Фон окружающей среды:
4 контроллера домена, DC01 DC02 DC03 DC04
DC01 - мой PDC
DC02 - мой сервер NPS
Два других - это балансировка нагрузки и привязка к сайту.
Я использую Ruckus Zone Director с Ruckus WAP в моем офисе. Наша среда состоит из 80% компьютеров Mac, 19% компьютеров и ~ 1% компьютеров Linux.
Мы переносим нашу старую беспроводную инфраструктуру на новую. В старых версиях использовалась фильтрация MAC-адресов (боль в заднице) с паролем WPA2; однако в новой настройке используется Radius, поскольку мы пытаемся перейти к Active Directory.
Не все еще перешли в AD, но мы терпеливо переводим всех.
Все мои Mac могут без проблем подключаться к SSID, который обслуживает сертификаты Radius MSCHAPv2 (PEAP). Однако компьютеры попадают под удар. На данный момент у меня есть два пользователя, которые постоянно не могут подключиться к SSID, в то время как ни у кого из других (о которых мы знаем) нет проблем.
Я проверил журнал событий на сервере NPS (DC02) и получил ошибку, указанную ниже.
Сервер сетевой политики отказал пользователю в доступе.
> Обратитесь к администратору сервера политики сети для получения дополнительной информации.
> Пользователь:
> Идентификатор безопасности: NULL SID
> Имя учетной записи: CORP \ user.name
> Домен учетной записи: CORP
> Полное имя учетной записи: CORP \ user.name
> Клиентская машина:
> Идентификатор безопасности: NULL SID
> Имя учетной записи: -
> Полное имя учетной записи: -
> Версия ОС: -
> Идентификатор вызываемой станции: 84-18-3A-3A-03-9C: SSID-NAME
> Идентификатор вызывающей станции: 7C-7A-91-19-A3-BB
> NAS:
> IPv4-адрес NAS: 172.16.1.101
> IPv6-адрес NAS: -
> Идентификатор NAS: 84-18-3A-3A-03-9C
> Тип порта NAS: беспроводной - IEEE 802.11
> Порт NAS: 7
> Клиент RADIUS:
> Удобное для клиента имя: Primary-Ruckus
> IP-адрес клиента: 172.16.1.101
> Детали аутентификации:
> Название политики запроса на подключение: Ruckus Wireless
> Имя сетевой политики: -
> Провайдер аутентификации: Windows
> Сервер аутентификации: DC02.corp.domain.com
> Тип аутентификации: PEAP
> Тип EAP: -
> Идентификатор сеанса учетной записи: -
> Результаты регистрации: учетная информация была записана в локальный файл журнала.
> Код причины: 16
> Причина: аутентификация не удалась из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи пользователя, либо пароль был неверным.
Я добавил групповую политику для политик беспроводной сети (IEEE 802.11), но ничего не работает.
Есть какие-нибудь советы или идеи о том, где я могу искать дальше? Начинаю беспокоиться, что сроки моего развертывания будут перенесены.
Хорошо, я долго боролся с одной и той же проблемой. Было такое же сообщение об ошибке
Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.
Позже я обнаружил, что поменял основные сертификаты. В конфигурации центра сертификации Windows по умолчанию обычно доверенный сертификат PositiveSSL не работал.
Удивительно, но когда я переключил сертификат на старый (почти везде) недоверенный сертификат StartCom, он заработал.
Вам, вероятно, следует решить цепочку доверия сертификатов или получить сертификат от другого доверенного центра сертификации.