Мы используем компьютер под управлением Windows Server 2008 (32-разрядный) с ролями RRAS и NPS для аутентификации пользователей для VPN и беспроводного доступа через RADIUS.
Эта конфигурация отлично работает более года, но с сегодняшнего утра сервер начал отклонять все запросы. Насколько мне известно, единственным изменением была установка обновлений Windows прошлой ночью.
C:\Windows\System32\LogFiles\IN1110.log) указывает, что эта политика выбирается, но сервер все еще отвечает Access-Reject.Однако я вижу странное системное событие, которое регистрируется каждый раз, когда сервер отвечает на запрос RADIUS. Мы вообще не используем MGM или многоадресную рассылку, поэтому я не знаю, как это отследить.
Warning
RasServer, 50015
Specified interface was not present in MGM.
Я уже пробовал перезагрузить сервер и переустановить RRAS / NPS. (Примечание: при удалении NPS вся конфигурация сохраняется и сохраняется после переустановки.) Если не считать установки полностью нового сервера, я в своем уме.
У кого-нибудь еще были такие проблемы с RRAS / NPS?
2011-10-17 Обновление: добавлен полный текст события с кодом 6274.
Network Policy Server discarded the request for a user.
Contact the Network Policy Server administrator for more information.
User:
Security ID: CFL\nic
Account Name: nic
Account Domain: CFL
Fully Qualified Account Name: cfl.local/People/Prince George/Nic Waller
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: 00-17-9A-09-A8-1D:CFL
Calling Station Identifier: CC-08-E0-EE-BA-82
NAS:
NAS IPv4 Address: 192.168.123.12
NAS IPv6 Address: -
NAS Identifier: D-Link Access Point
NAS Port-Type: Wireless - IEEE 802.11
NAS Port: 1
RADIUS Client:
Client Friendly Name: DWL-7100AP Wireless Access Point
Client IP Address: 192.168.123.12
Authentication Details:
Proxy Policy Name: Always authenticate requests on this server
Network Policy Name: Permit wireless RADIUS via EAP DWL-7100AP
Authentication Provider: Windows
Authentication Server: PG-DC2.cfl.local
Authentication Type: EAP
EAP Type: -
Account Session Identifier: -
Reason Code: 1
Reason: An internal error occurred. Check the system event log for additional information.
Обновить: Собственно, некоторые заявки проходят согласование. Похоже, что только запросы 802.1x с типом аутентификации EAP не работают. Глядя на ситуацию с сертификатом, похоже, что срок действия сертификата сервера истек, и он препятствовал аутентификации PEAP.
Срок действия сертификата контроллера домена истек.
Это предотвратило соединения, которые требовали Protected EAP Метод проверки подлинности. Повторная выдача сертификата контроллера домена немедленно позволила запросам RADIUS пройти обычную проверку подлинности.
Эта ошибка также может возникать, если сертификат домена обновляется автоматически. NPS плохо с этим справляется.
В соответствии с http://digitaljive.wordpress.com/2012/04/02/windows-nps-stops-authenticating-wireless-users/, вам необходимо переключиться на другой сертификат, применить его, а затем снова переключиться на автоматически обновляемый сертификат.