Solucionando problemas de conectividade do Windows EAP / RADIUS

5

Então, acho que a versão curta da pergunta é:

Não consigo que os clientes se conectem a uma rede sem fio WPA empresarial após a configuração de um "novo" servidor NPS e uma nova CA. Depois de solicitar manualmente um novo certificado no meu cliente do servidor NPS / CA e tentar conectar-me à rede sem fio, eles se sentam em "Tentativa de autenticação" / "Aguardando que a rede fique pronta" por aproximadamente um minuto antes de desistir e dizendo que eles não podem se conectar.

Os logs no meu servidor NPS / CA fornecem um "Código de motivo" IAS4142 de 23 ..., que está ausente do documentação do technet sobre o significado dos vários códigos de erro . >: / O que está acontecendo e alguém sabe como consertar isso? Ou por onde começar a solução de problemas isso? (O Google tem sido muito inútil ... encontrou algumas pessoas com o mesmo problema, mas sem soluções.)

A versão mais longa, que contém informações que podem ajudar alguém, é:

Algumas semanas atrás, tivemos um evento que envolveu a captura de funções FSMO de nossos dois "principais" DCs no escritório doméstico (2k3 R2). Como resultado, eles estão off-line e não estão voltando. Claro, depois de fazer isso e resolver a crise imediata, estávamos recebendo relatórios de que o acesso sem fio não estava funcionando mais. O que fazia sentido, quando voltávamos e olhávamos para os DCs desconectados, e descobrimos que um era nosso único servidor IAS, e o outro era o único CA em nosso ambiente. Naturalmente, usamos a criptografia sem fio WPA-enterprise com certificados emitidos para contas de máquina cliente e credenciais de domínio necessárias para autenticação (a maneira preguiçosa, permitindo que os clientes usem suas credenciais de logon como automagicamente sem interação com o usuário). Portanto, o problema era que não havia servidor RADIUS disponível para atender às solicitações, e a CA de emissão desapareceu de qualquer maneira.

A solução, que parecia ser boa na época, era levantar um novo servidor e, por causa das limitações do equipamento, colocar as funções de CA e NPS nele. Eu gostaria de também torná-lo um CD, mas não consegui como resultado de outras limitações. Tudo o que sei e li indicava que tudo ficaria bem. Eu também tive a suposição cômica de que eu seria capaz de configurá-lo dessa maneira e não ter todas as irritações da configuração anterior. E, não querendo inserir novamente manualmente algumas centenas de clientes e algumas dezenas de políticas, eu segui este artigo da technet sobre como migrar servidores NPS (e a correção do IAS incorreto para o NPS EAP parâmetro . Principalmente. Em vez de 0,16,515 naquela seção, eu tinha 0,15,521 ... então eu corrigi o '0' como direcionado e movido.)

Alterei algumas configurações de criptografia de CA (SHA-1 para SHA-512, porque o SHA-1 é inseguro atualmente, chamado de cert raiz de maneira menos retardada etc.), registrei o NPS no AD e pensei que eu era bom para ir. Então me deparei com o problema de que o XP não pode usar certificados SHA-2 para AAA (&% # ^ !! !), o que é problemático quando nossos clientes ainda estão no XP. Aplicado esse hotfix (que menciona que a atualização será incluída no XP SP4 ...: /), e ainda não há alegria. Encontrei o código de erro com um pouco mais de trabalho do que gostaria de admitir (especialmente quando mais tarde percebi o erro nos Logs de eventos de segurança, então perdi meu tempo decifrando os logs do IAS), e fui para o Google por ajuda, e surgiu quase completamente vazio. Outras pessoas relataram o mesmo problema, mas ninguém parece saber o que está errado ou como corrigi-lo. Texto do EventLog:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

E, na verdade, como eu estava passando pelos logs para pegar esse erro, notei este pouco antes dele (mesmo timestamp, mas pouco antes do outro no EventLog) ... não sei o que significa ... meu certificado de raiz é ruim?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

Antes de fazer algo drástico, [chorar] como reinstalar nosso servidor CA e NPS, configurando tudo manualmente ... ou comprando um monte de munição e indo em direção a Remdond [/ cry] alguém tem alguma idéia sobre menos medidas dolorosas que podem ajudar a resolver o meu problema?

    
por HopelessN00b 16.07.2012 / 19:48

3 respostas

2

Se você estiver substituindo a CA raiz de assinatura, verifique se está importando a nova raiz confiável e o novo certificado de cliente.

    
por 16.07.2012 / 21:00
0

Verifique se o novo certificado do servidor foi importado para o certificado pessoal, porque o servidor está enviando o pacote hello para o cliente. se não houver nenhum, o servidor não poderá inicializar o handshake do EAP-TLS com erro no protocolo EAP.

    
por 05.04.2013 / 08:38
0

Eu não quero confundir a resposta concisa e geralmente aplicável dada pelo MDmarra, mas acontece que o servidor CA / NPS também precisou de uma reinicialização não solicitada depois de gerar seu próprio certificado de máquina.

Não tenho certeza se isso é verdade no caso geral, ou apenas porque o servidor está desempenhando as duas funções ou porque nosso ambiente é tão bom, mas parece valer a pena mencionar. Reiniciar os serviços foi insuficiente, mas reiniciar a caixa parece ter resolvido tudo. Windows admin 101, ou algo assim. "Se no início você não conseguir, reinicie e tente novamente."

    
por 23.01.2015 / 07:02