У меня есть сервер Windows 2008 Std с NPS. После применения последнего раунда обновлений (включая корневые сертификаты за апрель 2012 г. KB931125 (см.http://support.microsoft.com/kb/933430/)), Проверка подлинности EAP не выполняется из-за неправильного формата.
Пример ошибки (код безопасности / события 6273), усеченный для краткости:
Authentication Details:
Proxy Policy Name: Use Windows authentication for all users
Network Policy Name: Wireless Access
Authentication Provider: Windows
Authentication Server: nps-host.corp.contoso.com
Authentication Type: PEAP
EAP Type: -
Account Session Identifier: -
Reason Code: 266
Reason: The message received was unexpected or badly formatted.
Политика NPS (беспроводной доступ) настроена соответствующим образом (для ограничений / методов аутентификации)
EAP Types:
Microsoft: Protected EAP (PEAP) - with a valid certificate from ADCS
Microsoft: Secured password (EAP-MSCHAP v2)
Less secure authentication methods:
Microsoft Encrypted Authentication version 2 (MS-CHAP-v2)
User can change password after it has expired
Microsoft Encrypted Authentication (MS-CHAP)
User can change password after it has expired
Мы протестировали другой сервер RADIUS без вышеупомянутого патча, удалили EAP как тип аутентификации и добились успеха.
Кто-нибудь еще сталкивался с этой проблемой?
Я собираюсь поместить это здесь, так как я испытал это вчера, и один из моих первых поисков привел меня к этому вопросу.
Проблема закончилась тем, что, как упоминал ALF4, слишком много корневых сертификатов. Это произошло после обновления Windows корневых сертификатов.
Мы решили эту проблему, изменив реестр, чтобы сервер NPS не отправлял клиентам список доверенных корневых сертификатов.
Запретить NPS отправлять доверенные корневые сертификаты клиентам
- Откройте regedit со следующим ключом:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
- Создать новый
DWORDстоимостьSendTrustedIssuerListи установите его на0 (false).
Это немедленно решило проблему, и клиенты могли подключиться снова.
Особая благодарность Брайану, который указал KB933430 который, несмотря на то, что он был предназначен для Windows Server 2003, исправил наши коробки Server 2008 и Server 2008 R2.
В декабре 2012 года эта проблема возникла у многих людей, когда Microsoft испортила обновление KB931125 11 декабря 2012 года, случайно применив обновление корневого сертификата к клиентам. и серверы, когда его следовало применять только к клиентам. Это добавило сотни сторонних корневых сертификатов в список доверенных корневых сертификатов на серверах, вызвав такие проблемы, как вы показали.
Мне потребовалось достаточно времени, чтобы найти его, но у MS есть статья и исправление, доступные на KB2801679 «Проблемы со связью SSL / TLS после установки KB 931125».С тех пор срок действия ошибочного обновления истек в Центре обновления Windows и WSUS, но если вы уже применили его, вы можете очистить список корневых сертификатов, запустив Fix-it приведено в статье на всех затронутых серверах.
Я думаю, что это устраняет причину более чистым способом, чем взлом реестра или ручная очистка сертификатов, упомянутые выше.
Если вы предпочитаете выполнять это вручную, исправление состоит в том, чтобы удалить все сторонние корневые сертификаты, после чего все необходимые автоматически воссоздаются из Центра обновления Windows. Просто убедитесь, что вы синхронизировали WSUS и приняли истечение срока действия для KB931125.
Удалите следующий раздел реестра:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ SystemCertificates \ AuthRoot \ Certificates
У меня Fix-it вроде работает без перезагрузки и других обновлений. Я удалил модификацию реестра, упомянутую в ответе Джейсона, и все еще смог аутентифицировать Wi-Fi через NPS.
Корневые сертификаты !! У вас слишком много отправленных, следовательно, «плохо сформированных». Удалите просроченные и сожмите список настолько, насколько сможете, и он снова начнет работать.
http://support.microsoft.com/kb/933430. Я использовал метод 3 и снова заработал.