Temos uma infraestrutura sem fio Meraki que usa o 802.1x para autenticar clientes Windows no MS Network Policy Server usando certificados emitidos por nossa CA raiz interna. O certificado raiz e as configurações sem fio são eliminados por meio da política de grupo. Isso funcionou bem por vários anos, com clientes de todas as versões, do Win 7 ao 10. A CA raiz está executando o 2012 (e não o R2), se isso for importante.
Chegou a hora de mover o serviço NPS para novos servidores, executando 2016. O NPS está instalado e migrei a configuração dos servidores antigos para o novo. Todas as configurações correspondem, como esperado, já que era uma exportação / importação.
O NPS de 2016 possui um certificado de servidor para "RAS e IAS" emitido por nossa CA raiz por meio de inscrição automática para servidores RAS. O mesmo modelo de certificado está distribuindo certificados para nossos servidores NPS 2008 R2. Olhando para os certs nos servidores antigos e novos, a única diferença é o nome do servidor. Todas as outras configurações, como tamanho da chave, etc., são as mesmas.
De qualquer forma, quando os clientes sem fio tentam se autenticar, eles estão falhando. O servidor NPS mostra a ID de evento 6273, com um código de razão de 262 e um erro de "A mensagem fornecida está incompleta. A assinatura não foi verificada".
Isso aponta para um erro de cert - eu entendo isso - mas não consigo encontrar nenhum motivo para isso. O certificado do servidor está configurado corretamente usando um modelo de certificado que eu sei que funciona. Os clientes confiam na CA raiz (e é a mesma CA raiz de todo o domínio). Se eu copiar o certificado do servidor do servidor NPS 2016 para um cliente, o certificado mostrará como válido e confiável até a CA raiz interna.
Por isso, instalei o NPS em uma caixa do 2012 R2. Depois que adicionei o servidor ao grupo RAS, ele registrou-se automaticamente com um certificado. Eu importei a mesma configuração que eu trouxe para 2016 e o 2012 R2 NPS funcionou imediatamente. Levou talvez dois minutos para ser configurado. No entanto, o mesmo processo em 2016 não está funcionando.
Já passei por toda a documentação da MS e qualquer outra coisa que consegui encontrar, mas acertei uma parede de tijolos. Qualquer sugestão seria muito apreciada.
Obrigado!
Tags windows-server-2016 nps