Windows EAP/RADIUS 连接问题故障排除

所以，我想这个问题的简短版本是：

在设置“新”NPS 服务器和新 CA 后，我无法让客户端连接到企业 WPA 无线网络。在我从 NPS/CA 服务器手动请求我的客户端上的新证书并尝试连接到无线网络后，他们在“尝试进行身份验证”/“等待网络准备就绪”大约一分钟后放弃并说他们无法连接。

我的 NPS/CA 服务器上的日志给出了 23 的 IAS4142“原因代码”...这在关于各种错误代码含义的技术文档中是不存在的。>:/ 发生了什么事，有人知道如何解决吗？或者从哪里开始解决这个问题？（谷歌一直没有帮助......发现一些人有同样的问题，但没有解决方案。）

较长的版本，希望包含可以帮助别人帮助我的信息是：

几周前，我们举办了一场活动，涉及从总部 (2k3 R2) 的两个“主要”DC 强行夺取 FSMO 角色。结果，他们处于离线状态，并且不会回来。当然，在这样做并解决了眼前的危机之后，我们收到了无线访问不再工作的报告。这是有道理的，当我们回头查看断开连接的前 DC 时，发现一个是我们唯一的 IAS 服务器，另一个是我们环境中唯一的 CA。当然，我们使用 WPA 企业无线加密和颁发给客户端机器帐户的证书，以及身份验证所需的域凭据（懒惰的方式，允许客户端使用他们的登录凭据自动进行身份验证，无需用户交互）。

当时觉得还不错的解决方案是，架起一台新的服务器，由于设备限制，把CA和NPS角色放在上面。我也想把它做成一个 DC，但由于其他限制而无法做到。我所知道和阅读的一切都表明这会很好。我还有一个可笑的假设，即我能够以这种方式正确设置它，而不会遇到以前设置的所有烦恼。而且，不想手动重新输入几百个客户端和几十个策略，我遵循了这篇关于如何迁移 NPS 服务器的technet 文章（以及对不正确的 IAS 到 NPS EAP 参数的修复。主要是。而不是 0,16,515在那个部分，我有 0,15,521...所以我按照指示更正了“0”并继续前进。）

我更改了一些 CA 加密设置（SHA-1 到 SHA-512，由于这些天 SHA-1 不安全，以不太迟钝的方式命名根证书等），在 AD 中注册了 NPS，并认为我是很好去。然后我遇到了XP 无法使用 SHA-2 证书进行 AAA的问题(&%#^!!!)，当我们的客户仍在使用 XP 时，这是有问题的。应用了该修补程序（其中提到更新将包含在 XP SP4 中...：/），但仍然没有任何乐趣。发现错误代码比我想承认的要多一些（尤其是当我后来注意到安全事件日志中的错误时，所以我浪费了时间来破译****的 IAS 日志），然后去了谷歌寻求帮助，几乎完全空了。其他人也报告了同样的问题，但似乎没有人知道出了什么问题，或者如何解决。事件日志文本：

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

而且，实际上，当我浏览日志以获取该错误时，我注意到它之前的这个错误（相同的时间戳，但在 EventLog 中的另一个之前）...不确定这意味着什么...我的根证书不好？！？！？

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

在我做一些激烈的事情之前，[哭泣]比如重新安装我们的 CA 和 NPS 服务器，然后手动配置它......或者买一堆弹药然后开车去 Remdond [/cry] 有没有人有任何关于减轻痛苦的措施的想法可能有助于解决我的问题？