Мигрированный NPS не будет обслуживать клиента RADIUS

Недавно я перенес NPS с одного хоста, работающего под управлением Windows Server 2012 Standard, на другой, используя инструкции TechNet по миграции с разными именами хостов.

В то время как все мои RADIUS-клиенты были (и все еще) могут проходить аутентификацию на старом сервере, один клиент (Apple Time Capsule) не может сделать это с новым (я протестировал три других клиента, и они работают нормально с новый сервер).

Я трижды проверил, что общие секреты в порядке между Time Capsule и NPS (и также несколько раз менял его, на всякий случай, копируя один и тот же секрет на каждом), и на основе статьи, которую я также переключил Сертификаты NPS (я перепутал миграцию моего ЦС, и мне пришлось создать новый). Сертификат нового CA установлен и должен быть доверенным на устройствах, пытающихся аутентифицироваться.

Журнал событий на старом сервере показывает события аудита безопасности Windows для успешных входов в систему, которые, очевидно, не отображаются на новом (для Time Capsule) - фактически единственное, что действительно появляется при попытке аутентификации на новом сервере являются событиями NPS 4400, информирующими меня об установленных соединениях LDAP (успешно).

После того, как я включил больше регистрации на новом сервере, файл журнала NPS под C:\Windows\system32\logfiles действительно получает некоторую дополнительную информацию, по сравнению с журналами со старого сервера.

Старый сервер (успешная аутентификация):

<Event>
    <Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp>
    <Computer-Name data_type="1">(old-server-name)</Computer-Name>
    <Event-Source data_type="1">IAS</Event-Source>
    <NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address>
    <NAS-Port data_type="0">0</NAS-Port>
    <Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id>
    <Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id>
    <Framed-MTU data_type="0">1400</Framed-MTU>
    <NAS-Port-Type data_type="0">19</NAS-Port-Type>
    <Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info>
    <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
    <Client-Vendor data_type="0">0</Client-Vendor>
    <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
    <User-Name data_type="1">(username@domain)</User-Name>
    <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
    <Provider-Type data_type="0">1</Provider-Type>
    <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
    <Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
    <NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
    <Class data_type="1">311 1 (old-server-ip) 12/07/2012 09:32:22 2836</Class>
    <Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
    <EAP-Friendly-Name data_type="1">Microsoft: Secured password (EAP-MSCHAP v2)</EAP-Friendly-Name>
    <MS-Quarantine-State data_type="0">0</MS-Quarantine-State>
    <MS-Extended-Quarantine-State data_type="0">0</MS-Extended-Quarantine-State>
    <Authentication-Type data_type="0">11</Authentication-Type>
    <Packet-Type data_type="0">1</Packet-Type>
    <Reason-Code data_type="0">0</Reason-Code>
</Event>
<Event>
    <Timestamp data_type="4">12/09/2012 23:57:03.831</Timestamp>
    <Computer-Name data_type="1">(old-server-name)</Computer-Name>
    <Event-Source data_type="1">IAS</Event-Source>
    <Class data_type="1">311 1 (old-server-ip) 12/07/2012 09:32:22 2836</Class>
    <EAP-Friendly-Name data_type="1">Microsoft: Secured password (EAP-MSCHAP v2)</EAP-Friendly-Name>
    <Authentication-Type data_type="0">11</Authentication-Type>
    <PEAP-Fast-Roamed-Session data_type="0">1</PEAP-Fast-Roamed-Session>
    <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address>
    <Client-Vendor data_type="0">0</Client-Vendor>
    <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name>
    <MS-CHAP-Domain data_type="2">(domain-data)</MS-CHAP-Domain>
    <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name>
    <Provider-Type data_type="0">1</Provider-Type>
    <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name>
    <Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name>
    <NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name>
    <Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant>
    <Framed-Protocol data_type="0">1</Framed-Protocol>
    <Service-Type data_type="0">2</Service-Type>
    <MS-Quarantine-State data_type="0">0</MS-Quarantine-State>
    <MS-Extended-Quarantine-State data_type="0">0</MS-Extended-Quarantine-State>
    <Packet-Type data_type="0">2</Packet-Type>
    <Reason-Code data_type="0">0</Reason-Code>
</Event>

Новый сервер (сбой):

<Event>
    <Timestamp data_type="4">12/11/2012 00:43:59.126</Timestamp> 
    <Computer-Name data_type="1">(new-server-name)</Computer-Name> 
    <Event-Source data_type="1">IAS</Event-Source> 
    <NAS-IP-Address data_type="3">(radius-client-ip)</NAS-IP-Address> 
    <NAS-Port data_type="0">0</NAS-Port> 
    <Called-Station-Id data_type="1">(nn-nn-nn-nn-nn-nn:DOMAIN)</Called-Station-Id> 
    <Calling-Station-Id data_type="1">(mm-mm-mm-mm-mm-mm)</Calling-Station-Id> 
    <Framed-MTU data_type="0">1400</Framed-MTU> 
    <NAS-Port-Type data_type="0">19</NAS-Port-Type> 
    <Connect-Info data_type="1">CONNECT 0Mbps 802.11</Connect-Info> 
    <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address> 
    <Client-Vendor data_type="0">0</Client-Vendor> 
    <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name> 
    <User-Name data_type="1">(username@domain)</User-Name> 
    <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name> 
    <Provider-Type data_type="0">1</Provider-Type> 
    <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name> 
    <Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name> 
    <Class data_type="1">311 1 (new-server-ip) 12/10/2012 20:22:25 67</Class> 
    <Authentication-Type data_type="0">5</Authentication-Type> 
    <NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name> 
    <Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant> 
    <Packet-Type data_type="0">1</Packet-Type> 
    <Reason-Code data_type="0">0</Reason-Code> 
</Event>
<Event>
    <Timestamp data_type="4">12/11/2012 00:43:59.126</Timestamp> 
    <Computer-Name data_type="1">(new-server-name)</Computer-Name> 
    <Event-Source data_type="1">IAS</Event-Source> 
    <Class data_type="1">311 1 (new-server-ip) 12/10/2012 20:22:25 67</Class> 
    <Session-Timeout data_type="0">30</Session-Timeout> 
    <Client-IP-Address data_type="3">(radius-client-ip)</Client-IP-Address> 
    <Client-Vendor data_type="0">0</Client-Vendor> 
    <Client-Friendly-Name data_type="1">(radius-client-name)</Client-Friendly-Name> 
    <Proxy-Policy-Name data_type="1">(connection-request-policy-name)</Proxy-Policy-Name> 
    <Provider-Type data_type="0">1</Provider-Type> 
    <SAM-Account-Name data_type="1">(DOMAIN\username)</SAM-Account-Name> 
    <Fully-Qualifed-User-Name data_type="1">(DOMAIN\username)</Fully-Qualifed-User-Name> 
    <Authentication-Type data_type="0">5</Authentication-Type> 
    <NP-Policy-Name data_type="1">(network-policy-name)</NP-Policy-Name> 
    <Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant> 
    <Packet-Type data_type="0">11</Packet-Type> 
    <Reason-Code data_type="0">0</Reason-Code> 
</Event>

В случае неудачи второе событие имеет тип пакета =11, что относится к проблеме. Поскольку эти два события повторяются в журнале NPS несколько раз, я предполагаю, что это означает, что на вызов никогда не будет ответа?

Если у меня не установлен сертификат CA на устройствах, пытающихся аутентифицироваться, устройство показывает сертификат CA со старого сервера при аутентификации на нем. Тем не менее, с новым сервером меня вообще не спрашивают о сертификате - устройства просто сообщают, что они аутентифицируются, но ничего не происходит, кроме двух событий выше. В конце концов, устройства истекают и говорят, что не могут подключиться.

Редактирование # 4: я отлаживал это немного больше, даже удаляя конфигурацию и создавая новые политики на новом сервере NPS, но безрезультатно. Теперь я настроил новый сервер NPS для использования только PEAP с EAP-MSCHAPv2.

Я только что заметил, что если я выберу самозаверяющий сертификат (выданный localhost, а не FQDN, и сгенерированный для IIS Express Development(!)) На новом сервере NPS, устройства предложат мне сертификат и если я решу принять сертификат, присоединиться к сети успешно. В этом случае журналы выглядят как первый выше, то есть Тип аутентификации 11 и Типы пакетов 1 и 2, по порядку.

Выбор любого другого сертификата, который я перечислил в Свойствах защищенного EAP, приведет к тому, что клиенты никогда не будут запрашивать у меня сертификат (даже если у меня не установлен сертификат CA), и тип проверки подлинности 5 будет использоваться безуспешно, как указано выше. Это происходит даже с сертификатом, который был создан с помощью шаблона сертификата RAS и IAS Server для этого самого сервера.

Каковы точные требования к сертификатам, используемым для серверов NPS?