RADIUS WiFi がドメイン ユーザーを持つ Windows 8.1 および Windows 10 で動作しない

tag-icon tag-icon windows-8.1 windows-10 windows-domain 802.1x freeradius
RADIUS WiFi がドメイン ユーザーを持つ Windows 8.1 および Windows 10 で動作しない

編集:

問題を絞り込むことができました。どうやらこれは Surface の問題ではなく、Windows 8.1 (おそらく 8 も) と 10 の問題のようです。最初はドメイン外のラップトップとユーザーを使用して Windows 8.1 でテストしたため、この問題に気づきませんでした。

ローカル ユーザー アカウントを使用すると、RADIUS Wi-Fi への接続は問題なく機能します。これをドメイン ユーザー アカウントで試すと (ローカル管理者権限のあるアカウントとないアカウントの両方を試しました)、接続できなくなります。まだ Samba 3 を使用しているため、AD ではなくドメインについて話していることに注意してください。

オリジナル:

FreeRADIUS サーバー (MSChapv2 を使用した PEAP) を使用して、RADIUS Wi-Fi ネットワークを実行しています。すべてのマシン (Windows 7 および 8.1、Android 4.3、Arch Linux でテスト済み) で問題なく動作しますが、Surface Pro 3 では動作しません。Windows マシンでは、PowerShell スクリプトを使用して Wi-Fi セットアップが自動化されているため、まったく同じ設定が使用されます。また、さまざまなオプションを使用して手動で構成することも何度も試みました。FreeRADIUS サーバーには、会社のカスタム証明機関によって署名された証明書を使用しています。CA が Windows に正しくインストールされていることを確認し、証明書の検証なしで接続を試みました。

FreeRADIUS ログファイルに表示される内容は次のとおりです。

Wed Jul 15 10:32:52 2015 : Auth: Login OK: [someuser] (from client stg-wlan-core port 0 via TLS tunnel)
Wed Jul 15 10:32:55 2015 : Auth: Login incorrect: [someuser] (from client stg-wlan-core port 217 cli C0-33-5E-33-10-8F)

FreeRADIUS でデバッグを使用すると、次のように表示されます。

[eap] EAP packet type response id 221 length 43
[eap] Continuing tunnel setup.
++[eap] returns ok
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established.  Decoding tunneled attributes.
[peap] Peap state send tlv success
[peap] Received EAP-TLV response.
[peap] Client rejected our response.  The password is probably incorrect.
[peap] We sent a success, but received something weird in return.
[eap] Handler failed in EAP/peap
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
Login incorrect: [someuser] (from client stg-wlan-core port 112 cli 50-1A-C5-F4-F6-87)
Using Post-Auth-Type Reject

パスワードが間違っているという内容のメッセージです。ユーザー アカウントが存在し、パスワードが正しいことは確かなので、どのパスワードについて言及されているのかはわかりません。

表面からのトレース:

[500] 07-15 10:19:48:898: RasEapCreateConnectionProperties, eap type id = 26
[500] 07-15 10:19:48:899: CopyXmlDoc returned: 0x0
[500] 07-15 10:19:48:899: ReadConnectionData
[500] 07-15 10:19:48:900: Setting the defaults to use win-logon
[500] 07-15 10:19:48:900: Use Winlogon credentials is set to No
[500] 07-15 10:19:48:900: Successfully generated blob for MSChapV2 Connection Properties
[500] 07-15 10:19:49:831: RasEapCreateConnectionProperties, eap type id = 26
[500] 07-15 10:19:49:831: CopyXmlDoc returned: 0x0
[500] 07-15 10:19:49:832: ReadConnectionData
[500] 07-15 10:19:49:833: Setting the defaults to use win-logon
[500] 07-15 10:19:49:833: Use Winlogon credentials is set to No
[500] 07-15 10:19:49:833: Successfully generated blob for MSChapV2 Connection Properties
[500] 07-15 10:19:49:843: RasEapCreateConnectionProperties, eap type id = 26
[500] 07-15 10:19:49:843: CopyXmlDoc returned: 0x0
[500] 07-15 10:19:49:844: ReadConnectionData
[500] 07-15 10:19:49:845: Setting the defaults to use win-logon
[500] 07-15 10:19:49:845: Use Winlogon credentials is set to No
[500] 07-15 10:19:49:845: Successfully generated blob for MSChapV2 Connection Properties
[500] 07-15 10:19:50:109: InitLSA.
[500] 07-15 10:19:50:109: InitLSA: returning 0x0
[500] 07-15 10:19:50:109: ChapInit: exit: fInitialize=0x1, g_dwRefCount = 0x1, g_hLsa = 0x1147e5d0
[500] 07-15 10:19:50:109: EapMSCHAPv2Initialize Exit: fInitizlize = 1, dwRefCount = 0x1,
[500] 07-15 10:19:50:109: EapMSCHAPv2Initialize: fInitizlize = 0, dwRefCount = 0x1,
[500] 07-15 10:19:50:109: ChapInit: fInitialize=0x0, g_dwRefCount = 0x1, g_hLsa = 0x1147e5d0
[500] 07-15 10:19:50:135: RasEapGetIdentity
[500] 07-15 10:19:50:135: ReadUserData
[500] 07-15 10:19:50:135: NULL user blob is passed, size: 0
[500] 07-15 10:19:50:135: ReadConnectionData

他に考えられる唯一の理由は、Wi-Fi アダプタまたはそのドライバに問題があるということです。何かアイデアがある場合や、さらに情報が必要な場合は、お知らせください。

答え1

問題は、GUI から必要な設定を使用するように Windows 8 および Windows 10 を構成できなくなったことです。

これを解決するには

Windows 7 クライアントから構成プロファイルをエクスポートし、Windows 8 や 10 クライアントにインポートできます。

  1. Windows 7クライアントでコマンドプロンプトを開きます

  2. 次のコマンドを入力してください

    netsh wlan show profiles

  3. 表示されるリストからエクスポートしたいプロファイル(Wi-Fi Radiusのもの)を選択します。

  4. 次のコマンドを使用してエクスポートします

    netsh wlan export profile <profile name>

    これにより、プロファイルが xml ファイルにエクスポートされます。

  5. XMLファイルを見つけて、Windows 8および10クライアントにコピーします。

  6. 次のコマンドを使用してインポートします。

    netsh wlan add profile <profile name>.xml

  7. 対応する資格情報を入力すれば完了です。

注記:場合によっては、Windows 8 や 10 クライアントの古い (無効な) プロファイルを削除する必要があることがあります。

netsh wlan delete profile <invalid profile>

注記:再起動が必要な場合がある

答え2

これは RADIUS の問題ではありません。Windows 8-10 がドメインのような samba Nt4 に接続されている場合の資格情報ストレージの問題だと思います。Windows 8-10 がローカル ユーザー アカウント (ドメインからではない) で接続する場合、RADIUS サーバーとネットワーク カードは正常に動作します。

答え3

Lenovo ThinkPad Yoga 14 (Intel N 7265) でも同様の問題が発生しました。最新の PROSet ソフトウェア (18.30) ドライバーをインストールし、PROSet 経由で Wi​​-Fi に接続しました。これで問題は解決したようです。

関連情報