在幾年前公司安裝的2008R2 radius 提供無線驗證,覺得不保險所以另外再找一台服務較輕的server 2012 R2 主機增加NPS功能來擔任第2台備援 radius 。
NPS 功能安裝完畢後且已經註冊到網域後,接著就憑證申請來提供驗證
在NPS主機上利用mmc 嵌入工具來開啟憑證管理程式,請選擇點管理電腦憑證
接著在管理工具申請憑證,如下圖我集團有架設CA伺服器所以我選擇RAS and IAS Server
申請中
申請成功
在管理工具中可以看到一張Server and client 驗證憑證
利用精靈模式來設定比較方便
開啟NPS管理工具後,選擇[RADIUS server for 802.1X ]點選 [Configure 802.Xvm]
Network connection 方式 選 : IEEE 802.1X (Wireless)
policy name : Wireless (自訂即可)
設定Radius client
點選Add 後,將相關資訊輸入
設定驗證模式,我的環境用電腦憑證驗證,所以選鑿smart card or other certificate
點選設定可以設定前面步驟申請的憑證
新增允許使用無線網路群組,若沒有設定是表是所有人(在此我的環境是允許所有人)
流量控制在此我沒有要設定直接下一步
確定沒問定點選finish 就完成設定
其他說明
1.要在NPS主機上看到相關LOG 請執行以下指令
auditpol /set /subcategory:”Network Policy Server” /success:enable /failure:enable
2.當設定OK後,我進行測試發現一直無法驗證成功,我很確定用戶端NB憑證沒有問題,看了log 如下,因為我這一台是當作被援用,如果我的cisco 設定是找我另外一台NPS驗證則是OK(Win2008 R2)。
突然想到2017.8月安全性更新Windows 2012 R2有一個NPS問題存在,如果安裝
August 8, 2017—KB4034681 就會發生驗證失敗的問題。
解決方法
在2012 R2 NPS主機新增機碼
SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\DisableEndEntityClientCertCheck
本篇瀏覽人數: 11951
你好,想請問客戶端也需要安裝憑證嗎?
您好
應該說 客戶端要信任你發給NPS Server 的憑證單位