Устранение проблем с подключением Windows EAP / RADIUS

Итак, я предполагаю, что краткая версия вопроса:

Я не могу заставить клиентов подключаться к беспроводной сети Enterprise-WPA после настройки «нового» сервера NPS и нового центра сертификации. После того, как я вручную запрашиваю новый сертификат на моем клиенте с сервера NPS / CA и пытаюсь подключиться к беспроводной сети, они сидят в «Попытке аутентификации» / «Ожидание готовности сети» около минуты, прежде чем сдаться и говоря, что они не могут подключиться.

Журналы на моем сервере NPS / CA дают IAS4142 «Код причины» 23 ... который отсутствует в техническая документация о том, что означают различные коды ошибок. >: / Что происходит, и кто-нибудь знает, как это исправить? Или с чего начать устранение неполадок? (Google оказался довольно бесполезным ... нашел несколько человек с той же проблемой, но без решения.)

Более длинная версия, которая, как мы надеемся, содержит информацию, которая может помочь кому-то мне помочь:

Пару недель назад у нас было мероприятие, которое включало насильственный захват ролей FSMO у наших двух «основных» DC в домашнем офисе (2k3 R2). В результате они отключены и больше не вернутся. Конечно, после того, как мы сделали это и разрешили непосредственный кризис, мы стали получать сообщения о том, что беспроводной доступ больше не работает. Это имело смысл, когда мы вернулись и посмотрели на отключенные бывшие контроллеры домена и обнаружили, что один был нашим единственным сервером IAS, а другой - единственным центром сертификации в нашей среде. Конечно, мы используем корпоративное беспроводное шифрование WPA с сертификатами, выданными для учетных записей клиентских компьютеров, и учетными данными домена, необходимыми для аутентификации (ленивый способ, позволяющий клиентам использовать свои учетные данные для входа в систему для автоматической аутентификации без взаимодействия с пользователем). Таким образом, проблема заключалась в том, что не было сервера RADIUS, доступного для обслуживания запросов, и выдающий ЦС все равно исчез.

Решение, которое в то время казалось хорошим, заключалось в том, чтобы установить новый сервер и из-за ограничений оборудования назначить ему роли CA и NPS. Я хотел бы также сделать его DC, но не смог из-за других ограничений. Все, что я знаю и читал, говорит о том, что это будет нормально. У меня также было смешное предположение, что я смогу настроить его именно таким образом и не испытывать всех раздражений предыдущей настройки. И, не желая вручную вводить пару сотен клиентов и пару десятков политик, я последовал эта статья в технике о том, как перенести серверы NPS (и исправление неверного параметра IAS to NPS EAP. В основном. Вместо 0,16,515 в этом разделе у меня было 0,15,521 ... поэтому я исправил «0», как было указано, и двинулся дальше.)

Я изменил несколько настроек шифрования CA (SHA-1 на SHA-512, из-за того, что в наши дни SHA-1 небезопасен, назвал корневой сертификат менее запоздалым и т. Д.), Зарегистрировал NPS в AD и подумал, что я хорошо пойти. Затем я столкнулся с проблемой, что XP не может использовать сертификаты SHA-2 для AAA (&% # ^ !!!), что проблематично, когда наши клиенты все еще используют XP. Применил это исправление (в котором упоминается, что обновление будет включено в XP SP4 ...: /), и все равно никакой радости. Нашел код ошибки с немного большей работой, чем я хотел бы признать (особенно когда я позже заметил ошибку в журналах событий безопасности, поэтому я потратил свое время на расшифровку чертовых журналов IAS) и пошел в Google за помощью, и подошел почти полностью пустой. Другие люди сообщали о той же проблеме, но, похоже, никто не знает, что не так и как это исправить. Текст журнала событий:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

И, на самом деле, когда я просматривал журналы, чтобы захватить эту ошибку, я заметил эту как раз перед ней (та же временная метка, но непосредственно перед другой в журнале событий) ... не уверен, что это значит ... мой корневой сертификат плохо?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

Прежде чем я сделаю что-то радикальное, [плачет] вроде переустановки нашего CA и NPS-сервера, а затем настройки всего этого вручную ... или покупки кучи боеприпасов и поеду в сторону Ремдонда [/ cry], есть ли у кого-нибудь идеи относительно менее болезненных мер, которые может помочь решить мою проблему?