Назад | Перейти на главную страницу

Радиусное соединение с компьютерами под управлением Windows 7

У меня много AP Ubiquiti Unifi, подключенных к RADIUS-серверу Windows Server 2012 NPS.

Я настроил политики безопасности, чтобы пользователи домена могли подключаться к локальной сети.

У меня проблемы с клиентами Windows 7. Я получаю сообщение Impossible to connect.

В C:\Windows\System32\LogFiles, Я вижу Access-Request пакет и 11 пакет, который кажется Access-Challenge. Я не видел в журнале событий записи об отклоненном соединении.

Я попытался вручную настроить беспроводное соединение с помощью этого руководства, но безуспешно:

Unifi - Windows 7 - руководство

С устройствами, отличными от Windows (например, мобильные телефоны, планшеты, компьютеры Mac), соединение с радиусом работает отлично!

Как мне заставить работать клиенты Windows 7?

Я сделал именно это, но я использовал Windows Server 2008R2 в качестве сервера RADIUS.

Руководство, на которое вы ссылаетесь, выглядит неплохо, на самом деле, оно просто должно соответствовать вашим настройкам на сервере NPS / RADIUS. По умолчанию компьютеры Windows 7 будут пытаться аутентифицироваться с паролем домена компьютера при первом включении, а затем с именем пользователя / паролем после входа в систему. По умолчанию Windows 7 также будет пытаться проверить, что сертификат, представленный RADIUS-сервер является доверенным. В руководстве, на которое вы ссылаетесь, показано, как заставить клиент Windows 7 аутентифицироваться только с использованием информации о пользователе. Вы должны убедиться, что это соответствует вашей реальной политике NPS.

Вот что я сделал для установки Unifi:

  1. У нас есть PKI домена, поэтому я создал доверенный домен для сервера RADIUS. Если вы используете самозаверяющий сертификат, вы должны использовать объект групповой политики для его развертывания в доверенных корневых центрах сертификации на клиентских устройствах.
  2. Я установил политику подключения RADIUS, метод аутентификации следующим образом: EAP-MSCHAPv2.
  3. Я создал 2 сетевые политики для соответствия 2 SSID: компьютеры домена и пользователи домена. Затем я использовал атрибут RADIUS «Идентификатор вызываемой станции», чтобы настроить соответствующие условия: Группа компьютеров: Домен \ Домен Компьютеры для SSID «Компьютеры» и Группа пользователей: Домен \ Пользователи беспроводной сети для SSID «Пользователи».
  4. Затем я развернул правильные настройки с помощью настроек групповой политики GPO на всех наших ноутбуках, присоединенных к домену.

Кстати, вы указали очень минимальное сообщение об ошибке, но если вы посмотрите журнал событий безопасности Windows, вы сможете получить гораздо более подробную информацию о том, где происходит сбой аутентификации RADIUS.

Наиболее вероятными источниками ошибок будут:

  • Неправильный или ненадежный сертификат
  • Windows пытается использовать неправильный пароль - пароль компьютера или пользователя - на устройстве, присоединенном к домену.
  • Вы настроили метод аутентификации на сервере RADIUS иначе, чем на клиенте.

Между прочим, точка доступа Unifi просто передает аутентификацию RADIUS: это вообще не будет частью уравнения. Просто посмотрите на сервер RADIUS и клиентское устройство.