Tengo un servidor NPS para RADIUS desde un controlador Aruba. El registro de contabilidad y autenticación está activado y funcionando.exceptopara cuando falla el inicio de sesión debido a una contraseña incorrecta.
Registros de seguridad
Todos los intentos de autenticación son visibles en el servidor en el registro de eventos de seguridad.
La categoría de tarea es Inicio de sesión o Servidor de políticas de red. Si la categoría es Servidor de políticas de red, uncódigo de razónse especifica, 8 para un nombre de usuario incorrecto, 7 para un dominio incorrecto, etc.
Los registros de NPS también especifican la "identificación de la estación de llamada", que es la dirección MAC del dispositivo del usuario final (y la información que deseo para intentos de contraseña incorrectos).
Contraseñas incorrectas
Los intentos de contraseña incorrecta se registran en el registro de eventos de seguridad con la categoría de tarea de inicio de sesión.
No aparecen en los registros de NPS y el evento sí.noindique la dirección MAC.
El ID de evento de inicios de sesión fallidos es 6273; el "código de razón" que estoynoLo que se ve en los registros es 16, las credenciales del usuario no coinciden.
Probé una contraseña incorrecta y un nombre de usuario incorrecto desde el mismo dispositivo (mi teléfono) usando el mismo controlador.
Políticas de solicitud de conexión/Políticas de red
Supongo que el orden del procesamiento de inicio de sesión es de alguna manera importante, pero no sé dónde.
Tenemos una única política de solicitud de conexión para utilizar la autenticación de Windows con el proveedor de autenticación como computadora local (esto NO es un controlador de dominio).
Tenemos varias políticas de red y la que solicita conexión inalámbrica es la primera en la lista.
Me imagino que el inicio de sesión fallido con contraseña incorrecta "no llega" a la capa NPS, pero ¿por qué no? ¿Por qué esta capa procesa un nombre de usuario incorrecto, pero no una contraseña incorrecta? ¿Qué pasa con los inicios de sesión que se procesan de manera diferente? (¿No es la diferencia simplemente un código de retorno diferente del DC?)
editar: Después de investigar un poco más, parece haber una entrada 4624 (inicio de sesión exitoso) en el registro de eventos de seguridad inmediatamente antes de 6278 (NPS que otorga acceso completo) paraexitosoconexiones. Entonces parece que las cuentas deben pasar este inicio de sesión inicial (de red).
Sin embargo, creo que los "nombres de usuario incorrectos" se filtran en las condiciones de la Política de red. Actualmente (entre otras cosas) una de las condiciones es que la cuenta debe estar en Usuarios de Dominio. Esto esno es verdadpara nombres de usuario incorrectos.
De cualquier manera, no estoy seguro de por qué NPS no procesa un intento de contraseña incorrecto, ya que debería ser no válido.restricciónen ese punto.