Conexão Radius com computadores Windows 7

2

Tenho muitos APs Ubiquiti Unifi conectados a um servidor de raio NPS do Windows Server 2012.

Eu configurei as políticas de segurança para permitir que os usuários do domínio se conectem à rede local.

Estou tendo alguns problemas com os clientes do Windows 7. Eu recebo uma mensagem Impossible to connect .

Em C:\Windows\System32\LogFiles , vejo o pacote Access-Request e um pacote 11 que parece ser Access-Challenge . Eu não vi nenhuma entrada de log de eventos sobre uma conexão rejeitada.

Eu tentei configurar manualmente a conexão sem fio com este tutorial, mas não tive sorte:

Unifi - Windows 7 - manual

Com dispositivos que não são Windows (como celulares, tablets, computadores mac), a conexão radius funciona perfeitamente!

Como posso fazer com que os clientes do Windows 7 também funcionem?

    
por Tobia 11.06.2013 / 16:15

1 resposta

2

Eu fiz exatamente isso, mas usei o Windows Server 2008R2 como servidor RADIUS.

O guia que você vinculou parece ser bom, na verdade, ele precisa corresponder às suas configurações no servidor NPS / RADIUS. Por padrão, os computadores com Windows 7 tentarão se autenticar com a senha de domínio do computador quando forem ligados pela primeira vez e depois com o nome de usuário / senha após o login. Por padrão, o Windows 7 também tentará verificar se o certificado apresentado pelo O servidor RADIUS é confiável. O guia vinculado mostra como forçar o cliente do Windows 7 a autenticar apenas com as informações do usuário. Você deve se certificar de que isso corresponde à sua política do NPS real.

Veja o que fiz para minha instalação do Unifi:

  1. Temos um PKI de domínio, então geramos um certificado confiável de domínio para o servidor RADIUS. Se você usar um certificado autoassinado, deverá usar o GPO para implantá-lo nas Autoridades de Certificação Raiz Confiáveis nos dispositivos clientes.
  2. Eu configurei o método de autenticação RADIUS Connection Policy da seguinte forma: EAP-MSCHAPv2.
  3. Criei duas políticas de rede para corresponder a 2 SSIDs: computadores de domínio e usuários de domínio. Em seguida, usei o atributo RADIUS "ID da Estação Chamada" para configurar as condições apropriadas: Grupo de Máquinas: Computadores de Domínio \ Domínio para o SSID "Computadores" e Grupo de Usuários: Usuários Domínio \ Sem Fio para o SSID "Usuários".
  4. Em seguida, implantei as configurações adequadas usando as Preferências de Política de Grupo do GPO para todos os nossos laptops associados a domínios.

A propósito, você listou uma mensagem de erro muito pequena, mas se você olhar no log de eventos do Windows Security, poderá obter informações muito mais detalhadas sobre onde a autenticação RADIUS está falhando.

As fontes de erro mais prováveis serão:

  • Certificado impróprio ou não confiável
  • O Windows está tentando usar a senha incorreta - senha da máquina versus senha do usuário - em um dispositivo associado ao domínio.
  • Você configurou o método de autenticação de maneira diferente no servidor RADIUS do que no cliente.

O Unifi AP apenas transmite a autenticação RADIUS, a propósito: isso não fará parte da equação. Basta olhar para o servidor RADIUS e o dispositivo cliente.

    
por 17.09.2013 / 17:59