Я создал новую сетевую политику NPS со следующими параметрами:
Обзор
- Политика включена
- Предоставление доступа
- Тип: сервер удаленного доступа (VPN-Dial up)
Условия
- Группа компьютеров: компьютеры домена
Ограничения
- Аутентификация: EAP-MSCHAPv2, пользователь может изменить пароль
- Тип порта NAS: VPN
Аутентификация выполняется локально и не передается в RADIUS.
Когда я пытаюсь подключиться к VPN, мое подключение не соответствует политике. Я пробовал использовать условия как «Группа машин», так и «Группа Windows». Я пробовал различные другие методы аутентификации. Мне кажется, что есть дополнительный шаг, который мне не хватает, но я не могу найти никакой документации по использованию условий Machine Group.
Это самая полезная и бесполезная статья от Microsoft по данной теме., и в нем только говорится: «Если метод принудительной защиты доступа к сети - 802.1X или VPN, членами группы безопасности могут быть пользователи или компьютеры». В разделе «Настройки» я проверил «Применение NAP», и нет никаких вариантов выбора различных методов принудительного применения; у нас нет созданных политик работоспособности и мы не используем NAP в настоящее время.
Должно быть, я чего-то упускаю, но не знаю что. Я думал о настройке ЦС и выполнении проверки подлинности сертификата, но не думаю, что это необходимо только для фильтрации по членству в группе компьютерной безопасности.
:Редактировать:
Итак, я дал более подробное решение для устранения неполадок 26-го числа, когда у меня было еще несколько часов, чтобы посвятить этому, но я был так занят, что не смог обновить этот вопрос. Я включил аудит и просмотрел подробные журналы NPS, которые мне очень помогли в сочетании с эта пояснительная статья от Microsoft.
Используя тип сервера «VPN», я получал код причины 48, «IAS_NO_POLICY_MATCH». Я обнаружил, что после копирования нашей политики беспроводной связи (которая использует только фильтр групп машин и работает) я обнаружил, что тип сервера должен быть установлен на «неуказанный».
Затем я увидел код причины 66, который переводится как «IAS_INVALID_AUTH_TYPE», и обнаружил, что у меня были несоответствующие настройки аутентификации между клиентом и сервером (doh). (Скорее всего, это связано с тем, что я отказался от тестирования с копией нашей обычной политики VPN, которая использует MS-CHAPv2, и скопировал нашу политику беспроводной связи, которая использует PEAP, и не обновил клиент соответствующим образом.)
Я видел код причины 65, который переводится как «IAS_DIALIN_DISABLED». Здесь все становится странно.
а. Если я добавлю второе условие «И» для членства в группе пользователей (используя условия группы пользователей или условия группы Windows), я не получу ничего, тот же код ошибки. (Использование одного условия группы Windows для «Компьютеры домена» ИЛИ «Пользователи VPN» позволяет пользователям VPN входить с любого компьютера, но не любого пользователя с компьютеров домена.)
б. Если я установил политику «Игнорировать свойства дозвона учетной записи пользователя», я ничего не получу, тот же код ошибки.
c. Если я перейду к свойствам объекта AD пользователя в ADUC и изменю свойства Dial-in с «Контроль доступа через сетевую политику NPS» на «Разрешить доступ», все будет работать.
На данный момент я убежден, что в NPS есть какая-то ошибка или недостаток дизайна, которые мешают этому работать. Мне пока не удалось найти какие-либо КБ от MS с исправлением или обновлением для загрузки, но тот факт, что у других людей, похоже, работает, говорит мне, что в нашей среде что-то не работает. Если у кого-нибудь есть идеи, что это может быть, дайте мне знать!
Я бы посоветовал изменить «Тип сервера доступа к сети» на «Не указано». Затем добавьте условие «Тип порта NAS: VPN»
Я успешно использую условие «Группы Windows» для учетных записей компьютеров.