Мой офис заменил домен и контроллеры домена Windows 2003 на Windows 2008.
У меня есть Cisco ASA 5510, который обрабатывает VPN-подключение для наших удаленных пользователей, все еще интегрированный с одним из старых контроллеров домена Windows 2003, на котором работает RADIUS.
Мне нужно перенести ASA из домена 2003 в домен 2008. Как настроить NPS в Windows 2008?
Конфигурация ASA:
aaa-server NEWDC protocol radius
aaa-server NEWDC host x.x.x.x
key ********
Команда тестирования конфигурации ASA:
test aaa-server authentication NEWDC host x.x.x.x
Это всегда немедленно возвращается с ошибкой bad user / pass для любого имени пользователя. Пользователи существуют в AD, включены, а пароли верны. Ключ одинаков как в Windows, так и в ASA.
Конфигурация клиента Radius NPS для Windows 2008:
Enabled
Vendor name: RADIUS Standard or Cisco (neither works)
Manual shared secret: ********
(unchecked) Access-Request messages must contain the Message-Authenticator attribute
(unchecked) RADIUS client is NAP-capable
Политика запросов на подключение Windows 2008 NPS:
Enabled
Processing Order 2 (following Use Windows auth for all users)
Source unspecified
Auth Provider: Local Computer
Auth Method: MS-CHAP v1 or MS-CHAP v2 or Allow unauthenticated
Override Auth: Enabled
Class: OU=Admin;
Framed-Protocol: PPP
Service-Type: Framed
Сетевая политика Windows 2008:
Enabled
Processing Order 3 (highest)
Condition Windows Group = DOMAIN\VPN
Ignore User Dial-In Properties: False
Access Permission: Grant Access
Auth method: MS-CHAP v1 or MS-CHAP v2
NAP Enforcement: Allow full network access
Update Noncompliant clients: True
Framed Protocol: PPP
Service-Type: Framed
См. Эту статью Чтобы получить больше информации. Я думаю, вам нужно будет изменить свою сетевую политику, чтобы разрешить использование PAP и SPAP. Я не нашел способа изменить протокол аутентификации, используемый ASA. Надеюсь, это поможет.
Я думаю нужно разрешить SPAP. здесь пошаговое руководство работал у меня.