我正在嘗試將 NPS 伺服器設定為我公司雇主 Wifi 網路的 RADIUS 伺服器。所有行動裝置都可以使用其網域使用者/密碼連接到該網路。我的問題是讓 Windows 電腦(不在網域中!)使用此網絡,因為我從 NPS 日誌中收到此錯誤:
"SERVERNAME",
"IAS",
09/28/2015,
09:00:44,
3,
...
"WIFI_STAFF_Policy",
265
使用日誌規範,我發現這個資料包是“訪問-拒絕”,以及「原因代碼」是 265(未在 MS 日誌規格中聲明)。谷歌搜尋我發現「265 Reason code」是一個憑證錯誤,但我不明白這是客戶端錯誤還是伺服器錯誤。
顯然,我無法為所有非網域電腦新增證書,而且我不想為我的 NPS 購買證書。
如果這是客戶端錯誤,我知道我可以將 PEAP 身份驗證設定為不驗證證書,但這是一個非常困難的選項,因為我應該手動設定每台電腦。
有什麼方法可以不使用來自 NPS 網路策略配置的憑證驗證嗎?
答案1
非網域用戶端無法連線的原因是您的用戶端不信任 NPS 伺服器上設定的網路原則所使用的憑證。
有什麼方法可以不使用來自 NPS 網路策略配置的憑證驗證嗎?
不,這就是原因。假設你可以配置 NPS 伺服器以更改客戶端的行為,即使客戶端不信任伺服器的憑證也是如此。如果我是攻擊者,我可以使用您不信任的憑證設定 NPS 伺服器,並將其配置為強制您的客戶端連接到我的伺服器,即使您不信任我的憑證也是如此。那會很糟糕。
您有兩種選擇來使用用戶端不信任的憑證將無線用戶端連接到受 PEAP 保護的無線網路:
- 在客戶端上安裝 NPS 伺服器的證書
- 編輯用戶端上的無線連接,並在受保護的 EAP 屬性中指定用戶端不應驗證伺服器憑證:
