Меню

Ошибка согласования запрашиваемые методы eap недоступны

  • Remove From My Forums

 locked

Вопросы по «Службе политики сети и доступа»

  • Общие обсуждения

  • Настроил на сервере 2008R2 «Службу политики сети и доступа» в качестве RADIUS-сервера для беспроводных точек доступа (с методом проверки подлинности на основе сертификата). Всё работает.

    1) Понадобилось добавить ограничение на основе группы пользователей. Но если я в свойствах сетевой политики на вкладке Условия добавляю Группу пользователей или Группу Windows, то клиенты не могут подключиться, а в логе сервера фиксируется ошибка 1006
    EapHost «Ошибка согласования. Запрашиваемые методы EAP недоступны». В чем тут дело?

    2) Хотелось бы, чтобы кроме требования сертификата дополнительно запрашивался логин и пароль. Такое возможно сделать?

    • Изменен тип

      5 ноября 2013 г. 7:08
      нет действий

  • Question

  • Hi folks

    We have a very strange phenomenon and maybe some of you guys can help me.

    We had a perfect working Network Policy Server 2008 R2 environment. NPS was running on a Domain Controller (2K8R2)
    authenticating requests from various sources (Cisco WLAN Controller, Cisco Switches, …)

    People connected to WLAN from Windows 7 computers, MAC Books Pro, iPhones, Android Devices , …

    Everything was working fine until we upgraded our Domain Controllers to Server 2012 (in-place upgrade)
    The upgrades went smoothly and error free. Domain Controllers are stable and our domain works fine.

    There is one exception: Our Network Policy Server which was upgraded to 2012 as well.

    The configuration has been migrated and seems to be exactly the same as before.

    The only difference is that Windows 7 clients (notebooks which are not member of the domain)
    cannot authenticate anymore. On the Server side I see there is an event log entry (application) :

    Source: EapHost
    Message: Negotiation failed. Requested EAP methods not available

    — Creating the WLAN profile manually doesn’t help.
    — Windows 7 asks for username/password (this is what we use. no computer/user certificates).
    — CA certificate is installed on these computers

    The strange thing is that users with Mac Books, iPhones, Android Mobiles have no problem authenticating.
    Only when they try connecting to WLAN on Windows 7 it fails.

    — The NPS Policies have not changed. 
    — The same Windows 7 notebooks can successfully connect to other WLANs without a problem.

       So it seems not to be a client problem.

    Why should the NPS server not know the EAP methods when other devices (iPhone, ANdroid, Mac Book) successfully can connect ?

    In the log file I see a rejection (code 3 in the fourth field). If I do the same on my Android Mobile I see code 2  which means success.

    Request from Samsung Galaxy S3

    «IKAWA»,»IAS»,06/14/2013,10:00:54,1,»myuser»,»mydomain.local/Prod/INS/Users/Lastname, Firstname»,»00-08-30-00-b9-00:ins»,»5c-0a-5b-38-2e-60″,,,»wlc»,»a.b.c.88″,1,9,»a.b.c.88″,»wlc»,,,19,,,2,11,»WLAN
    Access»,0,»311 1 152.96.120.201 06/14/2013 04:13:00 4087″,,,,»Microsoft: Secured password (EAP-MSCHAP v2)»,,,,,,,,,,,,,,13,6,,,,»122″,,,,,,,,,,,»WLAN Access»,1,,,,
    «IKAWA»,»IAS»,06/14/2013,10:00:54,2,,»mydomain.local/Prod/INS/Users/Lastname, Firstname»,,,,,,,,9,»a.b.c.88″,»wlc»,,,,,,,11,»WLAN Access»,0,»311 1 152.96.120.201 06/14/2013 04:13:00
    4087″,,,,»Microsoft: Secured password (EAP-MSCHAP v2)»,,,,,,,,,,,,,,13,6,,,,»122″,,,,,,,,»0x01494E534C4F43414C»,,,»WLAN Access»,1,,,,

    Request from Windows 7 Notebook

    «IKAWA»,»IAS»,06/14/2013,10:05:17,1,»myuser»,»MYDOMAINMyUser»,»00-08-30-00-b9-00:ins»,»8c-70-5a-cd-05-e8″,,,»wlc»,»a.b.c.88″,1,9,»a.b.c.88″,»wlc»,,,19,,,2,5,,0,»311
    1 152.96.120.201 06/14/2013 04:13:00 4161″,,,,»»,,,,,,,,,,,,,,13,6,,,,»122″,,,,,,,,,,,»WLAN Access»,1,,,,
    «IKAWA»,»IAS»,06/14/2013,10:05:17,3,,»MYDOMAINMyUser»,,,,,,,,9,»a.b.c.88″,»wlc»,,,,,,,5,,22,»311 1 152.96.120.201 06/14/2013 04:13:00 4161″,,,,»»,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,»WLAN
    Access»,1,,,,

    This is so strange.

    If anybody could help it would be great.

    Regards,
    Oliver

Answers

  • Hi folks

    It seems that after a 2h debugging session we found the problems and Windows Clients can connect again. It seems that there are two factors involved in the problem:

    1. We use a custom Domain Controller Certificate (Derived from the Domain Controller Certificate Template but with an additional SAN instead of the DC FQDN only). This Certificate has no «Subject Name» (only SANs). It seems that NPS Server 2012 doesn’t like
      that and needs the Subject Name.

      But we are not 100% sure. We just see that it doesn’t work with our DC Certificate (which works fine for the whole Domain Environment) and it works with the automatically enrolled one.

    2. We had two conflicting WLAN Access Rules. One under
      Connection Request Policie
      s and another one under
      Network Policies.

           The first one was set to override the network policy (Auth Methods) but looked more or less identical with the exception that it had the

           «less secure  authentication  methods «MS-CHAP-v2, MC-CHAP, CHAP, PAP, SPAP) enabled in addition to EAP-PEAP while the second one

           only had EAP-PEAP. So we disabled the override and changed the certificate to the auto enrolled one and it worked again (Windows, Android,

           iOS, OS X)      

           Could it be that the Domain Controller after upgrading to Server 2012 (NPS is installed on DC) rejects some of the less secure

            authentication methods we had checked ? I mean could it be that DC 2012 acts different as DC 2008 R2 and this has an impact

            on NPS 2012?

    Ayyway. It works again but there is still the feeling that we don’t know exactly what the roots of the problem are.
    As already mentioned, this configuration worked flawlessly on Server/NPS 2008 R2. Maybe it is a bug on the 2012 product line; who knows.

    Thanks for helping anyway

    Regards,

    Oliver

    • Marked as answer by

      Thursday, June 27, 2013 11:18 AM

  • Question

  • Hi folks

    We have a very strange phenomenon and maybe some of you guys can help me.

    We had a perfect working Network Policy Server 2008 R2 environment. NPS was running on a Domain Controller (2K8R2)
    authenticating requests from various sources (Cisco WLAN Controller, Cisco Switches, …)

    People connected to WLAN from Windows 7 computers, MAC Books Pro, iPhones, Android Devices , …

    Everything was working fine until we upgraded our Domain Controllers to Server 2012 (in-place upgrade)
    The upgrades went smoothly and error free. Domain Controllers are stable and our domain works fine.

    There is one exception: Our Network Policy Server which was upgraded to 2012 as well.

    The configuration has been migrated and seems to be exactly the same as before.

    The only difference is that Windows 7 clients (notebooks which are not member of the domain)
    cannot authenticate anymore. On the Server side I see there is an event log entry (application) :

    Source: EapHost
    Message: Negotiation failed. Requested EAP methods not available

    — Creating the WLAN profile manually doesn’t help.
    — Windows 7 asks for username/password (this is what we use. no computer/user certificates).
    — CA certificate is installed on these computers

    The strange thing is that users with Mac Books, iPhones, Android Mobiles have no problem authenticating.
    Only when they try connecting to WLAN on Windows 7 it fails.

    — The NPS Policies have not changed. 
    — The same Windows 7 notebooks can successfully connect to other WLANs without a problem.

       So it seems not to be a client problem.

    Why should the NPS server not know the EAP methods when other devices (iPhone, ANdroid, Mac Book) successfully can connect ?

    In the log file I see a rejection (code 3 in the fourth field). If I do the same on my Android Mobile I see code 2  which means success.

    Request from Samsung Galaxy S3

    «IKAWA»,»IAS»,06/14/2013,10:00:54,1,»myuser»,»mydomain.local/Prod/INS/Users/Lastname, Firstname»,»00-08-30-00-b9-00:ins»,»5c-0a-5b-38-2e-60″,,,»wlc»,»a.b.c.88″,1,9,»a.b.c.88″,»wlc»,,,19,,,2,11,»WLAN
    Access»,0,»311 1 152.96.120.201 06/14/2013 04:13:00 4087″,,,,»Microsoft: Secured password (EAP-MSCHAP v2)»,,,,,,,,,,,,,,13,6,,,,»122″,,,,,,,,,,,»WLAN Access»,1,,,,
    «IKAWA»,»IAS»,06/14/2013,10:00:54,2,,»mydomain.local/Prod/INS/Users/Lastname, Firstname»,,,,,,,,9,»a.b.c.88″,»wlc»,,,,,,,11,»WLAN Access»,0,»311 1 152.96.120.201 06/14/2013 04:13:00
    4087″,,,,»Microsoft: Secured password (EAP-MSCHAP v2)»,,,,,,,,,,,,,,13,6,,,,»122″,,,,,,,,»0x01494E534C4F43414C»,,,»WLAN Access»,1,,,,

    Request from Windows 7 Notebook

    «IKAWA»,»IAS»,06/14/2013,10:05:17,1,»myuser»,»MYDOMAINMyUser»,»00-08-30-00-b9-00:ins»,»8c-70-5a-cd-05-e8″,,,»wlc»,»a.b.c.88″,1,9,»a.b.c.88″,»wlc»,,,19,,,2,5,,0,»311
    1 152.96.120.201 06/14/2013 04:13:00 4161″,,,,»»,,,,,,,,,,,,,,13,6,,,,»122″,,,,,,,,,,,»WLAN Access»,1,,,,
    «IKAWA»,»IAS»,06/14/2013,10:05:17,3,,»MYDOMAINMyUser»,,,,,,,,9,»a.b.c.88″,»wlc»,,,,,,,5,,22,»311 1 152.96.120.201 06/14/2013 04:13:00 4161″,,,,»»,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,»WLAN
    Access»,1,,,,

    This is so strange.

    If anybody could help it would be great.

    Regards,
    Oliver

Answers

  • Hi folks

    It seems that after a 2h debugging session we found the problems and Windows Clients can connect again. It seems that there are two factors involved in the problem:

    1. We use a custom Domain Controller Certificate (Derived from the Domain Controller Certificate Template but with an additional SAN instead of the DC FQDN only). This Certificate has no «Subject Name» (only SANs). It seems that NPS Server 2012 doesn’t like
      that and needs the Subject Name.

      But we are not 100% sure. We just see that it doesn’t work with our DC Certificate (which works fine for the whole Domain Environment) and it works with the automatically enrolled one.

    2. We had two conflicting WLAN Access Rules. One under
      Connection Request Policie
      s and another one under
      Network Policies.

           The first one was set to override the network policy (Auth Methods) but looked more or less identical with the exception that it had the

           «less secure  authentication  methods «MS-CHAP-v2, MC-CHAP, CHAP, PAP, SPAP) enabled in addition to EAP-PEAP while the second one

           only had EAP-PEAP. So we disabled the override and changed the certificate to the auto enrolled one and it worked again (Windows, Android,

           iOS, OS X)      

           Could it be that the Domain Controller after upgrading to Server 2012 (NPS is installed on DC) rejects some of the less secure

            authentication methods we had checked ? I mean could it be that DC 2012 acts different as DC 2008 R2 and this has an impact

            on NPS 2012?

    Ayyway. It works again but there is still the feeling that we don’t know exactly what the roots of the problem are.
    As already mentioned, this configuration worked flawlessly on Server/NPS 2008 R2. Maybe it is a bug on the 2012 product line; who knows.

    Thanks for helping anyway

    Regards,

    Oliver

    • Marked as answer by

      Thursday, June 27, 2013 11:18 AM

Сегодня мы покажем вам, как исправить ошибку Microsoft Windows EapHost 2002 . Пользователи Windows сообщили, что когда они проверяют свои системные журналы; они испытывают ошибку хоста Microsoft Windows EapHost 2002. Подсказка об ошибке обычно указывается ниже:

Ошибка: EapHost 2002 peer
Пропуск: Ошибка проверки имени пути DLL метода Eap. Ошибка: typeId = 43, authorId = 9, vendorId = 0, vendorType = 0

Тем не менее, EapHost является сетевым компонентом Windows, который аутентифицирует соединение, такое как точка-точка (P2P) и 802.1X. Кроме того, пользователи Windows, которые сталкиваются с этой ошибкой, не имеют проблем с подключением, но в долгосрочной перспективе у них возникают проблемы с программным обеспечением.

Возможная причина сообщения об ошибке — удаление CISCO, неверные / отсутствующие ключи реестра Windows , неполная установка модулей CISCO и т. Д. Следовательно, в отчете Windows есть некоторые решения, которые могут устранить ошибку Microsoft Windows EapHost 2002.

Как исправить ошибку Windows EapHost 2002

  1. Используйте CCleaner
  2. Запустить сканирование SFC
  3. Используйте Reimage Plus
  4. Выполните чистую загрузку
  5. Используйте TweakBit Driver Updater
  6. Запустите восстановление системы в безопасном режиме
  7. Обновление драйвера сетевых адаптеров в диспетчере устройств
  8. Установите последние обновления Windows
  9. Перезагрузить компьютер

Решение 1. Используйте CCleaner

CCleaner имеет функцию под названием «очиститель реестра». Используя эту функцию, вы можете удалить остатки программного обеспечения , отсутствующие общие библиотеки DLL, неиспользуемые расширения файлов и многое другое. Короче говоря, вы можете удалить компоненты, вызывающие ошибку Microsoft Windows EapHost 2002. Вот как скачать, установить и использовать CCleaner:

  1. Загрузите бесплатную версию CCleaner или загрузите версию CCleaner Pro.
  2. Установите и следуйте инструкциям для завершения установки.
  3. После установки запустите CCleaner, а затем нажмите «Анализ».
  4. После того, как CCleaner закончит сканирование, нажмите «Run Cleaner». Следуйте инструкциям, чтобы CCleaner удалил временные файлы.

Вы также можете использовать другие сторонние очистители реестра. Для получения дополнительной информации о лучших установках для очистки реестра, ознакомьтесь с нашим списком . Между тем, если сообщение об ошибке сохраняется, вы можете перейти к следующему способу.

  • Читайте также: понять коды ошибок Windows с помощью инструмента поиска ошибок

Решение 2. Запустите сканирование SFC

Проверка системных файлов (также известный как SFC) сканирует поврежденные или отсутствующие системные файлы и восстанавливает их. Вот как запустить сканирование SFC на ПК с Windows 10:

  1. Перейдите в Пуск> введите cmd> щелкните правой кнопкой мыши Командная строка> выберите Запуск от имени администратора. Microsoft Windows Eaphost Ошибка 2002
  2. Теперь введите команду sfc / scannow. Microsoft Windows Eaphost Ошибка 2002
  3. Подождите, пока процесс сканирования завершится, а затем перезагрузите компьютер. Все поврежденные файлы будут заменены при перезагрузке.

Кроме того, вы также можете использовать специальный инструмент, такой как Ashampoo Win Optimizer и IOLO System Mechanic, для проверки повреждений системных файлов. Однако, если сообщение об ошибке не исчезнет, ​​вы можете перейти к следующему способу.

Решение 3. Используйте Reimage Plus

Reimage Plus, с другой стороны, является утилитой, которая сканирует систему, чтобы обновлять, исправлять и восстанавливать любые поврежденные / устаревшие драйверы / инструменты. Это также применимо для решения проблемы Microsoft Windows EapHost error 2002.

Между тем, вы можете использовать бесплатную или Pro версию Reimage Plus. Pro версия экономит время и предлагает вам полную поддержку. Кроме того, вы получаете полный возврат средств в случае, если вы не удовлетворены Pro-версией. Выполните следующие действия, чтобы использовать Reimage Plus:

  1. Загрузите Reimage Plus здесь и установите его.
  2. После установки запустите Reimage Plus и выберите опцию «Сканировать сейчас». Это позволяет Driver Easy сканировать вашу систему и обнаруживать любые доступные проблемные драйверы.
  3. Если вы используете бесплатную версию, продолжайте, выбрав значок «обновить» рядом с драйвером гарнитуры, чтобы выполнить автоматическую загрузку и установку соответствующего драйвера.
  4. Для тех, кто имеет версию Pro, выберите опцию «обновить все», чтобы автоматически загрузить и установить нужную версию устаревших или отсутствующих драйверов.

Кроме того, после автоматического обновления драйверов ПК перезагрузите компьютер, чтобы изменения вступили в силу.

  • ЧИТАЙТЕ ТАКЖЕ: Как исправить проблемы с сетью в Windows 10 April Update

Решение 4. Выполните чистую загрузку

Приложение CISCO, связанное с конфликтами программного обеспечения, может запускаться и работать в фоновом режиме при каждом запуске Windows. Тем не менее, чистая загрузка запускает ваш компьютер в чистом состоянии без каких-либо конфликтов программного обеспечения.

Чтобы успешно выполнить чистую загрузку в Windows 10, вы должны войти в систему как администратор, а затем выполните следующие действия:

  1. Перейдите в окно поиска и введите «msconfig».
  2. Выберите System Configuration, чтобы открыть диалоговое окно, как показано ниже:
  3. Найдите вкладку «Службы» и выберите «Скрыть все службы Microsoft».
  4. Нажмите Отключить все Microsoft Windows Eaphost Ошибка 2002
  5. Перейти на вкладку «Автозагрузка»
  6. Нажмите Открыть диспетчер задач
  7. Закройте диспетчер задач, затем нажмите Ok
  8. Наконец, перезагрузите компьютер

В качестве альтернативы мы рекомендуем использовать программу удаления программ, такую ​​как Hitman Pro , CCleaner и IObit Uninstaller, для удаления приложения, связанного с CISCO, вызывающего проблему с ошибкой.

Решение 5. Используйте TweakBit Driver Updater

Обновление драйверов TweakBit

TweakBit Driver Updater — это еще одно автоматизированное решение, которое можно использовать для исправления ошибки Microsoft Windows eaphost 2002. Кроме того, этот инструмент одобрен Microsoft и Norton Antivirus. После нескольких тестов наша команда пришла к выводу, что вы можете использовать этот инструмент для устранения ошибки. Вот как использовать Tweakbit Driver Updater:

  1. Загрузите и установите программу обновления драйверов TweakBit .
  2. После установки программа начнет сканирование вашего компьютера на наличие устаревших драйверов автоматически. Подождите, пока сканирование завершится.
  3. По завершении сканирования вы получите отчет обо всех проблемных драйверах, найденных на вашем ПК. Просмотрите список и посмотрите, хотите ли вы обновить каждый драйвер по отдельности или все сразу.
  4. Чтобы обновить один драйвер за раз, нажмите ссылку «Обновить драйвер» рядом с именем драйвера. Или просто нажмите кнопку «Обновить все» внизу, чтобы автоматически установить все рекомендуемые обновления.

Примечание. Некоторые драйверы необходимо устанавливать в несколько этапов, поэтому вам придется нажимать кнопку «Обновить» несколько раз, пока не будут установлены все его компоненты.

Отказ от ответственности: некоторые функции этого инструмента не являются бесплатными .

  • Читайте также: Исправлено: Проводник не обнаруживает сетевые устройства в Windows 10

Решение 6. Запустите восстановление системы в безопасном режиме

В безопасном режиме ваш компьютер запускается в ограниченном состоянии с использованием только основных файлов и драйверов. Следовательно, вы можете выполнить восстановление системы в безопасном режиме, чтобы вернуться к определенной точке восстановления в вашей системе, прежде чем вы получите сообщение об ошибке. Вот как это сделать:

  1. Выключите компьютер и включите его снова.
  2. Перейдите к опции «Запуск в безопасном режиме» и нажмите «Enter».
  3. Перейдите в «Пуск»> введите «восстановление системы» и нажмите «Enter».
  4. Следуйте инструкциям, чтобы вернуться к определенной точке восстановления.
  5. Подождите, пока процесс завершится, а затем перезагрузите компьютер.

Примечание . Убедитесь, что вы можете определить дату точки восстановления до появления ошибки Microsoft Windows EapHost 2002. Кроме того, восстановление системы не влияет ни на какие ваши файлы, документы и личные данные.

Решение 7. Обновите драйвер сетевых адаптеров в диспетчере устройств

Также вы можете исправить ошибку Microsoft Windows EapHost 2002, обновив драйверы сетевого адаптера вашего компьютера . Это решение устраняет любую проблему с подключением, которая может возникнуть в результате ошибки eaphost. Вот как это сделать:

  • Нажмите клавишу Windows + R, введите devmgmt.msc и нажмите Enter. (В качестве альтернативы вы можете щелкнуть правой кнопкой мыши ключ Windows и выбрать «Диспетчер устройств»).
  • В окне «Диспетчер устройств» разверните раздел «Сетевые адаптеры». WiFi-адаптер не подключается к роутеру
  • Затем щелкните правой кнопкой мыши сетевой адаптер и выберите «Обновить программное обеспечение драйвера».
  • Нажмите Поиск автоматически для обновления программного обеспечения драйвера.
  • После того, как шаги завершены, нажмите Закрыть. После установки обновленного драйвера нажмите Пуск> Питание> Перезагрузить

Примечание . Если Windows не находит новый драйвер, посетите веб-сайт производителя устройства, чтобы загрузить с него последнюю версию драйвера сетевого адаптера.

Загрузка драйверов вручную — это процесс, который может привести к неправильной установке драйвера, что может привести к серьезным неисправностям. Более безопасный и простой способ обновления драйверов на компьютере с Windows — использование автоматического инструмента, такого как TweakBit Driver Updater.

Этот инструмент просканирует все ваши устройства и предоставит вам исчерпывающий список всех ваших драйверов. Используя обширную базу данных, он обновит их до последней версии, если вы хотите, но также позволяет выбрать драйвер для обновления.

Отказ от ответственности : некоторые функции этого инструмента не являются бесплатными.

Кроме того, вы также можете вернуть назад старые версии драйверов, если обновление драйвера не устранило проблему.

Решение 8. Установите последние обновления Windows

Между тем, мы рекомендуем вам запустить Центр обновления Windows, чтобы исправить проблему с ошибкой. Microsoft постоянно выпускает новые обновления Windows ; Недавнее обновление улучшает производительность вашей системы и исправляет различные проблемы и ошибки на вашем ПК с Windows.

Выполните следующие действия для запуска обновления Windows:

  1. Перейдите в Пуск> введите «обновление» в поле поиска и затем нажмите «Центр обновления Windows», чтобы продолжить.
  2. В окне Центра обновления Windows проверьте наличие обновлений и установите доступные обновления. Кнопка меню Пуск заморожена
  3. После завершения обновления перезагрузите компьютер с Windows.
  • Читайте также: Исправлено: Проводник не обнаруживает сетевые устройства в Windows 10

Решение 9. Перезагрузите компьютер

В конечном итоге вы можете перезагрузить компьютер, чтобы исправить ошибку Microsoft Windows EapHost 2002. Однако это решение представляет собой расширенный вариант восстановления, который восстанавливает ваш компьютер до заводского состояния. Вот как можно перезагрузить компьютер с Windows 10:

  1. Выключите компьютер 3 раза, пока не появится среда Advanced Recovery.
  2. Выберите «Дополнительные параметры».
  3. Теперь выберите Устранение неполадок.
  4. Следовательно, нажмите «Сбросить этот компьютер»
  5. Выберите, хотите ли вы сохранить или удалить свои файлы и приложения.
  6. Нажмите «Сброс», чтобы продолжить.

Мы надеемся, что перечисленные выше решения помогли вам исправить досадную ошибку Microsoft Windows EapHost 2002. Вы можете отправить сообщение со статусом проблемы, и мы будем рады помочь вам в дальнейшем. Не стесняйтесь комментировать ниже, если у вас есть какие-либо вопросы.

СВЯЗАННЫЕ ИСТОРИИ, ЧТОБЫ ПРОВЕРИТЬ:

  • Полное руководство: Как восстановить поврежденный каталог в Windows 10
  • Исправлено: зависание в цикле автоматического восстановления в Windows 10
  • Эти инструменты для ремонта ПК с Windows 10 оживят ваш старый компьютер

I have been trying to setup a Wireless network using EAP-TLS on a Server 2012R2 machine with Win7 and Win 10 clients in a domain environment.  The setup is as follows:

Cisco WAP321 AP — Configured radius settings, secret and setup an SSID.

Two tier Internal PKI that auto enrolls both computers and users with certificates via group policy.  The templates they use are duplicates of the computer and user templates with no changes. The NPS server uses the RAS and IAS Server template with no
changes. I also push out the Root and Sub CA and NPS certificates using Group Policy to the trusted root.  I have verified that all 3 of these certificates plus the user and computer certs are on the client and host computers.  

The NPS server is on the the Sub CA server. NPS Settings (changes from default)
RADIUS Clients
  -Settings: Shared Secret and IP of Cisco WAP321
  -Advanced: Vendor name = Cisco
  -Advanced: Checked Access-Request messages must contain the Message-Authentication attribute

Connetion Request Policies
  — Conditions: «NAS Port Type = Wireless — Other or Wireless- IEEE 802.11»

Network Policies
  — Overview: Ignore User account dial-in policies
  — Conditions: «NAS Port Type = Wireless — Other or Wireless- IEEE 802.11»
  — Conditions: «Windows Groups = DomainDomain Users OR DomainDomain Computers»
  — Constraints: Authentication Methods: EAP Types has «Microsoft: Smart Card or other certificate» configured with the «NPS Server» certificate. All other methods are unchecked.
  — Settings: Encryption: Strongest Encryption is the only one checked

Health Policies
  — None

Wireless settings are pushed out via Group Policy with below settings.

I am continually getting this error

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          1/23/2017 9:40:44 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      NPSServer2012R2.Domain.local
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
Security ID:
Domainfirstname.lastname
Account Name:
Domainfirstname.lastname
Account Domain:
Domain
Fully Qualified Account Name:
Domainfirstname.lastname

Client Machine:
Security ID:
NULL SID
Account Name:

Fully Qualified Account Name:

OS-Version:

Called Station Identifier:
4C-00-11-E0-10-B8:WifiSSID
Calling Station Identifier:
58-11-CF-11-F8-B7

NAS:
NAS IPv4 Address:
10.10.10.200
NAS IPv6 Address:

NAS Identifier:

NAS Port-Type:
Wireless — IEEE 802.11
NAS Port:
0

RADIUS Client:
Client Friendly Name:
WAP321-Cisco
Client IP Address:
10.10.10.200

Authentication Details:
Connection Request Policy Name:
Secure Wireless Connections
Network Policy Name:
Secure Wireless Connections
Authentication Provider:
Windows
Authentication Server:
NPSServer2012R2.Domain.local
Authentication Type:
EAP
EAP Type:

Account Session Identifier:

Logging Results:
Accounting information was written to the local log file.
Reason Code:
22
Reason:
The client could not be authenticated  because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.

Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»Microsoft-Windows-Security-Auditing» Guid=»{1111-1111-1111-A5BA-11111111111}» />
    <EventID>6273</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12552</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime=»2017-01-23T15:40:44.836203300Z» />
    <EventRecordID>85335</EventRecordID>
    <Correlation />
    <Execution ProcessID=»624″ ThreadID=»4452″ />
    <Channel>Security</Channel>
    <Computer>NPSServer2012R2.Domain.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name=»SubjectUserSid»>S-1-5-21-1111111111-1526706777-1111111111-7648</Data>
    <Data Name=»SubjectUserName»>Domainfirstname.lastname</Data>
    <Data Name=»SubjectDomainName»>Domain</Data>
    <Data Name=»FullyQualifiedSubjectUserName»>Domainfirstname.lastname</Data>
    <Data Name=»SubjectMachineSID»>S-1-0-0</Data>
    <Data Name=»SubjectMachineName»>-</Data>
    <Data Name=»FullyQualifiedSubjectMachineName»>-</Data>
    <Data Name=»MachineInventory»>-</Data>
    <Data Name=»CalledStationID»>4C-00-11-E0-10-B8:WifiSSID</Data>
    <Data Name=»CallingStationID»>58-11-CF-11-F8-B7</Data>
    <Data Name=»NASIPv4Address»>10.10.10.200</Data>
    <Data Name=»NASIPv6Address»>-</Data>
    <Data Name=»NASIdentifier»>-</Data>
    <Data Name=»NASPortType»>Wireless — IEEE 802.11</Data>
    <Data Name=»NASPort»>0</Data>
    <Data Name=»ClientName»>WAP321-Cisco</Data>
    <Data Name=»ClientIPAddress»>10.10.10.200</Data>
    <Data Name=»ProxyPolicyName»>Secure Wireless Connections</Data>
    <Data Name=»NetworkPolicyName»>Secure Wireless Connections</Data>
    <Data Name=»AuthenticationProvider»>Windows</Data>
    <Data Name=»AuthenticationServer»>NPSServer2012R2.Domain.local</Data>
    <Data Name=»AuthenticationType»>EAP</Data>
    <Data Name=»EAPType»>-</Data>
    <Data Name=»AccountSessionIdentifier»>-</Data>
    <Data Name=»ReasonCode»>22</Data>
    <Data Name=»Reason»>The client could not be authenticated  because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.</Data>
    <Data Name=»LoggingResult»>Accounting information was written to the local log file.</Data>
  </EventData>
</Event>

I have been trying to setup a Wireless network using EAP-TLS on a Server 2012R2 machine with Win7 and Win 10 clients in a domain environment.  The setup is as follows:

Cisco WAP321 AP — Configured radius settings, secret and setup an SSID.

Two tier Internal PKI that auto enrolls both computers and users with certificates via group policy.  The templates they use are duplicates of the computer and user templates with no changes. The NPS server uses the RAS and IAS Server template with no
changes. I also push out the Root and Sub CA and NPS certificates using Group Policy to the trusted root.  I have verified that all 3 of these certificates plus the user and computer certs are on the client and host computers.  

The NPS server is on the the Sub CA server. NPS Settings (changes from default)
RADIUS Clients
  -Settings: Shared Secret and IP of Cisco WAP321
  -Advanced: Vendor name = Cisco
  -Advanced: Checked Access-Request messages must contain the Message-Authentication attribute

Connetion Request Policies
  — Conditions: «NAS Port Type = Wireless — Other or Wireless- IEEE 802.11»

Network Policies
  — Overview: Ignore User account dial-in policies
  — Conditions: «NAS Port Type = Wireless — Other or Wireless- IEEE 802.11»
  — Conditions: «Windows Groups = DomainDomain Users OR DomainDomain Computers»
  — Constraints: Authentication Methods: EAP Types has «Microsoft: Smart Card or other certificate» configured with the «NPS Server» certificate. All other methods are unchecked.
  — Settings: Encryption: Strongest Encryption is the only one checked

Health Policies
  — None

Wireless settings are pushed out via Group Policy with below settings.

I am continually getting this error

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          1/23/2017 9:40:44 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      NPSServer2012R2.Domain.local
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
Security ID:
Domainfirstname.lastname
Account Name:
Domainfirstname.lastname
Account Domain:
Domain
Fully Qualified Account Name:
Domainfirstname.lastname

Client Machine:
Security ID:
NULL SID
Account Name:

Fully Qualified Account Name:

OS-Version:

Called Station Identifier:
4C-00-11-E0-10-B8:WifiSSID
Calling Station Identifier:
58-11-CF-11-F8-B7

NAS:
NAS IPv4 Address:
10.10.10.200
NAS IPv6 Address:

NAS Identifier:

NAS Port-Type:
Wireless — IEEE 802.11
NAS Port:
0

RADIUS Client:
Client Friendly Name:
WAP321-Cisco
Client IP Address:
10.10.10.200

Authentication Details:
Connection Request Policy Name:
Secure Wireless Connections
Network Policy Name:
Secure Wireless Connections
Authentication Provider:
Windows
Authentication Server:
NPSServer2012R2.Domain.local
Authentication Type:
EAP
EAP Type:

Account Session Identifier:

Logging Results:
Accounting information was written to the local log file.
Reason Code:
22
Reason:
The client could not be authenticated  because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.

Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»Microsoft-Windows-Security-Auditing» Guid=»{1111-1111-1111-A5BA-11111111111}» />
    <EventID>6273</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12552</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime=»2017-01-23T15:40:44.836203300Z» />
    <EventRecordID>85335</EventRecordID>
    <Correlation />
    <Execution ProcessID=»624″ ThreadID=»4452″ />
    <Channel>Security</Channel>
    <Computer>NPSServer2012R2.Domain.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name=»SubjectUserSid»>S-1-5-21-1111111111-1526706777-1111111111-7648</Data>
    <Data Name=»SubjectUserName»>Domainfirstname.lastname</Data>
    <Data Name=»SubjectDomainName»>Domain</Data>
    <Data Name=»FullyQualifiedSubjectUserName»>Domainfirstname.lastname</Data>
    <Data Name=»SubjectMachineSID»>S-1-0-0</Data>
    <Data Name=»SubjectMachineName»>-</Data>
    <Data Name=»FullyQualifiedSubjectMachineName»>-</Data>
    <Data Name=»MachineInventory»>-</Data>
    <Data Name=»CalledStationID»>4C-00-11-E0-10-B8:WifiSSID</Data>
    <Data Name=»CallingStationID»>58-11-CF-11-F8-B7</Data>
    <Data Name=»NASIPv4Address»>10.10.10.200</Data>
    <Data Name=»NASIPv6Address»>-</Data>
    <Data Name=»NASIdentifier»>-</Data>
    <Data Name=»NASPortType»>Wireless — IEEE 802.11</Data>
    <Data Name=»NASPort»>0</Data>
    <Data Name=»ClientName»>WAP321-Cisco</Data>
    <Data Name=»ClientIPAddress»>10.10.10.200</Data>
    <Data Name=»ProxyPolicyName»>Secure Wireless Connections</Data>
    <Data Name=»NetworkPolicyName»>Secure Wireless Connections</Data>
    <Data Name=»AuthenticationProvider»>Windows</Data>
    <Data Name=»AuthenticationServer»>NPSServer2012R2.Domain.local</Data>
    <Data Name=»AuthenticationType»>EAP</Data>
    <Data Name=»EAPType»>-</Data>
    <Data Name=»AccountSessionIdentifier»>-</Data>
    <Data Name=»ReasonCode»>22</Data>
    <Data Name=»Reason»>The client could not be authenticated  because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.</Data>
    <Data Name=»LoggingResult»>Accounting information was written to the local log file.</Data>
  </EventData>
</Event>

Локальная политика безопасности. Часть 7: политики проводной сети

Введение

В предыдущих статьях данного цикла вы научились эффективно использовать функционал локальных политик безопасности, что позволяет максимально защитить инфраструктуру вашей организации от атак недоброжелателей извне, а также от большинства действий некомпетентных сотрудников. Вы уже знаете как можно эффективно настроить политики учетных записей, которые позволяют управлять сложностью паролей ваших пользователей, настраивать политики аудита для последующего анализа аутентификации ваших пользователей в журнале безопасности. Помимо этого вы научились назначать права для ваших пользователей для избегания нанесения ущерба своей системе и даже компьютерам в вашей интрасети, а также знаете как можно эффективно настроить журналы событий, группы с ограниченным доступом, системные службы, реестр и файловую систему. В этой статье мы продолжим изучение локальных политик безопасности, и вы узнаете о настройках безопасности проводных сетей для вашего предприятия.

В серверных операционных системах компании Microsoft, начиная с Windows Server 2008, появился компонент политик проводной сети (IEEE 802.3), который обеспечивает автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3. Для реализации параметров безопасности проводных сетей средствами групповых политик, в операционных системах используется служба проводной автонастройки (Wired AutoConfig – DOT3SVC). Текущая служба отвечает за проверку подлинности IEEE 802.1X при подключении к сетям Ethernet при помощи совместимых коммутаторов 802.1X, а также управляет профилем, используемого с целью настройки сетевого клиента для доступа с проверкой подлинности. Также стоит отметить, что если вы будете использовать данные политики, то желательно запретить пользователям вашего домена изменять режим запуска данной службы.

Настройка политики проводной сети

Задать настройки политики проводных сетей вы можете непосредственно из оснастки «Редактор управления групповыми политиками». Для того чтобы настроить данные параметры, выполните следующие действия:

    Откройте оснастку «Редактор управления групповыми политиками» и в дереве консоли выберите узел «Политики проводной сети (IEEE 802.3)», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создание новой политики проводных сетей для Windows Vista и более поздних версий», как показано на следующей иллюстрации:

Рис. 1. Создание политики проводной сети

  • В открывшемся диалоговом окне «Новая политика для проводных сетей Properties», на вкладке «Общие», вы можете задать применение службы автонастройки проводных сетей для настройки адаптеров локальных сетей для подключения к проводной сети. Помимо параметров политики, которые распространяются на операционные системы Windows Vista и более поздние, существуют некоторые опции, которые будут применяться только к операционным системам Windows 7 и Windows Server 2008 R2. На этой вкладке вы можете выполнять следующие действия:
    • Имя политики. В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла «Политики проводной сети (IEEE 802.3)» оснастки «Редактор управления групповыми политиками»;
    • Описание. Данное текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети;
    • Использовать службу автонастройки проводных сетей Windows для клиентов. Данная опция выполняет реальную настройку и подключает клиентов к проводной сети 802.3. Если отключить эту опцию, то операционная система Windows не будет контролировать проводное сетевое подключение и параметры политики действовать не будут;
    • Запретить использование общих учетных данных пользователя для проверки подлинности сети. Этот параметр определяет, следует ли пользователю запрещать хранить общие учетные данные пользователя для проверки подлинности сети. Локально вы можете изменять данный параметр при помощи команды netsh lan set allowexplicitcreds;
    • Включить период блокировки. Эта настройка определяет, следует ли запрещать компьютеру автоматически подключаться к проводной сети на протяжении указанного вами количества минут. По умолчанию указано 20 минут. Настраивается период блокировки в диапазоне от 1 до 60 минут.

    На следующей иллюстрации отображена вкладка «Общие» политики проводной сети:

    Рис. 2. Вкладка «Общие» диалогового окна параметров политики проводной сети

  • На вкладке «Безопасность» предоставлены параметры конфигурации метода проверки подлинности и режима проводного подключения. Вы можете настраивать следующие параметры безопасности:
    • Включать проверку подлинности IEEE 802.1X для доступа к сети. Эта опция используется непосредственно для включения или отключения проверки подлинности 802.1X сетевого доступа. По умолчанию данная опция включена;
    • Выберите метод проверки подлинности сети. При помощи данного раскрывающегося списка вы можете указать один из методов проверки подлинности сетевых клиентов, который будет применен для вашей политики проводной сети. Доступны для выбора следующие два параметра:
      • Microsoft: Защищенные EAP (PEAP). Для этого метода проверки подлинности, окно «Свойства» содержит параметры конфигурации используемого метода проверки подлинности;
      • Microsoft: смарт-карты или другой сертификат. Для этого метода проверки подлинности, в окне «Свойства» предоставлены параметры конфигурации, с помощью которых можно указать смарт-карту или сертификат для подключения, а также список доверенных корневых центров сертификации.

      По умолчанию выбран метод Microsoft: защищенные EAP (PEAP);

    • Режим проверки подлинности. Данный раскрывающийся список применяется для выполнения сетевой проверки подлинности. Для выбора доступны следующие четыре параметра:
      • Проверка подлинности пользователя или компьютера. В том случае, если будет выбран этот параметр, учетные данные безопасности будут использоваться на основе текущего состояния компьютера. Даже если в систему не входил ни один пользователь, проверка подлинности будет выполняться по учетным данным компьютера. При входе пользователя будут использоваться учетные данные вошедшего в систему пользователя. Компания Microsoft рекомендует в большинстве случаев использовать именно этот параметр режима проверки подлинности.
      • Только для компьютера. В этом случае проверка подлинности выполняется только для учетных данных компьютера;
      • Проверка подлинности пользователя. При выборе данного параметра включается принудительная проверка подлинности пользователя только при подключении к новому устройству 802.1X. Во всех остальных случаях проверка подлинности выполняется только для компьютера;
      • Проверка подлинности гостя. Данный параметр разрешает подключаться к сети на основе гостевой учетной записи.
    • Максимальное число ошибок проверки подлинности. Этот параметр позволяет указать максимальное число ошибок при проверке подлинности. Значение по умолчанию – 1;
    • Кэшировать данные пользователя для последующих подключений к этой сети. При включении данного параметра, пользовательские учетные данные будут сохраняться в системном реестре, при выходе пользователя из системы и при последующем входе учетные данные запрашиваться не будут.
  • На следующей иллюстрации отображена вкладка «Безопасность» данного диалогового окна:

    Рис. 3. Вкладка «Безопасность» диалогового окна параметров политики проводной сети

    Свойства режимов проверки подлинности

    Как говорилось в предыдущем разделе, для обоих методов проверки подлинности есть дополнительные настройки, которые вызываются по нажатию на кнопку «Свойства». В этом разделе рассмотрим все возможные настройки для методов проверки подлинности.

    Настройки метода проверки подлинности «Microsoft: Защищенные EAP (PEAP)»

    EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) – это расширяемая инфраструктура аутентификации, которая определяет формат посылки. Для настройки данного метода проверки подлинности доступны следующие параметры:

    • Проверять сертификат сервера. Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу. Этот флажок лучше оставлять включенным, так как при отсутствии проверки на подлинность серверов, уровень безопасности пользователей значительно понижается;
    • Подключаться к серверам. Данная настройка позволяет вам указать имена серверов службы RADIUS, которые обеспечивают авторизацию и сетевую проверку подлинности. При указании имени сервера вы можете использовать как полный синтаксис регулярного выражения, так и использовать символ *;
    • Доверенные корневые центры сертификации. В данном списке отображены все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера. Здесь вы можете указать те ЦС, которые будут использовать соискатели при проверке. Если у вас не выбран ни один доверенный корневой центр сертификации, то клиент будет проверять, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым центром сертификации.
    • Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации. Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;
    • Выбор способа проверки подлинности. В этом раскрывающемся меню вы можете открыть диалоговое окно настроек для одного из следующих методом проверки:
      • Защищенный пароль (EAP-MSCHAP v2). Это настройки типа EAP, которые используются в PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol — протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows, который поддерживает функциональные возможности, привычные пользователям, локальных сетей, и интегрирует алгоритмы шифрования и хеширования, действующие в сетях Windows) для проверки подлинности по паролю. По сути, из всех настроек присутствует только одна опция, которая позволяет использовать текущие имя и пароль входа в Windows в качестве учетных данных сетевой проверки подлинности. Данная опция отключена только в VPN соединениях.

      Рис. 4. Свойства EAP-MSCHAPv2

    • Свойства смарт-карты или другого сертификата – настройки EAP-TLS. Данные настройки будут рассмотрены в следующем подразделе.
  • Включить быстрое переподключение. Данная опция позволяет пользователям с беспроводными компьютерами быстро перемещаться между точками доступа без повторной проверки подлинности в новой сети. Такое переключение может работать только для точек доступа, которые настроены как клиенты службы RADIUS. По умолчанию эта опция включена;
  • Включить защиту доступа к сети. При выборе этой опции, перед разрешением подключения к сети соискателей EAP, для определения проверки требований работоспособности, будут выполняться соответствующие проверки;
  • Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV. Эта опция отвечает за прерывание подключающимися клиентами процесса проверки подлинности в том случае, если RADIUS-сервер не предоставляет криптографическое значение привязки TLV, которая повышает безопасность TLS-туннеля в PEAP, объединяя способы внутренней и внешней проверки подлинности, чтобы злоумышленники не могли выполнять атаки типа вмешательства третьей стороны;
  • Включить удостоверение конфиденциальности. Данный параметр отвечает за то, чтобы клиенты не могли отправлять свое удостоверение перед тем, как клиент проверил подлинность сервера RADIUS, и при необходимости обеспечивать место для ввода значения анонимного удостоверения.
  • Диалоговое окно свойств защищённого EAP отображено на следующей иллюстрации:

    Рис. 5. Диалоговое окно свойств защищённого EAP

    Настройки метода проверки подлинности «Смарт-карты или другой сертификат – настройки EAP-TLS»

    Для настройки данного метода проверки подлинности существуют следующие параметры:

    • При подключении использовать мою смарт-карту. Если вы установите переключатель на данную позицию, то клиенты, выполняющие запросы проверки подлинности, будут представлять сертификат смарт-карты для сетевой проверки подлинности;
    • При подключении использовать сертификат на этом компьютере. При выборе этой опции, при проверке подключения клиентов будет использоваться сертификат, расположенный в хранилище текущего пользователя или локального компьютера;
    • Использовать выбор простого сертификата. Эта опция позволяет операционной системе Windows отфильтровывать сертификаты, которые не соответствуют требованиям проверки подлинности;
    • Проверять сертификат сервера. Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу
    • Подключаться к серверам. Эта опция идентична одноименной опции, о которой рассказывалось в предыдущем разделе;
    • Доверенные корневые центры сертификации. Также как и в диалоговом окне свойств защищенного EAP, в этом списке вы можете найти все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера;
    • Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации. Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя, не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;
    • Использовать для подключения другое имя пользователя. Этот параметр определяет, нужно ли использовать для проверки подлинности имя пользователя, отличное от имени пользователя в сертификате. При включенной опции использования другого имени пользователя вам необходимо выбрать как минимум один сертификат из списка доверенных корневых центров сертификации.

    Диалоговое окно настроек смарт-карт или других сертификатов отображено на следующей иллюстрации:

    Рис. 6. Диалоговое окно настроек смарт-карт или других сертификатов

    Если вы не уверены в выбираемом вами сертификате, то нажав на кнопку «Просмотреть сертификат» сможете просмотреть все подробные сведения о выбранном сертификате, как показано ниже:

    Рис. 7. Просмотр сертификата из списка доверенных корневых центров сертификации

    Дополнительные параметры безопасности политики проводных сетей

    Вы наверняка обратили внимание на то, что на вкладке «Безопасность» диалогового окна настроек политики проводной сети присутствуют еще дополнительные параметры безопасности, предназначенные для изменения поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. Дополнительные параметры политик проводных сетей можно разделить на две группы – настройки IEEE 802.1X и настройки единого входа. Рассмотрим каждую из этих групп:

    В группе настроек IEEE 802.1X вы можете указать характеристики запросов проводных сетей с проверкой подлинности 802.1Х. Для изменения доступны следующие параметры:

    • Применить дополнительные параметры 802.1X. Эта опция позволяет активировать следующие четыре настройки;
    • Макс. EAPOL-сообщений. EAPOL – это протокол EAP, который используется до того как компьютер успевает аутентифицироваться, и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Этот параметр отвечает за максимальное количество отправляемых сообщений EAPOL-Start;
    • Период задержки (сек). Этот параметр отвечает за задержку в секундах перед выполнением следующего запроса проверки подлинности 802.1X после получения уведомления об отказе при проверке подлинности;
    • Start Period (период начала). Этот параметр отвечает за время ожидания перед повторной отправкой последовательных сообщений EAPOL-Start;
    • Период проверки (сек). Этот параметр определяет число секунд между повторной передачей последовательных начальных сообщений EAPOL после инициации сквозной проверки доступа 802.1X;
    • Сообщение EAPOL-Start. При помощи данного параметра вы можете указать следующие характеристики передачи начальных сообщений EAPOL:
      • Не передавать. При выборе данного параметра, EAPOL сообщения не будут передаваться;
      • Передано. При выборе этого параметра, клиенту нужно будет вручную отправлять начальные сообщения EAPOL;
      • Передача по протоколу IEEE 802.1X. при выборе данного параметра (он определен по умолчанию) сообщения EAPOL будут отправляться в автоматическом режиме, ожидая запуска проверки подлинности 802.1Х.

    При использовании единого входа, проверка подлинности должна выполняться на основании конфигурации безопасности сети в процессе входа пользователя в операционную систему. Для полной настройки профилей единого входа в систему доступны следующие параметры:

    • Включить единую регистрацию для сети. При включении данной опции активируются настройки единого входа в систему;
    • Включить непосредственно перед входом пользователя. Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться перед завершением входа пользователя в систему;
    • Включить сразу после входа пользователя. Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться после завершения входа пользователя в систему;
    • Макс. задержка подключения. Этот параметр задает максимальное время, за которое должна быть завершена проверка подлинности и, соответственно, как долго будет ждать пользователь перед появлением окна пользовательского входа в систему;
    • Разрешить отображение дополнительных диалоговых окон при едином входе. Этот параметр отвечает за отображение диалогового окна входа пользователя в систему;
    • Эта сеть использует разные виртуальные локальные сети для проверки подлинности по учетным данными компьютеров и пользователей. При указании этой настройки, при запуске, все компьютеры будут помещаться в одну виртуальную сеть, а после успешного входа пользователя в систему, в зависимости от разрешений, будут переводиться в различные виртуальные сети. Эту опцию имеет смысл активировать только в том случае, если у вас на предприятии используются несколько виртуальных локальных сетей VLAN.

    Диалоговое окно дополнительных параметров безопасности политики проводных сетей отображено на следующей иллюстрации:

    Рис. 8. Диалоговое окно дополнительных параметров безопасности политики проводных сетей

    Заключение

    В этой статье вы познакомились со всеми параметрами политики проводных сетей IEE 802.1X. Вы узнали о том, как можно создать такую политику, а также узнали о методах проверки подлинности EAP и проверки при помощи смарт-карт или других сертификатов. В следующей статье вы узнаете о локальных политиках безопасности диспетчера списка сетей.

    Источник

    0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии

    А вот еще интересные материалы:

  • Яшка сломя голову остановился исправьте ошибки
  • Ясность цели позволяет целеустремленно добиваться намеченного исправьте ошибки
  • Ясность цели позволяет целеустремленно добиваться намеченного где ошибка
  • Ошибка соглас переключ конвертов
  • Ошибка соединения 1101 kyocera