Archívum

Posts Tagged ‘nps’

Sikertelen NPS hitelesítés

június 26, 2014 2 hozzászólás

Adott ügyfélnél a sikertelen hitelesítések sora kezdett gyűlni az NPS-kiszolgálón. Az eseménynaplóban sajnos eléggé semmitmondó üzenet volt, így segítséget kértek a probléma behatárolása érdekében.

Nézzük a naplóbejegyzést (kivonatoltam):

Network Policy Server discarded the request for a user.

Contact the Network Policy Server administrator for more information.

Authentication Details:

            EAP Type:                               –

            Account Session Identifier:                    –

            Reason Code:                           1

            Reason:                                               An internal error occurred. Check the system event log for additional information.

Ha megnézzük a listában a hibakódot, továbbra sem leszünk okosabbak, hiszen az üzenettel ellentétben nem a kiszolgálóval van baj, hanem csak bizonyos hitelesítések esetében van gond (erre még visszatérünk).

Semmi gond, nézzük tovább. Az NPS saját logállománya talán segít – reméltem. Ez a remény azonban hamarosan szétfoszlott, amint belenéztem, s gyakorlatilag a sikeres és sikertelen sorok között nem láttam érdemi különbséget.

Maradt a nyomozás. „Természetesen” semmi nem változott, semmi nem került telepítésre/eltávolításra. Az egyetlen nyom az volt, hogy a munkaállomások kivétel nélkül sikeresen hitelesítettek, egyedül a multi-funkciós készülékek (MFP) hasaltak el.

A megértéshez annyit érdemes tudni, hogy az ügyfélnél beállításra került az MFP-k tanúsítvánnyal történő hitelesítése. Ennek alapján a készülékek bekapcsoláskor egy intelligens hálózati eszköz segítségével bemutattak a Radius-kiszolgálónak egy érvényes tanúsítványt, ekkor kaptak „rendes” ip-címet, ellenkező esetben egy másik alhálózat tagjai lettek.

Nos, ez a hitelesítés hasalt el. Ideiglenesen kikapcsoltuk a Radius-hitelesítés igényét (hogy kapjon megfelelő ip-címet), s megnéztük az MFP-beállításait. Ekkor derült ki, hogy a bemutatásra feltöltött tanúsítvány járt le, ezért futott hibára. Ezt maga az MFP nem képes megújítani, így manuálisan kell feltölteni az újat – természetesen a régi lejárta előtt – s máris helyreáll a béke. De hogy ezt miért nem lehet egy rendes hibakóddal/üzenettel/naplóbejegyzéssel jelezni, nem értem 😦

Kategóriák:PKI, Windows Server Címkék: ,

IAS to NPS: The data is invalid

január 25, 2013 4 hozzászólás

Adott ügyfélnél történt egy migráció 2003 R2-n található IAS-ról egy 2008 R2-n levő NPS-re. A migráció csont nélkül lezajlott, a tesztek során a kliensek rendesen hitelesítettek – bár néha az eseménynapló szívatott. Ez abban nyilvánult meg, hogy időnként, miután rátenyereltünk a frissítés gombra, önhatalmúlag néhány bejegyzés-típusra szűrte a megjelenített adatokat, az igazi tartalmat egy (vagy néha két) újbóli frissítés hozta elő.

Ugyanakkor viszont egy másik hiba okozta a nagyobb fejtörést. Az egyik kliens-gép ugyanis nem volt hajlandó „rendesen” hitelesíteni – az eseménynaplóban a sikertelen kísérlet során ugyanis nem PEAP, hanem csak EAP jelent meg, mint hitelesítési igény. Újra ellenőriztük a kapcsoló (switch) beállításait, a kliensre érkező házirend által beállított hitelesítési módszert, a kiszolgáló szabályait – de semmi szabálytalanságot nem találtunk.

A megoldás felé vezető helyes utat akkor kezdtük felfedezni, amikor egy másik, sikeresen hitelesítő gép helyére tettük. Ekkor végre sikeresen hitelesített, ezáltal egyértelműen látszott, hogy nem a gép beállításaiban van a hiba. Mivel a kapcsoló csak egy közvetítő közeg, elég valószerűtlennek látszott, hogy ő nyúljon bele a hitelesítési csomagokba, így kizárásos alapon maradt az NPS. Itt újból átnézve az érintett szabályt, látszólag továbbra is rendben volt. Amikor viszont egy kicsit mélyebben megpiszkáltuk, s belementünk volna a PEAP beállításaiba, egy érdekes hiba fogadott: „The data is invalid

IAS_to_NPS

A másik kapcsolóra vonatkozó szabályt megnézve természetesen ott nem volt ilyen gond – így egyértelműnek tűnt, hogy itt lehet a kutya elásva. Ezt ellenőrizendő ismét létrehoztuk a szabályt, immár kézzel, természetesen a hibás elé helyezve – s íme, a gép eredeti helyéről is megkaptuk végre a sikeres hitelesítés élményét.

Kategóriák:General, Windows Server Címkék: , ,