アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

ワイヤレス RADIUS 設定でよくある問題

このナレッジ ベース記事では、WPA2 Enterprise と PEAP-MSCHAPv2 を実装する際によくある設定の問題を、Windows 2008 NPS 環境のエラー コードを使用して説明します。Windows イベント ログ メッセージ、エラー イベントの考えられる原因、推奨する解決策について解説します。

Windows イベント ビューアには、[スタート] > [すべてのプログラム] > [管理ツール] > [イベントビューア] に移動してアクセスします。ここでは、以下の図で確認できるネットワーク ポリシーとアクセス サービス ログとセキュリティ ログの 2 つのログを使用します。

3b8c613b-1af3-4c4e-86ba-1dca61bd4f28

よくある設定エラー

以下に示すよくある設定エラーによって、RADIUS 認証が失敗することがあります。以下に説明するエラー コードは Windows NPS に固有のものですが、設定チェックは RADIUS サーバ ベンダーに関わらず実行するようにしてください。

  1. RADIUS サーバに証明書がインストールされていないか、証明書が失効している

  2. Cisco Meraki アクセス ポイントが RADIUS クライアントとして追加されていないか、アクセス ポイントに DHCP が設定されていない
  3. ダッシュボードの秘密鍵が正しくない
  4. ネットワーク ポリシーが正しく設定されていない
  5. 接続要求ポリシーが正しく設定されていない
  6. 認証の設定が一致していない
  7. ユーザ名またはパスワードが不正
  8. ルート証明書がクライアント デバイスに追加されていない

イベント ID 6273、理由コード 23(証明書が不正/見つからない)

多くの場合、接続の問題は RADIUS サーバに証明書がインストールされていないか、証明書が失効していることが原因で発生します。そのようなケースでは、以下に示すようにネットワーク ポリシーとアクセス サービス ログイベント ID 6273理由コード 23 が表示されます。

これを解決するには、TLS を確立するために NPS サーバに証明書をインストールするか更新する必要があります。

f83bec82-9adf-45ff-9b75-73cf0b7e1c0a


イベント ID 13:無効な RADIUS クライアントから RADIUS メッセージを受信しました(AP がクライアントとして追加されていません)

WPA2 Enterprise 認証では、Cisco Meraki のアクセス ポイントを NPS サーバの RADIUS クライアントとして追加する必要があります。そのため、AP で静的 IP の割り当てまたは DHCP 固定 IP の割り当てを使用する必要があります。AP が RADIUS クライアントとして追加されていない場合は、以下に示すようにネットワーク ポリシーとアクセス サービス ログイベント ID 13 が表示されます。

これを解決するには、RADIUS クライアントの追加、およびアクセス ポイントへの静的 IP アドレスの設定に関する以下のナレッジ ベース記事を参照してください。

f5a7578f-a4cc-41ec-bd80-ed547c830ce8


イベント ID 18:RADIUS クライアント x.x.x.x から、Access-Request メッセージと無効な Message-Authenticator 属性を受信しました(不正な共有鍵)

RADIUS サーバを設定するときは、ダッシュボードで [設定(Cofigure)] > [アクセス制御(Access Control)] に移動し、秘密鍵を入力する必要があります。この秘密鍵は、MR アクセス ポイントを RADIUS クライアントとして追加するときに入力する共有秘密鍵と一致する必要があります。この鍵が一致しないときに、ネットワーク ポリシーとアクセス サービス ログイベント ID 18 が表示されます。

これを解決するには、ゲートウェイ AP を NPS の RADIUS クライアントとして追加するときに、共有秘密鍵が、ダッシュボードの [設定(Configure)] > [アクセス制御(Access Control)] の秘密鍵と一致していることを確認します。

0d4f5991-7d31-48cf-b265-91ff9c383a3a


イベント ID 6273、理由コード 48(不正なネットワーク ポリシー)

ダッシュボードで RADIUS テスト機能をテストしているときにイベント ID 6273理由コード 48 を受信した場合、通常これは NPS サーバのネットワーク ポリシーが正しく設定されていないことを示しています。

これを解決するには、PEAP MSCHAPv2 の NPS ポリシーの作成を参照してください。

ダッシュボードのテストに合格し、Windows 7 クライアントのテスト中にこのエラーを受信する場合は、クライアントの WPA-2 Enterprise 設定が正しいことを確認します。

b97d9a8a-e19b-4ce7-9560-d20f9d9cbcc9


イベント ID 6273、理由コード 49(不正な要求ポリシー)

ダッシュボードで RADIUS テスト機能をテストしているときにイベント ID 6273理由コード 49 を受信した場合、通常これは NPS サーバの接続要求ポリシーが正しく設定されていないことを示しています。

これを解決するには、ナレッジ ベース記事、PEAP-MSCHAPv2 認証をサポートするための NPS でのポリシーの作成を参照してください。  

df477d44-4807-4dcc-8516-3d5ce3806cf0


イベント ID 6273、理由コード 66(認証設定の不一致)

ダッシュボードで RADIUS テスト機能をテストしているときにイベント ID 6273理由コード 66 を受信した場合、通常これは認証設定で NPS サーバのネットワーク ポリシーが正しく設定されていないことを示しています。

これを解決するには、KB 記事、PEAP-MSCHAPv2 認証をサポートするための NPS でのポリシーの作成を参照してください。  

ダッシュボードのテストに合格し、Windows 7 クライアントのテスト中にこのエラーを受信する場合は、Windows 7 ドメイン メンバー コンピュータへの GPO を介した PEAP ワイヤレス プロファイルのプッシュに関するナレッジ ベース記事を参照してクライアントの認証設定が正しいことを確認してください。

381d36b7-bc8d-4df5-8ef0-3d9b57217cc9


イベント ID 6273理由コード 8(不正なユーザ名またはパスワード)

RADIUS 認証をテストするときに、ユーザ名が正しくないか、ネットワーク ポリシーで指定された Windows グループに含まれていないことがあります。このようなケースでは、以下に示すように、ネットワーク ポリシーとアクセス サービス ログにイベント ID 6273理由コード 8 が表示されます。

これを解決するには、ユーザ名が正しいこと、およびネットワーク ポリシーで指定された Windows グループに含まれていることを確認します。NPS ポリシー設定に関するドキュメントを参照してください。

7b695c1c-9e17-47b8-ba9b-b425f303ec4a


RADIUS 認証をテストするときは、ユーザのパスワードが正しくない場合があります。このようなケースでは、以下に示すように、Windows セキュリティ ログイベント ID 4625 が表示されます。

これを解決するには、ユーザ パスワードの確認および/または Active Directory でのパスワードのリセットを実行します。

a0baa142-4f8e-48b4-bfd8-b5249ff6388c


イベント ID 6273、理由コード 265(信頼されていない CA)

Windows エンドユーザ デバイスは、WPA-2 Enterprise を使用する際にサーバに提示されるサーバ証明書を検証するオプションがあります(RADIUS の使用時に強く推奨されます)。このオプションを選択した場合は、クライアントの信頼できるルート認証局のリストに認証局を追加する必要があります。Windows クライアントに認証局を追加していない場合は、ネットワーク ポリシーとアクセス サービス ログイベント 6273 と理由コード 265 が表示されることがあります。

b61433b5-8413-4e84-bbd8-4c9377e88fd6