无线网络安全认证[AD+Radius+CA]配置:排错

1系统日志报错

类型:警告

来源: LSASRV

类别: SPNEGO (Negotiator)

事件 ID: 40960

日期: date

时间: time

用户: N/A

计算机: Computername

描述:安全系统检测到一个对服务器 ldap/dca.acc.local 的身份验证错误。来自身份验证协议 Kerberos 的失败代码为“目前没有可用的登录服务器处理登录请求。(0xc000005e)”。

有关更多信息，请参阅在 http://support.microsoft.com 的帮助和支持中心。

日期:0000: c000005e

原因:很简单,检查DC的资源利用情况; 一般来说IAS认证失败报错40960,是因为DC没有可用资源去进行用户验证!

来源:IAS 事件ID:2
用户 222 被拒绝访问。
Fully-Qualified-User-Name = dc.local/tst/222
NAS-IP-Address = 192.9.215.205
NAS-Identifier = WA2220-AG
Called-Station-Identifier = 00-23-89-6F-FD-D1:h3c-dot1x
Calling-Station-Identifier = 74ea-3a7a-dd9b
Client-Friendly-Name = HHH
Client-IP-Address = 192.9.215.205
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 16785409
Proxy-Policy-Name = 对所有用户使用
Authentication-Provider = Windows
Authentication-Server = <未确定>
Policy-Name = wLAN
Authentication-Type = EAP
EAP-Type = <未确定>
Reason-Code = 65
Reason = 连接企图失败，因为用户帐户的远程访问许可被拒绝。要允许远程访问，请启用用户帐户的远程访问许可，或者，如果用户帐户指出访问被匹配的远程访问策略控制，就请启用那个远程访问策略的远程访问许可。

原因: 如果报上述错误,请查看用户是否有拨入权限[默认拒绝拨入]. ;如果是工作组环境,可以直接点击用户名-属性-拨入选项修改…
如果是域环境可以通过在IAS内增加策略来批量允许.[域模式必须为2003模式 ]

RADIUS:编辑EaP配置时报错: 不能配置EAP

原因:我遇到这个问题是,搜索了大量答案,都没有解决… 后来发现日志报告里有一条:没有合适的远程服务器证书来进行分发[大概是,具体的文字忘记了]. 原来即使我们使用EAP的认证方式,必须安装CA证书服务;

故障:用户连接AP,始终显示正在连接,无法弹出显示拨入名称和密码选项,无法连接到AP网络;

建议:很多时候由于公司条件有限,我们不得不把多种管理角色放在同一服务器上,比如,,这次做IAS认证,我们的生产环境是AD+ISA+IAS.3个角色放在同一server上. 当我在AP和CLIENT上配置了ias. 每次都无法有效认证. 并且在IAS端,也没有认证日志. 个人认为是ISA的原因. 导致IAS和客户端之间根本无法进行认证; 当然我的ISA策略是没有问题的 [ISA策略:本地 内部 to 本地 内部 ‘所有用户 时间 协议’ 允许通过]

2.在Windows2008 Beta之后,小弟此时公司内的Domain contorl全部为2003EE,本着技术更新的概念,想在从中添加一台2008的DC,但是每次将2008以辅助DC的角色加进来的时候都会报错:远程调用失败,当然服务器端口之间的通信都是正常的.另一台2003系统是可以正常以DC角色加入的.就其原因是:ISA Sevr的问题. 将主DC服务器上的ISA卸载后2008系统才可正常加入[经测试,更新最新的ISA SP3补丁也可解决这个问题]