Устранение неполадок с подключением Windows EAP/RADIUS

Итак, я думаю, что краткая версия вопроса:

Я не могу заставить клиентов подключаться к беспроводной сети корпоративного WPA после настройки "нового" сервера NPS и нового центра сертификации. После того, как я вручную запрашиваю новый сертификат на моем клиенте с сервера NPS/CA и пытаюсь подключиться к беспроводной сети, они в течение примерно минуты ждут "Попытка аутентификации"/"Ожидание готовности сети", прежде чем сдаться и говоря, что они не могут подключиться.

Журналы на моем сервере NPS/CA дают "Код причины" IAS4142, равный 23..., который отсутствует в технической документации о том, что означают различные коды ошибок. >:/ Что происходит, и кто-нибудь знает, как это исправить? Или с чего начать устранение неполадок с этим? (Google был довольно бесполезен... нашел несколько человек с той же проблемой, но без решений.)

Более длинная версия, которая, как мы надеемся, содержит информацию, которая может помочь кому-то помочь мне:

Пару недель назад у нас было мероприятие, в ходе которого насильственно захватили роли FSMO у наших двух "главных" DC в домашнем офисе (2k3 R2). В результате они не в сети и больше не возвращаются. Конечно, после этого и разрешения немедленного кризиса мы получали сообщения о том, что беспроводной доступ больше не работает. Это имело смысл, когда мы вернулись и посмотрели на отключенные бывшие контроллеры домена и обнаружили, что один из них является нашим единственным IAS-сервером, а другой - единственным центром сертификации в нашей среде. Конечно, мы используем беспроводное шифрование WPA-enterprise с сертификатами, выданными учетным записям клиентских компьютеров, и учетными данными домена, необходимыми для аутентификации (ленивый способ, позволяющий клиентам использовать свои учетные данные для автоматической аутентификации без взаимодействия с пользователем). Таким образом, проблема заключалась в том, что не было RADIUS-сервера, доступного для обслуживания запросов, и выдающий CA все равно исчез.

Решение, которое в то время казалось удачным, состояло в том, чтобы установить новый сервер и из-за ограничений оборудования назначить ему роли CA и NPS. Я хотел бы также сделать его DC, но не смог в результате других ограничений. Все, что я знаю и читал, указывало, что это будет хорошо. У меня также было комическое предположение, что я смогу настроить его правильно и не иметь всех раздражений предыдущей установки. И, не желая повторно вводить вручную пару сотен клиентов и пару дюжин политик, я следовал этой технической статье о том, как перенести серверы NPS (и исправить неправильный параметр IAS в NAP EAP. В основном. Вместо 0,16,515 в этом разделе у меня было 0,15,521... поэтому я исправил "0" в соответствии с указаниями и продолжил.)

Я изменил несколько настроек шифрования CA (SHA-1 на SHA-512 из-за небезопасности SHA-1 в наши дни, назвал корневой сертификат менее защищенным способом и т. Д.), Зарегистрировал NPS в AD и подумал, что хорошо пойти. Затем я столкнулся с проблемой, что XP не может использовать сертификаты SHA-2 для AAA (&% # ^!!!), что проблематично, когда наши клиенты все еще работают на XP. Установлено это исправление (в котором упоминается, что обновление будет включено в XP SP4...:/), и до сих пор нет радости. Нашел код ошибки с чуть большим количеством работы, чем я хотел бы признать (особенно когда я позже заметил ошибку в журналах событий безопасности, поэтому я потратил впустую свое время на расшифровку журналов регистрации IAS) и отправился в Google за помощью и подошел почти полностью пустым. Другие люди сообщали о той же самой проблеме, но никто, кажется, не знает, что случилось, или как исправить это. Текст Event Log:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
    Security ID:            [domain\username]
    Account Name:           [domain\username]
    Account Domain:         [domain]
    Fully Qualified Account Name:   [domain\username]

Client Machine:
    Security ID:            NULL SID
    Account Name:           -
    Fully Qualified Account Name:   -
    OS-Version:         -
    Called Station Identifier:      003a.9a18.7671
    Calling Station Identifier:     0013.e888.ecef

NAS:
    NAS IPv4 Address:       [AP's IP]
    NAS IPv6 Address:       -
    NAS Identifier:         [AP's name]
    NAS Port-Type:          Wireless - IEEE 802.11
    NAS Port:           1939

RADIUS Client:
    Client Friendly Name:       [AP's name]
    Client IP Address:          [AP's IP]

Authentication Details:
    Connection Request Policy Name: [Wifi access policy name]
    Network Policy Name:        [Wifi access policy name]
    Authentication Provider:        Windows
    Authentication Server:      [The NPS/CA server.domain.tld]
    Authentication Type:        PEAP
    EAP Type:           -
    Account Session Identifier:     -
    Logging Results:            Accounting information was written to the local log file.
    Reason Code:            23
    Reason:             An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.

И, на самом деле, когда я просматривал журналы, чтобы захватить эту ошибку, я заметил ее как раз перед ней (та же временная метка, но перед другой в EventLog)... не уверен, что это значит... мой корневой сертификат плохо?!?!?

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 11:25:37 AM
Event ID:      5061
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      [The NPS/CA server]
Description:
Cryptographic operation.

Subject:
    Security ID:        SYSTEM
    Account Name:       [The NPS/CA server]
    Account Domain:     [domain]
    Logon ID:       0x3e7

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   [Root cert created when the CA was installed]
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Decrypt.
    Return Code:    0x80090010

Прежде чем я сделаю что-то радикальное, [плачу], например, переустановлю наш сервер CA и NPS, затем сконфигурирую все вручную... или куплю кучу боеприпасов и поеду к Ремдонду [/cry], у кого-нибудь есть какие-нибудь идеи относительно менее болезненных мер, которые может помочь решить мою проблему?