无线网络安全认证[AD+Radius+CA]配置:排错

1系统日志报错

 

类型:警告
来源: LSASRV
类别: SPNEGO (Negotiator)
事件 ID: 40960
日期: date
时间: time
用户: N/A
计算机: Computername
描述:安全系统检测到一个对服务器 ldap/dca.acc.local 的身份验证错误。来自身份验证协议 Kerberos 的失败代码为目前没有可用的登录服务器处理登录请求。(0xc000005e)”
有关更多信息,请参阅在 http://support.microsoft.com 的帮助和支持中心。
日期:0000: c000005e

 

原因:很简单,检查DC的资源利用情况; 一般来说IAS认证失败报错40960,是因为DC没有可用资源去进行用户验证!

 

 

 

来源:IAS  事件ID:2

用户 222 被拒绝访问。

 Fully-Qualified-User-Name = dc.local/tst/222

 NAS-IP-Address = 192.9.215.205

 NAS-Identifier = WA2220-AG

 Called-Station-Identifier = 00-23-89-6F-FD-D1:h3c-dot1x

 Calling-Station-Identifier = 74ea-3a7a-dd9b

 Client-Friendly-Name = HHH

 Client-IP-Address = 192.9.215.205

 NAS-Port-Type = Wireless - IEEE 802.11

 NAS-Port = 16785409

 Proxy-Policy-Name = 对所有用户使用

 Authentication-Provider = Windows

 Authentication-Server = <未确定>

 Policy-Name = wLAN

 Authentication-Type = EAP

 EAP-Type = <未确定>

 Reason-Code = 65

 Reason = 连接企图失败,因为用户帐户的远程访问许可被拒绝。要允许远程访问,请启用用户帐户的远程访问许可,或者,如果用户帐户指出访问被匹配的远程访问策略控制,就请启用那个远程访问策略的远程访问许可。

 

 

原因: 如果报上述错误,请查看用户是否有拨入权限[默认拒绝拨入]. ;如果是工作组环境,可以直接点击用户名-属性-拨入选项修改  

 如果是域环境可以通过在IAS内增加策略来批量允许.[域模式必须为2003模式 ]

 

 

RADIUS:编辑EaP配置时报错:  不能配置EAP 

 

原因:我遇到这个问题是,搜索了大量答案,都没有解决后来发现日志报告里有一条:没有合适的远程服务器证书来进行分发[大概是,具体的文字忘记了]. 原来即使我们使用EAP的认证方式,必须安装CA证书服务;

 

 

 

故障:用户连接AP,始终显示正在连接,无法弹出显示拨入名称和密码选项,无法连接到AP网络;

 

建议:很多时候由于公司条件有限,我们不得不把多种管理角色放在同一服务器上,比如,,这次做IAS认证,我们的生产环境是AD+ISA+IAS.3个角色放在同一server.   当我在APCLIENT上配置了ias. 每次都无法有效认证.  并且在IAS,也没有认证日志. 个人认为是ISA的原因. 导致IAS和客户端之间根本无法进行认证;   当然我的ISA策略是没有问题的 [ISA策略:本地 内部 to 本地 内部 所有用户 时间 协议  允许通过]

 

2.Windows2008 Beta之后,小弟此时公司内的Domain contorl全部为2003EE,本着技术更新的概念,想在从中添加一台2008DC,但是每次将2008以辅助DC的角色加进来的时候都会报错:远程调用失败,当然服务器端口之间的通信都是正常的.另一台2003系统是可以正常以DC角色加入的.就其原因是:ISA Sevr的问题. 将主DC服务器上的ISA卸载后2008系统才可正常加入[经测试,更新最新的ISA SP3补丁也可解决这个问题]

 

你可能感兴趣的:(网络,安全,无线,域,域认证)