Ich habe einen NPS-Server für RADIUS von einem Aruba-Controller. Die Kontoführung und Authentifizierungsprotokollierung ist aktiviert und funktioniert.außerfür den Fall, dass die Anmeldung wegen eines falschen Kennworts fehlschlägt.
Sicherheitsprotokolle
Alle Authentifizierungsversuche sind auf dem Server im Sicherheitsereignisprotokoll sichtbar.
Die Aufgabenkategorie ist entweder Anmeldung oder Netzwerkrichtlinienserver. Wenn die Kategorie Netzwerkrichtlinienserver ist, wird einUrsachencodeangegeben ist, 8 für falschen Benutzernamen, 7 für falsche Domäne usw.
Die NPS-Protokolle geben auch die „Calling Station ID“ an, also die MAC-Adresse des Endbenutzergeräts (und die Informationen, die ich bei falschen Kennworteingaben haben möchte).
Schlechte Passwörter
Falsche Kennwortversuche werden im Sicherheitsereignisprotokoll mit der Aufgabenkategorie „Anmeldung“ protokolliert.
Sie werden nicht in den NPS-Protokollen angezeigt und das EreignisnichtListe die MAC-Adresse.
Die Ereignis-ID der fehlgeschlagenen Anmeldungen ist 6273; der "Ursachencode"nichtIn den Protokollen wird 16 angezeigt, die Benutzeranmeldeinformationen stimmen nicht überein.
Ich habe mit demselben Controller ein falsches Passwort und einen falschen Benutzernamen auf demselben Gerät (meinem Telefon) getestet.
Richtlinien für Verbindungsanforderungen/Netzwerkrichtlinien
Ich nehme an, dass die Reihenfolge der Anmeldeverarbeitung irgendwie wichtig ist, aber ich weiß nicht, wo.
Wir haben eine einzige Verbindungsanforderungsrichtlinie, um die Windows-Authentifizierung mit dem Authentifizierungsanbieter als lokalem Computer zu verwenden (dies ist KEIN Domänencontroller).
Wir haben mehrere Netzwerkrichtlinien und diejenige, die sich auf drahtlose Verbindungen bezieht, steht an erster Stelle in der Liste.
Ich gehe davon aus, dass die fehlgeschlagene Anmeldung mit falschem Kennwort es nicht bis zur NPS-Schicht schafft, aber warum nicht? Warum werden falsche Benutzernamen von dieser Schicht verarbeitet, falsche Kennwörter jedoch nicht? Was ist an den Anmeldungen, dass sie unterschiedlich verarbeitet werden? (Ist der Unterschied nicht einfach ein anderer Rückgabecode vom DC?)
edit: Nach etwas mehr Untersuchung scheint es einen Eintrag 4624 (erfolgreiche Anmeldung) im Sicherheitsereignisprotokoll unmittelbar vor 6278 (NPS gewährt vollen Zugriff) fürerfolgreichVerbindungen. Es scheint also, dass die Konten diese anfängliche (Netzwerk-)Anmeldung bestehen müssen.
Ich glaube jedoch, dass „schlechte Benutzernamen“ in den Netzwerkrichtlinienbedingungen gefiltert werden. Derzeit ist (unter anderem) eine der Bedingungen, dass das Konto zu den Domänenbenutzern gehören muss. Dies istnicht wahrfür falsche Benutzernamen.
So oder so bin ich mir nicht sicher, warum ein falscher Passwortversuch nicht von NPS verarbeitet wird, da es sich um einen ungültigenZwangan diesem Punkt.