У меня Win2K8 server с NPS. Я пытаюсь настроить аутентификацию VPN на брандмауэре FortiGate для авторизации пользователей через Radius с моего сервера Windows.
У меня настроено две политики
В сетевой политике установлен флажок «Игнорировать свойства удаленного доступа учетной записи пользователя».
Если для учетной записи пользователя выбрано «Управление доступом через политику NPS» на странице свойств удаленного доступа, доступ запрещается. Если я изменю его на «Разрешить доступ», доступ будет разрешен.
Если я оставлю его на «Разрешить доступ» и удалю пользователя из требуемой группы AD, то доступ будет предоставлен, что меня смущает.
Итак, что требуется, чтобы политика NPS определяла, предоставляется ли доступ независимо от выбранных свойств Dial-In?
Я нашел другой вопрос о сбое сервера, который описывает эту проблему, но предлагаемое решение переупорядочения политик не помогает.
Я знаю, что это старый, но у меня была точно такая же проблема на одном компьютере при попытке подключиться к нашей беспроводной сети. Я вошел в свою сетевую политику NPS и выбрал игнорирование свойств удаленного доступа, но все еще не мог подключиться к сети на этом компьютере. Я продолжал получать ошибку 65 "Параметр разрешения доступа к сети в свойствах удаленного доступа учетной записи пользователя в Active Directory установлен на Запретить доступ к пользователю. Чтобы изменить параметр разрешения доступа к сети на Разрешить доступ или Контроль доступа через Сетевая политика NPS, получите свойства учетной записи пользователя в Active Directory - пользователи и компьютеры, щелкните вкладку Dial-in и измените разрешение доступа к сети ». в журнале событий журнала безопасности NPS-сервера. В конце концов, решение заключалось в том, чтобы удалить мой компьютер из AD, удалить учетную запись AD, удалить сетевые адаптеры и перезагрузить компьютер, чтобы они могли автоматически переустановиться. После этого я смог подключиться к сети и успешно пройти аутентификацию через NPS.
Решение: внимательно проверьте свои политики.
В моем случае я недостаточно внимательно прочитал критерии, и определенные политики подключения и сети ссылались на «IPv4-адрес клиента», а не на «IPv4-адрес клиента доступа».