Recentemente, migrei o NPS de um host executando o Windows Server 2012 Standard para outro, usando o TechNet instruções para migrar com diferentes nomes de host.
Enquanto todos os meus clientes RADIUS foram (e ainda são) capazes de autenticar no servidor antigo, um cliente (um Apple Time Capsule) não consegue fazer isso com o novo (eu testei os outros três clientes, e eles funciona bem com o novo servidor).
Eu verifiquei três vezes se os segredos compartilhados estão ok entre o Time Capsule eo NPS (e o alterei algumas vezes também, apenas no caso, copiando e colando o mesmo segredo em cada um) e baseado em um artigo Eu também troquei os certificados do NPS (eu errei migrando CA e teve que criar um novo). O novo certificado da CA é instalado e deve ser confiável nos dispositivos que tentam autenticar.
O log de eventos no servidor antigo mostra eventos de auditoria de segurança do Windows para logons bem-sucedidos, que obviamente não são exibidos no novo (para o Time Capsule) - na verdade, a única coisa que aparece ao tentar autenticar o novo servidor é o evento 4400 do NPS informando sobre as conexões LDAP que foram estabelecidas (com sucesso).
Depois de ativar mais o registro no novo servidor, o arquivo de log do NPS em C:\Windows\system32\logfiles recebe algumas informações adicionais, em comparação com os registros do servidor antigo.
Servidor antigo (autenticação bem-sucedida):
<Event>
<Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp>
<Computer-Name data_type="1">(old-server-name)</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address>
<NAS-Port data_type="0">0</NAS-Port>
<Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id>
<Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id>
<Framed-MTU data_type="0">1400</Framed-MTU>
<NAS-Port-Type data_type="0">19</NAS-Port-Type>
<Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info>
<Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
<User-Name data_type="1">(username@domain)</User-Name>
<Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
<NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
<Class data_type="1">311 1 (old-server-ip) 12/07/2012 09:32:22 2836</Class>
<Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
<EAP-Friendly-Name data_type="1">Microsoft: Secured password (EAP-MSCHAP v2)</EAP-Friendly-Name>
<MS-Quarantine-State data_type="0">0</MS-Quarantine-State>
<MS-Extended-Quarantine-State data_type="0">0</MS-Extended-Quarantine-State>
<Authentication-Type data_type="0">11</Authentication-Type>
<Packet-Type data_type="0">1</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
<Event>
<Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp>
<Computer-Name data_type="1">(old-server-name)</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<Class data_type="1">311 1 (old-server-ip) 12/07/2012 09:32:22 2836</Class>
<EAP-Friendly-Name data_type="1">Microsoft: Secured password (EAP-MSCHAP v2)</EAP-Friendly-Name>
<Authentication-Type data_type="0">11</Authentication-Type>
<PEAP-Fast-Roamed-Session data_type="0">1</PEAP-Fast-Roamed-Session>
<Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
<MS-CHAP-Domain data_type="2">(domain-data)</MS-CHAP-Domain>
<Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
<NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
<Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
<Framed-Protocol data_type="0">1</Framed-Protocol>
<Service-Type data_type="0">2</Service-Type>
<MS-Quarantine-State data_type="0">0</MS-Quarantine-State>
<MS-Extended-Quarantine-State data_type="0">0</MS-Extended-Quarantine-State>
<Packet-Type data_type="0">2</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
Novo servidor (com falha):
<Event>
<Timestamp data_type="4">12/11/2012 00:43:59.126</Timestamp>
<Computer-Name data_type="1">(new-server-name)</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address>
<NAS-Port data_type="0">0</NAS-Port>
<Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id>
<Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id>
<Framed-MTU data_type="0">1400</Framed-MTU>
<NAS-Port-Type data_type="0">19</NAS-Port-Type>
<Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info>
<Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
<User-Name data_type="1">(username@domain)</User-Name>
<Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
<Class data_type="1">311 1 (new-server-ip) 12/10/2012 20:22:25 67</Class>
<Authentication-Type data_type="0">5</Authentication-Type>
<NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
<Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
<Packet-Type data_type="0">1</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
<Event>
<Timestamp data_type="4">12/11/2012 00:43:59.126</Timestamp>
<Computer-Name data_type="1">(new-server-name)</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<Class data_type="1">311 1 (new-server-ip) 12/10/2012 20:22:25 67</Class>
<Session-Timeout data_type="0">30</Session-Timeout>
<Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
<Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
<Authentication-Type data_type="0">5</Authentication-Type>
<NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
<Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
<Packet-Type data_type="0">11</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
No caso de falha, o segundo evento tem Packet-Type = 11, que se refere ao desafio. Como os dois eventos repetem várias vezes no log do NPS, presumo que isso significa que nunca há uma resposta para o desafio?
Se eu não tiver o certificado de autoridade de certificação instalado nos dispositivos que tentam autenticar, o dispositivo mostrará o certificado de autoridade de certificação do servidor antigo ao se autenticar com ele. No entanto, com o novo servidor, eu não sou solicitado sobre o certificado - os dispositivos apenas relatam que estão autenticando, mas nada acontece além dos dois eventos acima. Eventualmente, os dispositivos param e dizem que não conseguiram se conectar.
Editar # 4 : Eu depurei isso um pouco mais, até mesmo removendo a configuração e criando novas diretivas no novo servidor NPS, sem sucesso. Agora, configurei o novo servidor NPS para usar apenas o PEAP, com o EAP-MSCHAPv2.
Acabei de observar que, se eu selecionar um certificado autoassinado (emitido para o host local, não o FQDN e gerado para o IIS Express Development (!)) no novo servidor NPS, os dispositivos perguntarão sobre o certificado e se eu escolha aceitar o certificado, junte-se à rede com sucesso. Nesse caso, os logs se parecem com o primeiro acima, ou seja, Authentication-Type 11 e Packet-Types 1 e 2, em ordem.
A escolha de qualquer outro certificado listado nas Propriedades EAP Protegidas fará com que os clientes nunca me avisem sobre um certificado (mesmo quando eu não tiver o certificado de CA instalado) e o Tipo de Autenticação 5 seja usado sem êxito, como acima. Isso acontece mesmo com o certificado que foi gerado com o modelo de certificado RAS e IAS Server para este mesmo servidor.
Quais são os requisitos exatos para os certificados usados pelos servidores NPS?
Tags windows-server-2012 nps