web-dev-qa-db-ja.com

NPSがユーザーの認証を突然停止するのはなぜですか?

私たちは、RRASおよびNPSの役割を持つWindows Server 2008(32ビット)を実行しているコンピューターを使用して、RADIUS経由のVPNおよびワイヤレスアクセスのユーザーを認証します。

この構成は1年以上の間うまく機能してきましたが、今朝からサーバーはすべての要求を拒否し始めました。私の知る限り、唯一の変更は、昨夜Windows Updateをインストールすることでした。

  • 接続やファイアウォールの問題ではありません。サーバーは、すべてのRADIUS要求にAccess-Rejectで応答します。
  • 接続要求ポリシーは1つだけあり、このサーバー上のすべての要求を24時間年中無休で処理します。
  • テストの目的で、すべての要求を24時間年中無休で承認する1つのネットワークポリシーを作成しました。ログファイル(C:\Windows\System32\LogFiles\IN1110.log)は、このポリシーが選択されていることを示していますが、サーバーは引き続きAccess-Rejectで応答します。
  • RADIUSリクエストを送信するすべてのサーバーがRADIUSクライアントにリストされていること、および無効なRADIUSクライアントに関するイベントログにエントリがないことを確認しました。

ただし、サーバーがRADIUSリクエストに応答するたびに、奇妙なシステムイベントがログに記録されるのがわかります。 MGMやマルチキャストはまったく使用していないため、これを追跡する方法がわかりません。

Warning
RasServer, 50015
Specified interface was not present in MGM.

サーバーを再起動し、RRAS/NPSを再インストールしました。 (補足:NPSを削除しても、すべての構成が保持され、再インストール後も引き続き存在します。)完全に新しいサーバーをセットアップするのではなく、私はうまくいきました。

他の誰かがこのようなRRAS/NPSで問題を抱えていましたか?

2011-10-17更新:イベントID 6274の完全なテキストを追加

ネットワークポリシーサーバーがユーザーの要求を破棄しました。
 
詳細については、ネットワークポリシーサーバーの管理者に問い合わせてください。 CFL\nic 
アカウント名:nic 
アカウントドメイン:CFL 
完全修飾アカウント名:cfl.local/People/Prince George/Nic Waller 
 
クライアントマシン:
セキュリティID:NULL SID 
アカウント名:-
完全修飾アカウント名:-
 OS-バージョン:-
 Called Station Identifier:00-17-9A-09-A8-1D:CFL 
 Calling Station Identifier:CC-08-E0-EE-BA-82 
 
 NAS:
 NAS IPv4アドレス:192.168.123.12 
 NAS IPv6アドレス:-
 NAS識別子:D-Linkアクセスポイント
 NASポートタイプ:ワイヤレス-IEEE 802.11 
 NASポート:1 
 
 RADIUSクライアント:
クライアントフレンドリー名:DWL-7100APワイヤレスアクセスポイント
クライアントIPアドレス:192.168.123.12 
 
認証の詳細:
プロキシポリシー名:常にこのサーバーでリクエストを認証します
ネットワークポリシー名:EAP DWL-7100AP 
を介してワイヤレスRADIUSを許可します。認証プロバイダー:Windows 
認証サーバー:PG-DC2.cfl.local 
認証タイプ:EAP 
 EAPタイプ:-
アカウントセッション識別子:-
理由コード:1 
理由:内部エラーが発生しました。詳細については、システムイベントログを確認してください。 

更新:実際、一部のリクエストは承認されています。 EAP認証タイプの802.1xリクエストのみが失敗しているように見えます。証明書の状況を見ると、サーバーの証明書の有効期限が切れており、PEAP認証を妨げているようです。

4
Nic

ドメインコントローラの証明書の有効期限が切れています。

そのため、Protected EAP 認証方法。ドメインコントローラー証明書を再発行すると、すぐに許可されますRADIUS通常の認証要求。

3
Nic

このエラーは、ドメイン証明書が自動更新される場合にも発生する可能性があります。 NPSはうまく処理できません。

http://digitaljive.wordpress.com/2012/04/02/windows-nps-stops-authenticating-wireless-users/ によると、別の証明書に切り替えて適用する必要があります。次に、自動更新された証明書に切り替えます。

1
scott-pascoe