Ich betreibe einen NPS-Server auf meinem Windows Server 2019 in meinem Netzwerk. Ich verwende ihn, um mich als Administrator bei meinen Cisco C9300-Switches zu authentifizieren und daran zu arbeiten. Seit Kurzem kann ich mich nicht mehr anmelden, da ich nicht authentifiziert bin. Hier ist eine Kopie des NPS-Protokolls, das ich erhalte, wenn ich versuche, mich per SSH mit dem Switch zu verbinden.
<Event>
<Timestamp data_type="4">12/14/2020 14:42:20.610</Timestamp>
<Computer-Name data_type="1">RADIUS-SERVER</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<User-Name data_type="1">user</User-Name>
<NAS-IP-Address data_type="3">192.168.0.10</NAS-IP-Address>
<Client-IP-Address data_type="3">192.168.0.10/Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">SWITCHA01</Client-Friendly-Name>
<Proxy-Policy-Name data_type="1">NPS-Cisco</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">DOMAIN\user</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">DOMAIN\user</Fully-Qualifed-User-Name>
<Authentication-Type data_type="0">1</Authentication-Type>
<Class data_type="1">311 1 192.168.0.15 12/14/2020 17:46:50 8</Class>
<Packet-Type data_type="0">1</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
<Event>
<Timestamp data_type="4">12/14/2020 14:42:20.610</Timestamp>
<Computer-Name data_type="1">RADIUS-SERVER</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<Class data_type="1">311 1 192.168.0.15 12/14/2020 17:46:50 8</Class>
<Authentication-Type data_type="0">1</Authentication-Type>
<Client-IP-Address data_type="3">192.168.0.10</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">INSTRU-SWITCHA01</Client-Friendly-Name>
<Proxy-Policy-Name data_type="1">NPS-Cisco</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">DOMAIN\user</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">DOMAIN\user</Fully-Qualifed-User-Name>
<Packet-Type data_type="0">3</Packet-Type>
<Reason-Code data_type="0">16</Reason-Code>
</Event>
Der NPS-Server ist derzeit so konfiguriert, dass er PAP als Authentifizierung verwendet, um zu sehen, ob ich mich anmelden kann, aber er gibt mir immer wieder den Grundcode 16 aus, der eine Nichtauthentifizierung bedeutet. Was kann ich tun, um mit meinem Domänenadministratorkonto wieder als Administrator auf meine Switches zuzugreifen?
Antwort1
Nach einigen Tests habe ich das Problem gefunden. Ich habe den NPS von einem Domänencontroller auf einen Mitgliedsserver verschoben. Aufgrund der Rechtezuweisung konnte ich mich mit meinen Domänencontroller-Anmeldeinformationen nicht beim Switch anmelden, da sie nicht auf dem Mitgliedsserver angemeldet sein dürfen, auf dem der NPS ausgeführt wurde. Ich kann weiterhin jede andere Gruppe als diese so einrichten, dass sie sich mit NPS authentifiziert, solange dies nicht gegen die Benutzerrechtezuweisung verstößt.
Ich hätte nie gedacht, dass sie sich gegenseitig ausschließen würden, aber offensichtlich ist das so.