Eu tenho um servidor NPS para o RADIUS de um controlador Aruba. O registro de contabilidade e autenticação está ativado e funcionando, exceto para quando o logon falha devido a uma senha incorreta.
Registros de segurança
Todas as tentativas de autenticação são visíveis no servidor no log de eventos de segurança.
A Categoria da Tarefa é Logon ou Servidor de Políticas de Rede.
Se a categoria for Servidor de Políticas de Rede, um código de motivo é especificado , 8 para nome de usuário incorreto, 7 para domínio inválido, etc.
Os registros do NPS também especificam o "ID da estação de chamada", que é o endereço MAC do dispositivo do usuário final (e as informações que eu quero para tentativas de senha incorreta).
Senhas incorretas
As tentativas de senha incorreta são registradas no log de eventos de segurança com a categoria da tarefa de logon.
Eles não aparecem nos logs do NPS e o evento não lista o endereço MAC.
O ID do evento de logons com falha é 6273; o "código de razão" em que eu não aparece nos registros é 16, a incompatibilidade de credenciais do usuário.
Eu testei senha incorreta e nome de usuário inválido do mesmo dispositivo (meu telefone) usando o mesmo controlador.
Políticas de solicitação de conexão / políticas de rede
Eu estou imaginando que a ordem do processamento de logon é de alguma forma importante, mas eu não sei onde.
Temos uma única Política de Solicitação de Conexão para usar a autenticação do Windows com o Provedor de Autenticação como o Computador Local (este NÃO é um Controlador de Domínio).
Temos várias Políticas de Rede e a que se aplica para redes sem fio é a primeira da lista.
Estou imaginando que a senha com falha no logon falhou "não está fazendo isso" na camada do NPS, mas por que não? Por que o nome de usuário incorreto está sendo processado por essa camada, mas a senha não é ruim? O que é sobre os logons que estão sendo processados de forma diferente? (Não é a diferença apenas um código de retorno diferente do DC?)
Editar: após um pouco mais de investigação, parece haver uma entrada 4624 (logon bem-sucedido) no log de eventos de segurança imediatamente antes de 6278 (NPS concedendo acesso total) para conexões bem-sucedidas . Portanto, parece que as contas devem passar por esse logon inicial (de rede).
No entanto, para "nomes de usuário incorretos", acredito que eles estejam sendo filtrados nas condições da Política de Rede. Atualmente (entre outras coisas) uma das condições é a conta deve estar em usuários do domínio. Isso não é verdadeiro para nomes de usuário incorretos.
De qualquer forma, não sei por que uma tentativa de senha incorreta não seria processada pelo NPS, já que ela deve ser uma restrição inválida nesse ponto.