作为 RADIUS 服务器的 IAS 的疑难解答

作为 RADIUS 服务器的 IAS 的疑难解答

您遇到什么问题?
连接尝试失败。
原因:IAS 由于多种原因拒绝或放弃了连接尝试。
解决方案:验证已将 IAS 配置为将被拒绝的身份验证尝试记录到事件日志中。再次尝试连接,然后检查系统事件日志中的连接尝试的 IAS 事件。使用日志中的信息,确定连接尝试被拒绝或放弃的原因,以及解决问题的方法。
使用“受保护的可扩展身份验证协议 (PEAP)”的连接尝试失败。
原因:未将 IAS 服务器上的无线远程访问策略配置为使用 PEAP 作为身份验证方法。
解决方案:在使用 PEAP-EAP-MS-CHAPv2 或 PEAP-EAP-TLS 配置的 IAS 服务器上创建无线远程访问策略。
另请参阅:“配置远程访问策略”;“配置 PEAP 和 EAP 方法”;“使用安全密码身份验证的无线访问”
原因:IAS 服务器上的远程访问策略被配置为拒绝用户或计算机。
解决方案: 确保未将远程访问策略和用户帐户设置配置为拒绝用户身份验证和身份验证尝试。例如,如果用户属于的组在远程访问策略中限制在 9 A.M. 和 5 P.M. 之间访问网络,则用户在 5:01 P.M. 和 8:59 A.M. 之间所作的任何登录尝试都将失败。要解决此问题,请在远程访问策略中更改日期和时间限制,或者将用户移到具有不同日期和时间限制或无日期和时间限制的其他 组。另外,Active Directory 中的用户帐户设置也可能阻止用户访问网络。
原因:您使用 PEAP-EAP-MS-CHAPv2 作为身份验证方法,IAS 服务器没有可用来将服务器验证到客户端的证书。
解决方案: 如果 IAS 服务器是域成员计算机,可以自动注册一个在“增强型密钥用法”扩展中包含“服务器身份验证”的目的,并根据最小服务器证书要求进行配置的证书。如果 IAS 服务器不是域成员计算机,可以使用 CA Web 注册工具注册一个在“增强型密钥用法”扩展中包含“服务器身份验证”的目的,并根据最小服务器证书要求进行配置的证书;或者可以使用软盘在 IAS 服务器上安装证书。
另请参阅 网络访问身份验证和证书中的“Certificate requirements for EAP”(EAP 的证书要求)部分。
原因:您使用 PEAP-EAP-MS-CHAPv2 作为身份验证方法,用户在系统提示确定是否信任服务器证书时选择了不信任服务器证书。
解决方案:告知用户下次登录时选择信任服务器证书。
原因:您使用 PEAP-EAP-TLS 作为身份验证方法,而客户端计算机证书的“增强型密钥用法”扩展中不包含“服务器身份验证”目的,并且该证书没有根据最小客户端证书要求进行配置。
解决方案: 如果客户端是域成员计算机,可以自动注册一个在“增强型密钥用法”扩展中包含“客户端身份验证”的目的,并根据最小客户端证书要求进行配置的证书。如果客 户端不是域成员计算机,可以使用 CA Web 注册工具注册一个在“增强型密钥用法”扩展中包含“客户端身份验证”的目的,并根据最小客户端证书要求进行配置的证书;或者可以使用软盘在 IAS 服务器上安装证书。
另请参阅 网络访问身份验证和证书中的“Certificate requirements for EAP”(EAP 的证书要求)部分。
原因:客户端计算机不信任颁发服务器证书的 CA。
解决方案:将组织的根证书颁发机构证书添加到计算机证书存储区的“受信任根证书授权机构”文件夹中。
原因:您使用 PEAP-EAP-TLS 作为身份验证方法,IAS 服务器没有可用来将服务器验证到客户端的证书。
解决方案: 如果 IAS 服务器是域成员计算机,可以自动注册一个在“增强型密钥用法”扩展中包含“服务器身份验证”的目的,并根据最小服务器证书要求进行配置的证书。如果 IAS 服务器不是域成员计算机,可以使用 CA Web 注册工具注册一个在“增强型密钥用法”扩展中包含“服务器身份验证”的目的,并根据最小服务器证书要求进行配置的证书;或者可以使用软盘在 IAS 服务器上安装证书。
另请参阅 网络访问身份验证和证书中的“Certificate requirements for EAP”(EAP 的证书要求)部分。
原因:配置证书自动注册之后,没有刷新域成员计算机上的“组策略”。
解决方案:刷新域成员计算机上的“组策略”。配置并启用自动注册后,所有域成员计算机在下次刷新“组策略”时都会收到计算机证书,无论是通过 gpupdate 命令手动触发刷新,还是通过计算机下次登录该域触发刷新。
新近加入域的计算机无法注册证书。
原因:为域部署“公钥基础结构 (PKI)”并配置自动注册后,Active Directory 复制滞后时间可能会暂时影响客户端或服务器从证书颁发机构获取证书的能力。
解决方案:验证 Active Directory 已经复制到所有域控制器,然后刷新“组策略”以便在计算机上注册证书。您可以通过运行 gpupdate 命令刷新“组策略”,也可以通过登录到域刷新“组策略”。
使用“密码身份验证协议 (PAP)”的连接尝试失败。
原因:密码不正确。
解决方案:再次尝试连接并验证密码的正确性。
原因:共享的机密不匹配。
解决方案:验证在“Internet 身份验证服务”中为访问服务器和 RADIUS 客户端配置了同一共享的机密。
使用“Microsoft 质询握手身份验证协议 (MS-CHAP)”的连接尝试失败。
原因:密码不正确。
解决方案:再次尝试连接并验证密码的正确性。
原因:访问客户端使用的是 LAN Manager 身份验证。
解决方案: 默认情况下,用于 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 和 Windows Server 2003, Datacenter Edition 的 MS-CHAP 不支持 LAN Manager 身份验证。如果要允许将使用 MS-CHAP 的 LAN Manager 身份验证用于早期的 Microsoft 操作系统(如 Windows NT 3.5x 和 Windows 95),就必须在 IAS 服务器上将下列注册表值设置为 1:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess \Policy\Allow LM Authentication
警告
  • 编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据。

用户通过 EAP 或 PEAP 与交换机客户端的连接已通过 802.1x 身份验证,但系统不提示其输入凭据,无法登录。
原因:网络连接的图标必须显示在客户端的通知区域。
解决方案:配置客户端上的网络连接属性,以便连接后网络连接图标显示在通知区域中。
原因:没有将交换机配置为:当检测到端口上有活动的客户端时,使用“EAP-Request-Identity”数据包初始化身份验证。
解决方案:将交换机配置为初始化身份验证。
没有远程访问权限的用户却能够登录。
原因:远程访问策略可能正在授予这些用户访问权限。
解决方案:检查策略列表,确保列表中不包含其成员用户被拒绝访问的组。
原因:用户帐户拨入属性中的远程访问权限被设置为“授予”访问,因而覆盖了远程访问策略的远程访问权限。
解决方案:检查用户对象的拨入属性。
原因:远程访问策略的评估顺序可能不正确。
解决方案:条件符合连接尝试的第一个策略将授予或拒绝授权。使用“上移”按钮移动拒绝访问这些用户的策略,从而使它位于列表的前列。
用户能够成功登录,但是它们的登录尝试不显示在日志文件中。
原因:未将 IAS 配置为记录成功的身份验证尝试。
解决方案:将 IAS 配置为在事件日志中记录成功的身份验证尝试。
已将 Active Directory 域从 Windows 2000 混合域更改为 Windows 2000 本机域或 Windows Server 2003 域,而 IAS 服务器无法再验证有效的连接请求。
原因:将域从 Windows 2000 混合域更改为 Windows 2000 本机域或 Windows Server 2003 域后,必须重新启动域中的每个域控制器,才能复制更改。
解决方案:重新启动域控制器,以便 IAS 服务器能够对有效的连接请求进行身份验证。
远程访问日志文件未记录临时记帐消息。
原因:未将远程访问日志配置为记录周期性状态。
解决方案:将远程访问日志配置为记录周期性状态。
原因:未在相应的远程访问策略的“高级”选项卡中添加并配置“Acct-Interim-Interval”RADIUS 记帐属性。
解决方案:在相应的远程访问策略的“高级”选项卡中添加并配置“Acct-Interim-Interval”RADIUS 记帐属性。“Acct-Interim-Interval”属性的值为每两次临时记帐更新之间所间隔的秒数。
原因:访问服务器不支持临时记帐,或未配置为发送临时记帐消息。
解决方案: 验证访问服务器是否支持临时记帐和“Acct-Interim-Interval”属性。如果支持,请查阅访问服务器文档中有关如何启用临时记帐的说明。 “路由和远程访问”服务支持临时记帐消息的发送,此服务可在配置 RADIUS 记帐提供程序时从 RADIUS 服务器的属性中启用。
第三方网络访问服务器 (NAS) 断开连接,IAS 将 Microsoft 供应商专用的属性 (MS-RAS-MPPE-Encryption-Policy) 发送到网络访问服务器,而不是 NAS 的供应商 ID。
原因:未将远程访问策略中配置的加密策略设置为默认值。
解决方案: 如果未将远程访问策略中配置的加密策略设置为默认值,则 Microsoft VSA“MS-RAS-MPPE-Encryption-Policy”将被发送到第三方网络访问服务器。默认加密策略允许所有加密级别,并且不包含“路 由和远程访问”服务专用的任何属性,因此应用默认加密设置将阻止 IAS 将任何 Microsoft VSA 发送给第三方 NAS。在远程访问策略的配置文件中按以下步骤进行操作:
  • 在“加密”选项卡中,将加密策略还原为默认设置。选择“无加密”之外的所有加密级别。

  • 在“高级”选项卡上,从远程访问策略的属性列表中删除所有“路由和远程访问”服务专用的属性。

  • 在“IP”选项卡上,删除所有 IP 筛选器。

  • 在“多重链接”选项卡中,选择“服务器设置确定多重链接使用率”。将所有其他设置恢复为默认设置(未选定)。

MS-CHAP v2 或 EAP-TLS 身份验证被拒绝用于有效的连接尝试。
原因: 与连接请求匹配的身份验证方法(在连接请求策略的配置文件设置中)被配置为接受连接请求,而不执行身份验证或身份验证设置。MS-CHAP v2 和 EAP-TLS 是相互身份验证协议。在相互验证身份的过程中,访问客户端证明它是身份验证服务器的有效访问客户端,身份验证服务器证明它是访问客户端的有效身份验证服务 器。使用此身份验证选项时,即使授予了连接请求,身份验证服务器也不提供对访问客户端的验证。从而导致相互身份验证失败。
解决方案:重新配置连接请求策略,以便 MS-CHAP v2 和 EAP-TLS 连接在经过身份验证和授权后才被接受。
另请参阅 连接请求策略
再也无法看到“路由和远程访问”中的“远程访问策略”节点。
原因:将“路由和远程访问”服务器配置为使用 RADIUS 身份验证后,不再评估“路由和远程访问”服务器上的远程访问策略以进行身份验证。
解决方案:这是有意的行为。如果运行“路由和远程访问”服务的 RADIUS 服务器是 IAS 服务器,那么可通过 Internet 验证服务配置远程访问策略。
尝试打开 IAS 控制台时,收到错误消息,控制台无法打开。
原因:要管理 IAS,必须具有管理凭据。
解决方案:作为不具有管理凭据的组(如 Users 或 Power Users)成员登录时,您可以使用 Runas 命令执行任务(例如打开 IAS 控制台)。此外,还能以 Administrator 身份登录打开控制台。
注意
You can configure IAS in Windows Server 2003, Standard Edition, with a maximum of 50 RADIUS clients and a maximum of 2 remote RADIUS server groups. You can define a RADIUS client using a fully qualified domain name or an IP address, but you cannot define groups of RADIUS clients by specifying an IP address range. If the fully qualified domain name of a RADIUS client resolves to multiple IP addresses, the IAS server uses the first IP address returned in the DNS query. With IAS in Windows Server 2003, Enterprise Edition, and Windows Server 2003, Datacenter Edition, you can configure an unlimited number of RADIUS clients and remote RADIUS server groups. In addition, you can configure RADIUS clients by specifying an IP address range.