Aruba コントローラーから RADIUS 用の NPS サーバーがあります。アカウンティングと認証のログはオンになっていて、動作しています。を除外するパスワードが間違っているためにログオンに失敗した場合。
セキュリティログ
すべての認証試行は、サーバーのセキュリティイベントログに表示されます。
タスクカテゴリは、ログオンまたはネットワークポリシーサーバーのいずれかです。カテゴリがネットワークポリシーサーバーの場合、理由コードが指定され、ユーザー名が間違っている場合は 8、ドメインが間違っている場合は 7 などです
。NPS ログには、エンド ユーザー デバイスの MAC アドレスである「呼び出し元ステーション ID」(および間違ったパスワード試行に関する情報) も指定されます。
不正なパスワード
不正なパスワードの試行は、セキュリティイベントログにログオンのタスクカテゴリとして記録されます。NPS
ログには表示されず、イベントはないMACアドレスをリストします。
失敗したログオンのイベントIDは6273です。私が入力した「理由コード」はないログには 16 と表示され、ユーザー資格情報が一致しません。
同じコントローラーを使用して、同じデバイス (自分の携帯電話) から不正なパスワードと不正なユーザー名をテストしました。
接続要求ポリシー / ネットワーク ポリシー
ログオン処理の順序が何らかの形で重要だと考えているのですが、どこが重要かわかりません。
認証プロバイダーをローカル コンピューター (ドメイン コントローラーではありません) として、Windows 認証を使用する単一の接続要求ポリシーがあります。
複数のネットワーク ポリシーがあり、ワイヤレスに適用するポリシーがリストの先頭にあります。
不正なパスワードによるログオン失敗は NPS レイヤーに「到達しない」と考えていますが、なぜでしょうか。不正なユーザー名はこのレイヤーで処理されるのに、不正なパスワードは処理されないのはなぜでしょうか。ログオンが異なって処理されるのはなぜでしょうか。(違いは DC からの戻りコードが異なるだけではないでしょうか。)
編集: もう少し調査したところ、セキュリティイベントログに6278 (NPSがフルアクセスを許可) の直前に4624 (ログオン成功) のエントリがあるようです。成功接続。したがって、アカウントはこの初期 (ネットワーク) ログオンを通過する必要があるようです。
しかし、「不正なユーザー名」については、ネットワークポリシーの条件でフィルタリングされていると思います。現在、(他の条件の中でも)条件の1つは、アカウントがドメインユーザーに含まれている必要があることです。これは違います不正なユーザー名の場合。
いずれにせよ、不正なパスワードの試行がNPSによって処理されないのはなぜかわかりません。制約その時点で。