Радиус соединения с компьютерами Windows 7

У меня есть много точек доступа Ubiquiti Unifi, подключенных к серверу радиуса действия NPS Windows Server 2012.

Я настроил политики безопасности, чтобы позволить пользователям домена подключаться к локальной сети.

У меня проблемы с клиентами Windows 7. Я получаю сообщение Impossible to connect,

В C:\Windows\System32\LogFilesЯ вижу Access-Request пакет и 11 пакет, который, кажется, Access-Challenge, Я не видел ни одной записи в журнале событий об отклоненном соединении.

Я попытался вручную настроить беспроводное соединение с этим руководством, но безуспешно:

Unifi - Windows 7 - инструкция

С устройствами, не относящимися к Windows (например, мобильными телефонами, планшетами, компьютерами Mac), радиус-соединение работает отлично!

Как я могу заставить клиентов Windows 7 работать также?

1 ответ

Решение

Я просто сделал это точно, но я использовал Windows Server 2008R2 в качестве сервера RADIUS.

Руководство, на которое вы ссылаетесь, выглядит хорошо, на самом деле, оно просто должно соответствовать вашим настройкам на сервере NPS/RADIUS. По умолчанию компьютеры Windows 7 будут пытаться аутентифицироваться с помощью пароля домена компьютера при первом включении, а затем с именем пользователя / паролем после входа в систему. По умолчанию Windows 7 также будет пытаться проверить, что сертификат, представленный RADIUS-сервер является доверенным. Руководство, на которое вы ссылаетесь, показывает, как заставить клиента Windows 7 проходить аутентификацию только с пользовательской информацией. Вы должны убедиться, что это соответствует вашей фактической политике NPS.

Вот что я сделал для установки Unifi:

  1. У нас есть PKI домена, поэтому я сгенерировал доверенный домен сертификат для сервера RADIUS. Если вы используете самозаверяющий сертификат, вы должны использовать объект групповой политики для его развертывания в доверенных корневых центрах сертификации на клиентских устройствах.
  2. Я установил Политику соединения RADIUS, метод аутентификации следующим образом: EAP-MSCHAPv2.
  3. Я создал 2 сетевые политики для соответствия 2 SSID: доменные компьютеры и доменные пользователи. Затем я использовал атрибут RADIUS "Called Station ID" для установки соответствующих условий: Группа компьютеров: Домен \ Домен Компьютеры для SSID "Компьютеры" и Группа пользователей: Домен \ Пользователи беспроводной сети для SSID "Пользователи".
  4. Затем я установил правильные настройки, используя настройки групповой политики GPO, на все наши присоединенные к домену ноутбуки.

Кстати, вы перечислили очень минимальное сообщение об ошибке, но если вы заглянете в журнал событий безопасности Windows, вы сможете получить гораздо более подробную информацию о том, где происходит сбой аутентификации RADIUS.

Наиболее вероятные источники ошибок:

  • Неправильный или ненадежный сертификат
  • Windows пытается использовать неправильный пароль - компьютер против пароля пользователя - на присоединенном к домену устройстве.
  • Вы настроили метод аутентификации на сервере RADIUS иначе, чем на клиенте.

Кстати, Unifi AP просто проходит аутентификацию RADIUS: это вообще не будет частью уравнения. Достаточно взглянуть на сервер RADIUS и клиентское устройство.

Другие вопросы по тегам