Erreur d'authentification NPS EAP Après la mise à jour Windows

J'ai un serveur Windows 2008 Std de NPS. Après avoir appliqué la dernière série de mises à jour (Y compris des certificats root pour avril 2012 G. KB931125 (cm.
http://support.microsoft.com/kb/933430/
)), Authentification EAP Non effectué en raison d'un format inapproprié.

Exemple d'erreur (Code de sécurité / événements 6273), tronqué pour le court:

Authentication Details:
Proxy Policy Name: Use Windows authentication for all users
Network Policy Name: Wireless Access
Authentication Provider: Windows
Authentication Server: nps-host.corp.contoso.com
Authentication Type: PEAP
EAP Type: -
Account Session Identifier: -
Reason Code: 266
Reason: The message received was unexpected or badly formatted.

Politique NPS (Accès sans fil) configuré en conséquence (Pour les restrictions / Méthodes d'authentification)

EAP Types:
Microsoft: Protected EAP (PEAP) - with a valid certificate from ADCS
Microsoft: Secured password (EAP-MSCHAP v2)
Less secure authentication methods:
Microsoft Encrypted Authentication version 2 (MS-CHAP-v2)
User can change password after it has expired
Microsoft Encrypted Authentication (MS-CHAP)
User can change password after it has expired

Nous avons testé un autre serveur RADIUS Sans le patch ci-dessus, supprimé EAP Comme type d'authentification et succès réalisé.

Quelqu'un d'autre rencontre-t-il ce problème?
Invité:

Eugene

Confirmation de:

Je vais le mettre ici, puisque je l'ai vécu hier et que l'une de mes premières recherches m'a amené à cette question.

Le problème s'est terminé dans cela, comme mentionné ALF4, Trop de certificats racines. C'est arrivé après la mise à jour Windows Certificats root.

Nous avons résolu ce problème en modifiant le registre sur le serveur. NPS n'a pas envoyé une liste de certificats racines de confiance aux clients.

Interdire NPS Envoyer des certificats racines de confiance aux clients

Ouvert regedit Avec la clé suivante:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Créer un nouveau

DWORD

Coût

SendTrustedIssuerList

et l'installer sur

0 (false)

.

Cela a immédiatement résolu le problème et les clients pourraient se connecter à nouveau.

Merci spécial à Brian, qui a souligné
http://support.microsoft.com/kb/933430
qui, malgré le fait qu'il était destiné à Windows Server 2003, Corrigé nos cases Server 2008 et Server 2008 R2.

Christian

Confirmation de:

décembre 2012 années ce problème s'est posé dans de nombreuses personnes quand Microsoft Mise à niveau gâtée KB931125 11 décembre 2012 année, appliquant accidentellement la mise à jour du certificat racine aux clients.

et serveurs

, Quand il devrait être appliqué uniquement aux clients. Cela a ajouté des centaines de certificats de racine tiers à la liste des certificats racines de confiance sur des serveurs, ce qui entraîne de tels problèmes.

J'avais besoin de suffisamment de temps pour le trouver, mais MS Il y a un article et une correction disponible sur
http://support.microsoft.com/kb/2801679
. Avec la validité de la mise à jour erronée expirée dans le centre de mise à jour Windows et WSUS, Mais si vous l'avez déjà appliqué

Vous pouvez nettoyer la liste des certificats root, en cours d'exécution Fix-it

Conduit dans l'article sur tous les serveurs concernés.

Je pense que cela élimine la raison d'une manière plus propre que de pirater le registre ou le nettoyage manuel des certificats mentionnés ci-dessus.

Si vous préférez effectuer cela manuellement, la correction consiste à supprimer tous les certificats racines tiers, après quoi tout ce dont vous avez besoin automatiquement recréé à partir du centre de mise à jour. Windows. Assurez-vous simplement de synchroniser WSUS et accepté l'expiration de la période de validité pour KB931125.

Supprimer la clé de registre suivante:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ SystemCertificates \ AuthRoot \ Certificates

j'ai Fix-it Il semble fonctionner sans redémarrer et autres mises à jour. J'ai supprimé la modification du registre mentionnée dans la réponse de Jason et pouvait toujours authentifier Wi-Fi de l'autre côté NPS.

Georges

Confirmation de:

Certificats root !! Vous avez donc trop envoyé, donc "mal formé". Retirez la surdoulement et serrez la liste aussi bien que vous le pouvez, et cela commencera à fonctionner à nouveau.

Hannah

Confirmation de:

http://support.microsoft.com/kb/933430
. J'ai utilisé la méthode 3 Et il gagnait à nouveau.

Pour répondre aux questions, connectez-vous ou registre