Eu tenho um servidor NPS para RADIUS de um controlador Aruba. O registro de contabilidade e autenticação está ativado e funcionando,excetopara quando o logon falha devido a uma senha incorreta.
Registros de segurança
Todas as tentativas de autenticação ficam visíveis no servidor no log de eventos de segurança.
A categoria da tarefa é Logon ou Servidor de políticas de rede. Se a categoria for Servidor de políticas de rede, umCódigo de razãoé especificado, 8 para nome de usuário incorreto, 7 para domínio incorreto, etc.
Os logs do NPS também especificam o "ID da estação de chamada", que é o endereço MAC do dispositivo do usuário final (e as informações que desejo para tentativas de senha incorreta).
Senhas incorretas
Tentativas de senha incorreta são registradas no log de eventos de segurança com a categoria de tarefa Logon.
Eles não aparecem nos logs do NPS e o evento nãonãoliste o endereço MAC.
O ID do evento de logons com falha é 6273; o "código de razão" que estounãovisto nos logs é 16, incompatibilidade de credenciais do usuário.
Testei senha e nome de usuário incorretos no mesmo dispositivo (meu telefone) usando o mesmo controlador.
Políticas de solicitação de conexão/políticas de rede
Estou imaginando que a ordem do processamento de logon é importante, mas não sei onde.
Temos uma única Política de Solicitação de Conexão para usar a autenticação do Windows com o Provedor de Autenticação como Computador Local (este NÃO é um Controlador de Domínio).
Temos várias políticas de rede e aquela que se aplica à rede sem fio é a primeira da lista.
Estou imaginando que o logon com falha de senha incorreta "não está chegando" à camada NPS, mas por que não? Por que o nome de usuário incorreto está sendo processado por esta camada, mas não a senha incorreta? O que há nos logons que estão sendo processados de maneira diferente? (A diferença não é apenas um código de retorno diferente do DC?)
editar: Após um pouco mais de investigação, parece haver uma entrada 4624 (logon bem-sucedido) no log de eventos de segurança imediatamente antes de 6278 (NPS concedendo acesso total) parabem-sucedidoconexões. Parece que as contas devem passar por esse logon inicial (rede).
No entanto, para "nomes de usuário incorretos", acredito que eles estejam sendo filtrados nas condições da Política de Rede. Atualmente (entre outras coisas) uma das condições é que a conta esteja em Usuários do Domínio. Isso éNão é verdadepara nomes de usuário incorretos.
De qualquer forma, não sei por que uma tentativa de senha incorreta não seria processada pelo NPS, pois deveria ser inválidalimitaçãonesse ponto.