locked
wireless AP and server 08 NPS 請各位幫幫手! RRS feed

  • 問題

  • 小弟 想用server 08 來做AAA server 提供wifi  的驗證(效果是 user 可以用AD 的 account login wifi network)
    我上網找過一些資料 講用 NPS+ AD + AD CS 可以做到
    我試過 AD 中只有兩個user group 每個group 有一個user account
    我跟呢份文章做過一次 : http://techblog.mirabito.net.au/?p=87 (因為這文章用的硬體和小弟是一樣的)
    但我在試個 驗證時 輸入 user account and pw 佢會load 一會 跟住又要我打多一次 但打多一次後就出現失敗字句
    我去Server 看看 NPS 上會出現 Event 6273
    我也上網找了答案 說是CA 出問題 但我跟microsoft 的網設定了一次還是出現同樣問題

    以下是我的硬件:
    server OS: windows server 2008 (IP 192.168.1.10)
    AP: linksys wirless-G (192.168.10.4/24 )
    service: AD, AD CS, NPS , DHCP, DNS
    client OS: windows 7  
    L3 switch *1 (以set up 好 vlan routing and server 同 AP 是用兩個vlan 分別包住 試了server 可以ping 到AP)
    L2 switch *1
    2010年1月19日 下午 01:49

解答

  • 我指的Client端都是指Windows 7
    一般來說都是設定Client端要加入Domain才可以使用無線網路才對(你參考的教學也是這樣設定)

    建議你將Windows 7加入網域後..申請電腦憑證 & 使用者憑證後在測試看看 (透過MMC的方式去申請)

    PS:所有加入網域的電腦直接都會安裝CA的根憑證到信任的根憑證裡面

    Thanks
    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:) 微軟技術支援網站
    • 已標示為解答 Vincent Lin 2010年1月28日 上午 05:40
    2010年1月27日 上午 04:08

所有回覆

  • 先參考下面TechNet文章檢查看看
    我覺得應該是Network Policy的部份有問題所導致

    Event ID 6273 — NPS Authentication Status
    http://technet.microsoft.com/en-us/library/cc735399(WS.10).aspx

    Thanks

    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月21日 上午 08:19
  • 先參考下面TechNet文章檢查看看
    我覺得應該是Network Policy的部份有問題所導致

    Event ID 6273 — NPS Authentication Status
    http://technet.microsoft.com/en-us/library/cc735399(WS.10).aspx

    Thanks

    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹 將盛裝出席, 要一睹風采, 就趕快報名!!
    這個我有看過 也跟著試過
    還是出現同樣問題 event 6273
    • 已提議為解答 Vincent Lin 2010年1月22日 上午 03:28
    • 已取消提議為解答 Vincent Lin 2010年1月22日 上午 03:28
    2010年1月21日 上午 11:01
  • 可以的話把EventLog傳給我看看..對"系統" & "安全性"點右鍵 - 另存事件
    然後上傳到網路上(如http://www.badongo.com)

    另外你是使用憑證去做驗證嗎? 可以的話先變更為其它的驗證方式..如 PEAP-MSCHAPv2 看看是否正常

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月22日 上午 02:23
  • 先多謝 Vincent Lin 大大我現在 在家明天才可以補上EventLog
    但我仔細看了看event
    一開始我是用PEAP-MSCHAPv2 的 但出現 event 6273 reason code:22(The client could not be authenticated  because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.)
    後來我就改成用 PEAP 可還是出現 event 6273 但reason code 變成 16 (Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.)
    是不是我D NPS 沒連上AD ??
    2010年1月22日 上午 11:26
  • 先確認一下下面幾點

    1.NPS Server & Client端是否都有安裝CA的根憑證?
    2.NPS Server 是否有安裝電腦憑證?
    3.Client端是否有安裝使用者憑證 or 電腦憑證 (根據驗證方式不同)
    4.確認NPS Server & DC之間的通訊是否正常
    5.NPS的Network Policy裡面所允許的帳號是否有包含Client端的電腦帳號?

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月25日 上午 03:36
  • 謝謝回復!!
    1.NPS Server & Client端是否都有安裝CA的根憑證?
    NPS server 我有裝CA的根憑證 , 但您指的Client 是什麼呢?? AP or computer??

    2.NPS Server 是否有安裝電腦憑證?
    我有安裝電腦憑證, 但裝我時候 MMC>>File -> Add/Remove Snap-in >> Certificates (Local Computers) -> Personal >>Request new certificate 的時候 我一開始是找不到computer 的, 後來是 在Manage certificate templates 里把computer 的權限改了改 才可以在 Request new certificate 的時候找到computer!!

    3.Client端是否有安裝使用者憑證 or 電腦憑證 (根據驗證方式不同)
    因為我的client PC 是notebook 不是我domain 里的PC , 所以小弟不知道怎麼 安裝電腦憑證 去client PC, 還望大大 指教指教

    4.確認NPS Server & DC之間的通訊是否正常
    我試過NPS Server & DC之間 互ping 訊是正常的!!

    5.NPS的Network Policy裡面所允許的帳號是否有包含Client端的電腦帳號?
    我只允許了一個group 的帳號 試用 WiFi 而且 group 里也只有一個user acc!!

    我想問題大概是出在憑證方面!!  希望大大指教

    2010年1月27日 上午 04:01
  • 我指的Client端都是指Windows 7
    一般來說都是設定Client端要加入Domain才可以使用無線網路才對(你參考的教學也是這樣設定)

    建議你將Windows 7加入網域後..申請電腦憑證 & 使用者憑證後在測試看看 (透過MMC的方式去申請)

    PS:所有加入網域的電腦直接都會安裝CA的根憑證到信任的根憑證裡面

    Thanks
    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:) 微軟技術支援網站
    • 已標示為解答 Vincent Lin 2010年1月28日 上午 05:40
    2010年1月27日 上午 04:08
  • 原來是這樣!!!
    那就慘了 我一直 都做錯了
    因為我的目的是要讓沒有join 我的domain 的PC 都可以用 WiFi network
    因為不時會有一些客戶notebook 使用WiFi 網 (那他們的PC 因該都沒有join 我的domain 才對)
    有沒有方法可以做到這樣我效果呢??

    多謝指教!!
    2010年1月27日 上午 05:03
  • 我覺得可能要看你是否要讓他存取網域內的資源
    一般來說應該是不會希望讓外面的電腦可以隨意進入公司網域才對
    可能有資訊安全的考量(像是傳播病毒等等影響公司網路)

    而且基本上無線網路驗證的方式都是要網域的架構才可以(WPA-Enterprise,WPA2-Enterprise,802.1x)

    如果你沒有要讓他存取網域資源的話..只是要讓他上網
    可能要切出另一個網段專門是給外來電腦使用的..驗證方式就使用一般無線AP的方式就可以(WEP,WPA-PSK,WPA2-PSK..)

    Thanks
    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:) 微軟技術支援網站
    2010年1月27日 上午 05:33
  • 其實我現在就已經切出了一個網段 給WiFi network 用的
    我domain network 是172.18.x.x WiFi 是 192.168.10.X/24
    但如果是用 無線AP的驗證方式 就要把 key 告訴每一個  WiFi network 的使用者
    這樣一來 如果一換key 就又要通知使用者一次
    我見過有一個方法是 讓client 不用key 就可以login AP
    但一上網時就要client 輸入acc & PW 而話些 acc&pw 是AD 里的acc
    不知道要做到這個 效果 要什麼技術呢??
    多謝指教!!

    2010年1月27日 上午 05:57
  • 我知道有一種式讓客戶可以連到AP
    但是打開IE後會導到一個登入頁面..須要輸入帳號密碼才可以上網

    不過我沒有實際建置過..似乎要使用一些設備才可以
    可以參考下面新聞

    無線網路交換器Ruckus ZoneDirector 3025
    http://www.ithome.com.tw/itadm/article.php?c=55617

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:) 微軟技術支援網站
    2010年1月27日 上午 06:21
  • 原來要有 硬件設備 支援才可以做到
    多謝 Vincent lin 大大
    2010年1月27日 上午 11:40