • 你好,由于我们需要以域账号的认证作为获取不同vlan的依据,想具体与你讨论一下你们的情况,可否加一下我QQ?2422188175,麻烦你了~
    2017年8月4日 6:33