问题[nps](server)

我正在尝试使用 PEAP-MSChapv2 将我的 Microsoft Server 2016 网络策略服务器配置修复为半径服务器。

众所周知，一些现代设备无法“验证”服务器证书，因为该选项太弱并且已被禁用（例如某些android 11 设备）

据我所知，应该有向这些（非域）设备添加内部 CA 证书的解决方案，以便它们可以验证 nps 服务器证书（并避免管理客户端证书）。

我发现由内部 CA 颁发的 nps 服务器证书，并且该内部 CA 的证书是自签名的（由自己颁发）。我尝试导出 ca 证书（不带私钥），并将其导入设备中，但现在，没有成功我收到错误 22：服务器无法处理 Eap 类型或错误 265：颁发了证书链由不受信任的权威

不清楚我是否仅在将客户端上的字段域更改为仅在 nps 服务器证书的 cn 名称中的 FQDN 的域时才获得 265。

我怎样才能正确实现这一点（PEAP-MSchapv2 在非域客户端上具有服务器身份验证）？

注意：现在它可以正常工作，对于“旧”无线客户端：它们正确地作为 AD 用户进行身份验证，并获得网络访问权限，所以我希望只为这些较新的设备更正设置，而不是从根本上改变它。

我在我的网络的 Windows Server 2019 上运行 NPS 服务器。我使用它作为管理员在我的 Cisco C9300 交换机中进行身份验证，以便对其进行操作。最近我无法登录，因为它说我没有经过身份验证。这是我尝试通过 SSH 连接到交换机时获得的 NPS 日志的副本。

<Event>
<Timestamp data_type="4">12/14/2020 14:42:20.610</Timestamp>
<Computer-Name data_type="1">RADIUS-SERVER</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<User-Name data_type="1">user</User-Name>
<NAS-IP-Address data_type="3">192.168.0.10</NAS-IP-Address>
<Client-IP-Address data_type="3">192.168.0.10/Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">SWITCHA01</Client-Friendly-Name>
<Proxy-Policy-Name data_type="1">NPS-Cisco</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">DOMAIN\user</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">DOMAIN\user</Fully-Qualifed-User-Name>
<Authentication-Type data_type="0">1</Authentication-Type>
<Class data_type="1">311 1 192.168.0.15 12/14/2020 17:46:50 8</Class>
<Packet-Type data_type="0">1</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
<Event>
<Timestamp data_type="4">12/14/2020 14:42:20.610</Timestamp>
<Computer-Name data_type="1">RADIUS-SERVER</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<Class data_type="1">311 1 192.168.0.15 12/14/2020 17:46:50 8</Class>
<Authentication-Type data_type="0">1</Authentication-Type>
<Client-IP-Address data_type="3">192.168.0.10</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">INSTRU-SWITCHA01</Client-Friendly-Name>
<Proxy-Policy-Name data_type="1">NPS-Cisco</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">DOMAIN\user</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">DOMAIN\user</Fully-Qualifed-User-Name>
<Packet-Type data_type="0">3</Packet-Type>
<Reason-Code data_type="0">16</Reason-Code>
</Event>

NPS 服务器目前配置为我们 PAP 作为身份验证，以查看我是否可以进入，但它一直给我原因代码 16，这是未身份验证。我可以做些什么来使用我的域管理员帐户以管理员身份回到我的交换机？

问题：我在 Windows AD 网络 contoso.local 上有 DHCP 客户端，在成功通过 RADIUS/NPS 服务器进行身份验证后，通常无法获得 IP 地址。我发现如果设备有来自另一个 VLAN 或子网的现有租约，而不是它试图获得的租约，它不会获得 IP 地址。有时它会改为提供来自有线网络的 IP 地址。Windows DHCP 是否提供解决此问题的方法？我会假设是这样，但对在哪里可以找到这个感到困惑？

设置：3 个网络 有线网络 - 192.168.1.0/24 无线网络 - 192.168.2.0/24 基础设施网络（管理接口所在） - 192.168.3.0/24

AP 是基础设施网络的一部分，为设备的网络设置了本地 VLAN。它只允许无线网络的 VLAN。

我已经部署了一些 Radius 服务器（带有 NPS 的 Windows Server 2012 R2）。他们使用 PEAP-MSCHAP-V2 通过 SAN Go Daddy 证书进行身份验证。部署它们是为了处理 Wi-Fi 连接。

该证书适用于我的所有设备 Windows、Android 但是当我尝试使用 iPhone（iPhone 6s Plus、iOS 10）进行身份验证时，它说服务器的证书是“不安全”/“未验证”，我必须在尝试连接之前确认它。然后身份验证工作，但我希望我的同事能够在不承认此证书的情况下使用他们的 iPhone 进行身份验证。

首先，我认为证书有问题，但正如我所说，它适用于我的所有其他设备。此外，我检查了证书本身和通用名称、DNS 和所有相关数据是否正确。

我知道可以在 iPhone 中导入证书，但 GoDaddy！是“受信任的根证书颁发机构”，所以我不应该做任何事情。

iPhone 不信任 GoDaddy 有什么理由！证书？

PS：我已经用另一部 iPhone（iPhone 6s、iOS 10）进行了测试，但它也不适用于该 iPhone。

是否可以要求这两种类型的授权？我知道 Microsoft NPS 可以使用 MAC 地址或凭据来批准访问，但是我可以同时要求这两者吗？谢谢，马兹利克

我有多个使用带有自签名证书的 Microsoft PEAP 的 NPS 网络策略。当我们的内部 CA 自动更新证书时，所有网络策略都会切换到 NPS 服务器上安装的另一个（看起来是随机的）证书。发生这种情况时，无线客户端无法进行身份验证，从而对我们的基础架构造成严重破坏。

自签名证书所基于的证书模板会在证书到期前 6 周自动更新证书。为了缓解此问题，我为自己设置了一个提醒，以编辑 NPS 策略并选择续订的证书。但我是一名 IT 消防员，有时火灾让我无法完成日常任务，甚至是重要的任务。

有没有办法告诉 NPS 使用更新的证书而不是随机选择一些证书？

我想为我的无线用户设置双重身份验证。

我有一个 Windows NPS 服务器，目前正在对我的无线用户进行身份验证，我想添加证书或任何其他第二因素进行身份验证。

Microsoft NPS 支持证书，但我看不到强制用户使用用户名/密码和证书进行身份验证的方法。

它只能是或。即我可以将服务器配置为使用证书或用户名/密码身份验证。

有没有办法强制使用两种方法？

或者可能有其他一些免费/便宜的方式来为无线用户配置 2FA。我相信可以将 freeradius 与 Google 身份验证一起使用，但在这种情况下，用户将在哪里输入 OTP？

谢谢，罗马

我正在使用 RADIUS 服务器（Windows 2008 R2 上的 NPS）来集中管理一堆 Cisco 设备的身份验证，包括交换机和无线接入点；我目前正在使用 RADIUS 对 IOS 控制台/SSH 登录进行身份验证，并向 Active Directory 用户提供对这些设备的管理访问权限。

我也计划为无线用户实施 RADIUS/AD 身份验证；这个问题的重点不是如何做到这一点，而是另一个问题：如何将不同的 NPS 策略应用于访问 IOS 以执行管理职责的用户，以及访问无线接入点的用户？为了区分 IOS 登录和无线登录，我可以过滤哪些 RADIUS 属性？

我有一个运行 NPS 的 Windows 2008 Std 服务器。应用最新一轮更新后（包括 2012 年 4 月的根证书 KB931125（参见： http: //support.microsoft.com/kb/933430/）），EAP 身份验证因格式错误而失败。

示例错误（安全/事件 ID 6273），为简洁起见被截断：

Authentication Details:
        Proxy Policy Name:              Use Windows authentication for all users
        Network Policy Name:            Wireless Access
        Authentication Provider:                Windows 
        Authentication Server:          nps-host.corp.contoso.com
        Authentication Type:            PEAP
        EAP Type:                       -
        Account Session Identifier:             -
        Reason Code:                    266
        Reason:                         The message received was unexpected or badly formatted.

NPS 策略（无线访问）已相应配置（用于约束/身份验证方法）

EAP Types:
            Microsoft: Protected EAP (PEAP) - with a valid certificate from ADCS
            Microsoft: Secured password (EAP-MSCHAP v2)
Less secure authentication methods:
            Microsoft Encrypted Authentication version 2 (MS-CHAP-v2)
            User can change password after it has expired
            Microsoft Encrypted Authentication (MS-CHAP)
            User can change password after it has expired

我们已经在没有上述补丁的情况下测试了不同的 RADIUS 服务器，并删除了 EAP 作为身份验证类型并取得了成功。

还有其他人遇到过这个问题吗？

在我们的域中，我有一台安装了网络策略和访问服务角色的 Windows Server 2008 R2 机器“GWY”。从这台机器上，我可以打开网络策略服务器管理控制台来管理这个角色。

但是，我在安装了所有管理控制台的域中有另一台 Server 2008 R2 机器“WKS”，因此我们可以从一个位置管理所有服务器。我找不到如何访问这台机器上的网络策略服务器控制台。