ภาษี 116คะแนนชื่อเสียง
สวัสดี,
ฉันมีการตั้งค่าที่ใช้งานได้สำหรับเซิร์ฟเวอร์ RADIUS บนเซิร์ฟเวอร์ windows 2016 และสามารถตรวจสอบสิทธิ์จากเราเตอร์ mikrotik ได้สำเร็จ แต่ด้วยเหตุผลบางประการจึงหยุดทำงาน ข้อความที่ฉันได้รับจากตัวแสดงเหตุการณ์สำหรับเซิร์ฟเวอร์ NPS คือ:
รหัสเหตุผล: 16
สาเหตุ: การรับรองความถูกต้องล้มเหลวเนื่องจากข้อมูลรับรองผู้ใช้ไม่ตรงกัน ชื่อผู้ใช้ที่ระบุไม่ได้แมปกับ
บัญชีผู้ใช้หรือรหัสผ่านที่มีอยู่
ฉันได้ดูในบันทึกไฟล์ IN เพื่อหาข้อมูลเพิ่มเติมแล้ว มันบอกว่า:
รหัสเหตุผล: IAS_AUTH_FAILURE
ฉันใช้การรับรองความถูกต้อง MS-CHAPv2 ในนโยบายเครือข่าย
ฉันไม่สามารถระบุได้ว่าเกิดขึ้นหลังจากใบรับรองหมดอายุหรือหลังจากอัปเดตรหัสผ่านตามปกติซึ่งได้รับคำสั่งจาก AD (อาจไม่เกี่ยวข้องกับสิ่งนี้) ไม่รู้จะดูที่ไหนต่อแล้วจริงๆ คำแนะนำใด ๆ ที่ดูหรือสิ่งที่ต้องตรวจสอบยินดีต้อนรับ
ฉันรู้ว่านี่ไม่ใช่ข้อมูลจำนวนมาก แต่ฉันยินดีที่จะให้ข้อมูลเพื่อแก้ไขจุดบกพร่องนี้
โครงสร้างพื้นฐานเซิร์ฟเวอร์ Windows
โครงสร้างพื้นฐานเซิร์ฟเวอร์ Windows
เซิร์ฟเวอร์ Windows:ตระกูลระบบปฏิบัติการเซิร์ฟเวอร์ของ Microsoft ที่รองรับการจัดการระดับองค์กร การจัดเก็บข้อมูล แอปพลิเคชัน และการสื่อสารโครงสร้างพื้นฐาน:พื้นที่โซลูชันของ Microsoft มุ่งเน้นไปที่การจัดหาโซลูชันระบบคลาวด์ที่สนับสนุนความต้องการในโลกแห่งความเป็นจริงขององค์กรและเป็นไปตามข้อกำหนดด้านกฎระเบียบที่เปลี่ยนแปลงตลอดเวลา
457 คำถาม
ลงชื่อเข้าใช้เพื่อติดตาม
0{count} คะแนน
ซันนี่ ฉี 10,766คะแนนชื่อเสียง •ผู้จำหน่ายไมโครซอฟต์
2021-01-04T03:48:12.677+00:00 นี่เป็นข้อความสั้นๆ เพื่อแจ้งให้คุณทราบว่าขณะนี้ฉันกำลังดำเนินการวิจัยเกี่ยวกับปัญหานี้ และจะติดต่อกลับหาคุณโดยเร็วที่สุด ฉันขอขอบคุณสำหรับความอดทนของคุณ
หากคุณมีข้อมูลอัปเดตใดๆ ในระหว่างขั้นตอนนี้ โปรดแจ้งให้เราทราบ
ลงชื่อเข้าใช้เพื่อแสดงความคิดเห็น
คำตอบที่ยอมรับ
-
ภาษี 116คะแนนชื่อเสียง
2021-01-06T15:16:34.783+00:00 สวัสดี,
ซันนี่และแกรี่ขอขอบคุณสำหรับเวลาและคำแนะนำ แต่ฉันพบสาเหตุของปัญหานี้แล้ว
สิ่งหนึ่งที่ทำให้ฉันมองไปอีกทางคือบันทึกความปลอดภัย ในนั้นฉันมีบันทึกความล้มเหลวในการตรวจสอบเล็กน้อย หนึ่งที่มี ID เหตุการณ์ 4625 และอีกอันที่มี ID เหตุการณ์ 6273 การค้นหาวิธีแก้ปัญหา ID 4625 พาฉันไปที่หัวข้อฟอรัมต่อไปนี้:
https://serverfault.com/questions/608227/authentication-via-radius-mschapv2-error-691
ปรากฎว่าฉันประสบปัญหาเดียวกันและมีการบันทึกไว้ในหน้า microsoft ด้วย:
https://learn.microsoft.com/en-gb/troubleshoot/windows-server/networking/lt2p-ipsec-ras-vpn-connections-fail
เนื่องจาก NTLMv1 ถูกปิดใช้งาน เซิร์ฟเวอร์จึงปฏิเสธคำขอ MS-CHAPv2 เพื่อให้แม่นยำยิ่งขึ้น เมื่อตั้งค่าตัวเลือก "ความปลอดภัยเครือข่าย: ระดับการรับรองความถูกต้องของ LAN Manager" เป็น "ส่งการตอบสนอง NTLMv2 เท่านั้น ปฏิเสธ LM & NTLM" ซึ่งอยู่ภายใต้นโยบายความปลอดภัยท้องถิ่น -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัยเซิร์ฟเวอร์ปฏิเสธคำขอ เมื่อฉันลดสิ่งนี้เป็น "ส่งการตอบสนอง NTLMv2 เท่านั้น" ฉันสามารถเข้าสู่ระบบ mikrotik ได้ตามปกติโดยใช้รัศมี
สรุปสั้นๆ ก็คือ MS-CHAPv2 ต้องการ NTLMv1
ตอนนี้ทำให้ฉันมีคำถามอื่น ภายใต้ตัวเลือกความปลอดภัย มีนโยบายที่อนุญาตให้มีข้อยกเว้นสำหรับเซิร์ฟเวอร์เฉพาะที่เกี่ยวข้องกับกฎนี้ แต่การตั้งค่าเราเตอร์ mikrotik ภายใต้ข้อยกเว้นไม่อนุญาตให้ฉันเข้าสู่ระบบเมื่อกำหนด "ส่งการตอบสนอง NTLMv2 เท่านั้น ปฏิเสธ LM & NTLM"
มีวิธีใช้ตัวเลือก "ส่งการตอบสนอง NTLMv2 เท่านั้น ปฏิเสธ LM & NTLM" แต่อนุญาต NTLMv1 กับบางเซิร์ฟเวอร์หรือไม่นอกจากนี้ ในหน้า microsoft ดังกล่าวมีวิธีแก้ปัญหาที่แนะนำซึ่งฉันควรกำหนดพารามิเตอร์ใหม่ "เปิดใช้งานความเข้ากันได้ของ NTLMv2" ภายใต้ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy วิธีการนี้ใช้ไม่ได้กับตัวเลือก "ส่งการตอบสนอง NTLMv2 เท่านั้น ปฏิเสธ LM & NTLM"
แกรี่ เน็บเบตต์ 5,031คะแนนชื่อเสียง
2021-01-06T19:34:01.887+00:00 สวัสดี@davobo,
ขอบคุณสำหรับข้อมูลนั้น - ฉันไม่รู้
ข้อความคำอธิบายสำหรับข้อยกเว้นฟังดูค่อนข้างเฉพาะเจาะจงและดูเหมือนจะไม่ครอบคลุมถึง "ความปลอดภัยเครือข่าย: ระดับการรับรองความถูกต้องของ LAN Manager" (ตามการอ่านข้อความของฉัน)
คุณรีสตาร์ทเซิร์ฟเวอร์หลังจากเปลี่ยนค่ารีจิสทรี "เปิดใช้งานความเข้ากันได้ของ NTLMv2" หรือไม่ ฉันเพิ่งเริ่มตรวจสอบสิ่งนี้ แต่ดูเหมือนว่า (ใช้ดีบักเกอร์) เหมือนกับว่าระบบจะปรึกษารีจิสทรีเมื่อเริ่มบริการเท่านั้น...
แกรี่
ภาษี 116คะแนนชื่อเสียง
2021-01-10T01:04:29.63+00:00 สวัสดีแกรี่
คุณพูดถูกเกี่ยวกับค่า reg "เปิดใช้งานความเข้ากันได้ของ NTLMv2" หลังจากตั้งค่าคุณสมบัตินี้ในรีจิสทรีและรีสตาร์ทเซิร์ฟเวอร์ NPS ฉันสามารถเข้าสู่ระบบได้ ในขณะที่ "ความปลอดภัยเครือข่าย: ระดับการรับรองความถูกต้องของผู้จัดการ LAN" ถูกตั้งค่าเป็น "ส่งการตอบสนอง NTLMv2 เท่านั้น ปฏิเสธ LM & NTLM"
ดังนั้น "เปิดใช้งานความเข้ากันได้ของ NTLMv2" จึงใช้งานได้กับ NPS เมื่อปิดใช้งาน NTLMv1
ขอบคุณพวกคุณสำหรับความช่วยเหลือ
ขอแสดงความนับถืออย่างสูง
ลงชื่อเข้าใช้เพื่อแสดงความคิดเห็น
4 คำตอบเพิ่มเติม
จัดเรียงตาม:เป็นประโยชน์มากที่สุด
เป็นประโยชน์มากที่สุด ใหม่ล่าสุด เก่าที่สุด
-
ซันนี่ ฉี 10,766คะแนนชื่อเสียง •ผู้จำหน่ายไมโครซอฟต์
2021-01-04T08:54:08.813+00:00 สวัสดี,
ขอขอบคุณสำหรับการโพสต์ในแพลตฟอร์มถามตอบ
จากประสบการณ์ของฉัน ฉันถือว่ารหัสเหตุการณ์คือ 6273 พร้อมรหัสเหตุผล 16 โปรดแก้ไขฉันหากฉันเข้าใจผิด
ข้อผิดพลาดนี้อาจเกิดจากหนึ่งในเงื่อนไขต่อไปนี้:
ผู้ใช้ไม่มีข้อมูลประจำตัวที่ถูกต้อง
วิธีการเชื่อมต่อไม่ได้รับอนุญาตตามนโยบายเครือข่าย
เซิร์ฟเวอร์การเข้าถึงเครือข่ายอยู่ภายใต้การโจมตี
NPS ไม่มีสิทธิ์เข้าถึงฐานข้อมูลบัญชีผู้ใช้บนตัวควบคุมโดเมน
ไม่มีไฟล์บันทึกของ NPS หรือฐานข้อมูล SQL Serverโปรดดูขั้นตอนการแก้ปัญหาในบทความต่อไปนี้:
รหัสเหตุการณ์ 6273 — สถานะการรับรองความถูกต้องของ NPS
ขอแสดงความนับถืออย่างสูง,
แดดจัด----------
หากคำตอบมีประโยชน์ โปรดคลิก "ยอมรับคำตอบ"และโหวตให้
หมายเหตุ: โปรดทำตามขั้นตอนในของเราเอกสารเพื่อเปิดใช้งานการแจ้งเตือนทางอีเมล หากคุณต้องการรับการแจ้งเตือนทางอีเมลที่เกี่ยวข้องสำหรับเธรดนี้
0 ความคิดเห็นไม่มีความคิดเห็น
ลงชื่อเข้าใช้เพื่อแสดงความคิดเห็น
-
ภาษี 116คะแนนชื่อเสียง
2021-01-05T06:46:39.393+00:00 สวัสดีซันนี่
ขอบคุณสำหรับคำแนะนำและคุณถูกต้องเกี่ยวกับรหัสเหตุการณ์และรหัสเหตุผล
ฉันจะพยายามพูดทีละประเด็น
- ผู้ใช้ไม่มีข้อมูลประจำตัวที่ถูกต้อง
ผู้ใช้รายเดียวกับที่ฉันพยายามเชื่อมต่อกับเราเตอร์ Mikrotik โดยใช้ Radius ลงชื่อเข้าใช้พีซีโดเมนและพีซีระยะไกลผ่าน RDC ได้สำเร็จ
ดังนั้นฉันคิดว่าสิ่งนี้สามารถตัดออกได้
ใช้ MS-CHAPv2 ไม่ได้กำหนด PEAP และ EAP ดังนั้นจึงไม่น่าจะมีปัญหาใดๆ เกี่ยวกับใบรับรอง - วิธีการเชื่อมต่อไม่ได้รับอนุญาตตามนโยบายเครือข่าย
มีเพียงสองกฎเท่านั้นที่อยู่ในนโยบายเครือข่าย (ภายใต้เงื่อนไข):
"กลุ่มผู้ใช้" - ผู้ใช้เป็นสมาชิกของกลุ่มชุด
"ชื่อที่เป็นมิตรกับลูกค้า" - ชื่อที่กำหนดไว้ที่นี่เหมือนกับในเราเตอร์ mikrotik
เนื่องจากฉันไม่ได้กำหนดข้อจำกัดใด ๆ สิ่งนี้น่าจะโอเค หรือฉันกำลังมองข้ามบางอย่างไป - เซิร์ฟเวอร์การเข้าถึงเครือข่ายอยู่ภายใต้การโจมตี
จากบันทึก มีเพียงความพยายามที่ล้มเหลวซึ่งส่วนใหญ่มาจากการแก้ไขปัญหา - NPS ไม่มีสิทธิ์เข้าถึงฐานข้อมูลบัญชีผู้ใช้บนตัวควบคุมโดเมน
นอกจากนี้ยังสามารถละเว้นได้เนื่องจาก NPS และ AD อยู่บนพีซีเครื่องเดียวกัน - ไม่มีไฟล์บันทึกของ NPS หรือฐานข้อมูล SQL Server
ไฟล์บันทึกของ NPS ถูกตั้งค่าเป็นตำแหน่งเริ่มต้น - %Systemroot%\system32\LogFiles
ไม่ได้กำหนดค่าการบันทึกเซิร์ฟเวอร์ SQL
บางทีข้อมูลนี้อาจเป็นประโยชน์ ฉันเห็นว่ามีความแตกต่างระหว่างคำขอตรวจสอบสิทธิ์แบบเก่าที่สำเร็จกับคำขอใหม่ที่ล้มเหลว:
บันทึกเก่ามีฟิลด์ NP-Policy-Name: ในคำขอใหม่ ฟิลด์นี้หายไป:
มีวิธีทดสอบแต่ละส่วนประกอบของ NPS ทีละรายการ (การเชื่อมต่อ นโยบาย สิทธิ์ของผู้ใช้ ... ) หรือเครื่องมือบางอย่างที่สามารถช่วยในการแก้ไขปัญหาได้หรือไม่
แกรี่ เน็บเบตต์ 5,031คะแนนชื่อเสียง
2021-01-05T13:34:12.007+00:00 สวัสดี@davobo,
สามารถรับข้อมูลการติดตามจำนวนจำกัดผ่านกลไก "การติดตามเหตุการณ์สำหรับ Windows" (ETW) แต่ผู้ให้บริการ ETW ของ NPS ใช้วพ- ทำให้ผู้ใช้ส่วนใหญ่ (แม้แต่พยายาม) ตีความการติดตามนั้นไม่เป็นประโยชน์อย่างยิ่งสำหรับผู้ใช้ส่วนใหญ่
อีกวิธีหนึ่งคือการแนบดีบักเกอร์กับกระบวนการ RADIUS และตั้งค่าเบรกพอยต์ในรูทีนซึ่งชื่อสัญลักษณ์ดูน่าสนใจ/เกี่ยวข้อง - ไม่จำเป็นต้องพูด เราต้องการการพัฒนาและประสบการณ์ในการดีบั๊กจำนวนมากเพื่อใช้วิธีนี้ได้สำเร็จ
เท่าที่ฉันรู้ไม่มีวิธีที่ง่ายกว่านี้ โดยทั่วไปแล้ว ถ้าใครทำทั้งสองวิธีได้สำเร็จ ก็มักจะ "ถีบตัวเอง" ในภายหลัง เพราะไม่รู้จักสาเหตุที่น่าจะเป็นไปได้ก่อนหน้านี้...
แกรี่
ลงชื่อเข้าใช้เพื่อแสดงความคิดเห็น
- ผู้ใช้ไม่มีข้อมูลประจำตัวที่ถูกต้อง
-
ซันนี่ ฉี 10,766คะแนนชื่อเสียง •ผู้จำหน่ายไมโครซอฟต์
2021-01-06T07:55:02.167+00:00 สวัสดี@davobo
ขอบคุณมากสำหรับความคิดเห็นของคุณ
หากปัญหายังคงอยู่ ฉันขอแนะนำให้รวบรวมทราฟฟิกเครือข่ายผ่าน Network Monitor เมื่อจำลองปัญหาขึ้นใหม่เพื่อค้นหาสาเหตุของการพิสูจน์ตัวตนที่ล้มเหลว คุณสามารถดาวน์โหลดเครื่องมือได้จากลิงค์ต่อไปนี้:
https://www.microsoft.com/en-sg/download/details.aspx?id=4865
อย่างไรก็ตาม โปรดเข้าใจว่าการวิเคราะห์การรับส่งข้อมูลเครือข่ายนั้นอยู่นอกเหนือระดับการสนับสนุนแพลตฟอร์มของเรา
หากคุณต้องการวิเคราะห์การติดตามเครือข่ายเพิ่มเติม เราขอแนะนำให้คุณเปิดกรณีกับ Microsoft ซึ่งสามารถตรวจสอบเชิงลึกได้มากขึ้น เพื่อที่คุณจะได้รับคำอธิบายที่น่าพอใจมากขึ้นและวิธีแก้ไขปัญหานี้
คุณสามารถค้นหาหมายเลขโทรศัพท์สำหรับภูมิภาคของคุณได้จากลิงค์ด้านล่าง:
หมายเลขโทรศัพท์ฝ่ายบริการลูกค้าทั่วโลก
ขอแสดงความนับถืออย่างสูง,
แดดจัด----------
หากคำตอบมีประโยชน์ โปรดคลิก "ยอมรับคำตอบ"และโหวตให้
หมายเหตุ: โปรดทำตามขั้นตอนในของเราเอกสารเพื่อเปิดใช้งานการแจ้งเตือนทางอีเมล หากคุณต้องการรับการแจ้งเตือนทางอีเมลที่เกี่ยวข้องสำหรับเธรดนี้
0 ความคิดเห็นไม่มีความคิดเห็น
ลงชื่อเข้าใช้เพื่อแสดงความคิดเห็น
-
วิคเตอร์ ลอปส์ 1จุดชื่อเสียง
2022-06-14T13:29:09.787+00:00 ขออภัยที่ต้องตอบโพสต์เก่า แต่ปัญหาที่คล้ายกันนี้ปรากฏขึ้นอีกครั้งหลังจากการอัปเดตล่าสุด และเหตุการณ์ 4625 และ 6273 ที่ปรากฏติดต่อกันในบันทึกความปลอดภัยของเซิร์ฟเวอร์ NPS ของคุณอาจหมายถึงปัญหาการแมปใบรับรองด้วย หากคุณใช้ EPA-TLS ("Microsoft: สมาร์ทการ์ดหรือใบรับรองอื่นๆ" เป็นประเภทการตรวจสอบสิทธิ์ EAP) เวอร์ชัน NTLM อาจไม่ส่งผลกระทบต่อคุณ ดูโพสต์อื่นนี้:nps-หยุดทำงาน-หลังพฤษภาคม-2022-updates.html
0 ความคิดเห็นไม่มีความคิดเห็น
ลงชื่อเข้าใช้เพื่อแสดงความคิดเห็น
ลงชื่อเข้าใช้เพื่อตอบ