Introduction
Este documento fornece uma configuração de exemplo para o PEAP (Protected Extensible Authentication Protocol) com autenticação MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) versão 2 em uma rede Cisco Unified Wireless com o NPS (Microsoft Network Policy Server) como servidor RADIUS.
Prerequisites
Requirements
Certifique-se de estar familiarizado com estes procedimentos antes de tentar esta configuração:
- Conhecimento da instalação básica do Windows 2008
- Conhecimento da instalação do controlador Cisco
Certifique-se de que estes requisitos foram atendidos antes de tentar esta configuração:
- Instale o sistema operacional Microsoft Windows Server 2008 em cada um dos servidores no laboratório de teste.
- Atualize todos os service packs.
- Instale os controladores e os LAPs (Lightweight Access Points, pontos de acesso leves).
- Configure as atualizações de software mais recentes.
Para obter informações sobre instalação e configuração iniciais dos Cisco 5508 Series Wireless Controllers, consulte o Guia de Instalação do Cisco 5500 Series Wireless Controller.
Observação: este documento tem como objetivo dar aos leitores um exemplo da configuração necessária em um servidor Microsoft para autenticação PEAP-MS-CHAP. A configuração do servidor Microsoft Windows apresentada neste documento foi testada no laboratório e foi encontrada para funcionar como esperado. Se tiver problemas com a configuração, entre em contato com a Microsoft para obter ajuda. O Cisco Technical Assistance Center (TAC) não oferece suporte à configuração do servidor Microsoft Windows.
Os guias de instalação e configuração do Microsoft Windows 2008 podem ser encontrados no Microsoft Tech Net.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco 5508 Wireless Controller que executa a versão de firmware 7.4
- Access Point (AP) Cisco Aironet 3602 com LWAPP (Lightweight Access Point Protocol)
- Windows 2008 Enterprise Server com serviços de NPS, Autoridade de Certificação (CA), protocolo de controle dinâmico de host (DHCP) e Sistema de Nomes de Domínio (DNS) instalados
- PC cliente Microsoft Windows 7
- Switch Cisco Catalyst 3560 Series
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Visão geral do PEAP
O PEAP usa TLS (Transport Level Security) para criar um canal criptografado entre um cliente PEAP de autenticação, como um laptop sem fio, e um autenticador PEAP, como o Microsoft NPS ou qualquer servidor RADIUS. O PEAP não especifica um método de autenticação, mas fornece segurança adicional para outros EAPs (Extensible Authentication Protocols), como EAP-MS-CHAP v2, que podem operar através do canal encriptado TLS fornecido pelo PEAP. O processo de autenticação PEAP consiste em duas fases principais.
Fase um do PEAP: Canal criptografado TLS
O cliente sem fio está associado ao AP. Uma associação baseada em IEEE 802.11 fornece uma autenticação de chave compartilhada ou de sistema aberto antes de uma associação segura entre o cliente e o ponto de acesso. Depois que a associação baseada no IEEE 802.11 é estabelecida com êxito entre o cliente e o ponto de acesso, a sessão TLS é negociada com o AP. Depois que a autenticação é concluída com êxito entre o cliente sem fio e o NPS, a sessão TLS é negociada entre o cliente e o NPS. A chave derivada dessa negociação é usada para criptografar toda a comunicação subsequente.
Fase dois do PEAP: Comunicação Autenticada por EAP
A comunicação EAP, que inclui a negociação EAP, ocorre dentro do canal TLS criado pelo PEAP dentro do primeiro estágio do processo de autenticação PEAP. O NPS autentica o cliente sem fio com EAP-MS-CHAP v2. O LAP e o controlador encaminham apenas mensagens entre o cliente sem fio e o servidor RADIUS. O Wireless LAN Controller (WLC) e o LAP não podem descriptografar essas mensagens porque não é o ponto final do TLS.
A sequência de mensagens RADIUS para uma tentativa de autenticação bem-sucedida (onde o usuário forneceu credenciais válidas baseadas em senha com PEAP-MS-CHAP v2) é:
- O NPS envia uma mensagem de solicitação de identidade ao cliente: EAP-Request/Identity.
- O cliente responde com uma mensagem de resposta de identidade: Resposta EAP/Identidade.
- O NPS envia uma mensagem de desafio MS-CHAP v2: EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge).
- O cliente responde com um desafio e resposta MS-CHAP v2: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Resposta).
- O NPS envia de volta um pacote de sucesso MS-CHAP v2 quando o servidor autenticou com êxito o cliente: EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Êxito).
- O cliente responde com um pacote de sucesso MS-CHAP v2 quando o cliente autenticou o servidor com êxito: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Êxito).
- O NPS envia um TLV (tipo EAP-comprimento-valor) que indica uma autenticação bem-sucedida.
- O cliente responde com uma mensagem de êxito de status EAP-TLV.
- O servidor conclui a autenticação e envia uma mensagem EAP-Success em texto simples. Se as VLANs forem implantadas para o isolamento do cliente, os atributos da VLAN serão incluídos nesta mensagem.
Configurar
Nesta seção, você recebe as informações para configurar o PEAP-MS-CHAP v2.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Diagrama de Rede
Essa configuração utiliza esta configuração de rede:

Nesta configuração, um servidor Microsoft Windows 2008 executa estas funções:
- Controlador de domínio para o domínio wireless.com
- Servidor DHCP/DNS
- servidor CA
- NPS ? autenticar os usuários sem fio
- Ative Diretory ? para manter o banco de dados de usuários
O servidor se conecta à rede com fio através de um switch de Camada 2, como mostrado. A WLC e o LAP registrado também se conectam à rede por meio do switch de Camada 2.
Os clientes sem fio usam a autenticação WPA2 (Wi-Fi Protected Access 2) - PEAP-MS-CHAP v2 para se conectarem à rede sem fio.
Configurações
O objetivo deste exemplo é configurar o Microsoft 2008 Server, Wireless LAN Controller e Light Weight AP para autenticar os clientes sem fio com autenticação PEAP-MS-CHAP v2. Há três etapas principais neste processo:
- Configure o Microsoft Windows 2008 Server.
- Configure a WLC e os APs de peso leve.
- Configure os clientes sem fio.
Configurar o Microsoft Windows 2008 Server
Neste exemplo, uma configuração completa do servidor Microsoft Windows 2008 inclui estas etapas:
- Configure o servidor como um controlador de domínio.
- Instalar e configurar serviços DHCP.
- instalar e configurar o servidor como um servidor CA.
- Conectar clientes ao domínio.
- Instale o NPS.
- Instale um certificado.
- Configure o NPS para autenticação PEAP.
- Adicione usuários ao Ative Diretory.
Configurar o Microsoft Windows 2008 Server como um controlador de domínio
Conclua estes passos para configurar o servidor Microsoft Windows 2008 como um controlador de domínio:
- Clique em Iniciar > Server Manager.

- Clique em Funções > Adicionar Funções.

- Clique em Next.

- Selecione o serviço Serviços de Domínio do Ative Diretory e clique em Avançar.

- Revise a Introdução aos Serviços de Domínio do Ative Diretory e clique em Avançar.

- Clique em Instalar para iniciar o processo de instalação.

A instalação continua e é concluída.
- Clique em Fechar este assistente e inicie o Assistente de Instalação dos Serviços de Domínio do Ative Diretory (dcpromo.exe) para continuar a instalação e a configuração do Ative Diretory.

- Clique em Avançar para executar o Assistente de Instalação dos Serviços de Domínio do Ative Diretory.

- Revise as informações sobre a compatibilidade do sistema operacional e clique em Avançar.

- Clique em Criar um novo domínio em uma nova floresta > Avançar para criar um novo domínio.

- Insira o nome DNS completo para o novo domínio (wireless.com neste exemplo) e clique em Avançar.

- Selecione o nível funcional da floresta para o seu domínio e clique em Avançar.

- Selecione o nível funcional do domínio para o seu domínio e clique em Avançar.

- Verifique se o servidor DNS está selecionado e clique em Avançar.

- Clique em Sim para o assistente de instalação para criar uma nova zona no DNS para o domínio.

- Selecione as pastas que o Ative Diretory deve usar para seus arquivos e clique em Avançar.

- Digite a senha do administrador e clique em Avançar.

- Revise suas seleções e clique em Avançar.

A instalação continua.
- Clique em Concluir para fechar o assistente.

- Reinicie o servidor para que as alterações entrem em vigor.

Instalar e configurar serviços DHCP no servidor Microsoft Windows 2008
O serviço DHCP no servidor Microsoft 2008 é usado para fornecer endereços IP aos clientes sem fio. Conclua estes passos para instalar e configurar serviços DHCP:
- Clique em Iniciar > Server Manager.
- Clique em Funções > Adicionar Funções.

- Clique em Next.

- Selecione o serviço Servidor DHCP e clique em Avançar.

- Revise a Introdução ao servidor DHCP e clique em Avançar.

- Selecione a interface que o servidor DHCP deve monitorar para solicitações e clique em Avançar.

- Defina as configurações DNS padrão que o servidor DHCP deve fornecer aos clientes e clique em Avançar.

- Configure o WINS se a rede suportar o WINS.

- Clique em Adicionar para usar o assistente para criar um escopo de DHCP ou clique em Avançar para criar um escopo de DHCP posteriormente. Clique em Avançar para continuar.

- Ative ou desative o suporte de DHCPv6 no servidor e clique em Avançar.

- Defina as configurações de DNS IPv6 se DHCPv6 foi habilitado na etapa anterior. Clique em Avançar para continuar.

- Forneça credenciais de administrador de domínio para autorizar o servidor DHCP no Ative Diretory e clique em Avançar.

- Revise a configuração na página de confirmação e clique em Instalar para concluir a instalação.

A instalação continua.
- Clique em Fechar para fechar o assistente.

O servidor DHCP agora está instalado.
- Clique em Iniciar > Ferramentas administrativas > DHCP para configurar o serviço DHCP.

- Expanda o servidor DHCP (win-mvz9z2umms.wireless.com neste exemplo), clique com o botão direito do mouse em IPv4 e escolha Novo escopo. para criar um Escopo DHCP.

- Clique em Avançar para configurar o novo escopo através do Assistente de Novo Escopo.

- Forneça um nome para o novo escopo (Clientes sem fio neste exemplo) e clique em Avançar.

- Insira o intervalo de endereços IP disponíveis que podem ser usados para aluguéis de DHCP. Clique em Avançar para continuar.

- Crie uma lista opcional de endereços excluídos. Clique em Avançar para continuar.

- Configure o tempo de concessão e clique em Avançar.

- Clique em Yes, I want to configure this options now (Sim, quero configurar essas opções agora) e clique em Next (Avançar).

- Insira o endereço IP do gateway padrão para esse escopo e clique em Add > Next.

- Configure o nome de domínio DNS e o servidor DNS a serem usados pelos clientes. Clique em Avançar para continuar.

- Insira as informações do WINS para esse escopo se a rede suportar WINS. Clique em Avançar para continuar.

- Para ativar este âmbito, clique em Sim, pretendo ativar este âmbito agora > Seguinte.

- Clique em Concluir para concluir e fechar o assistente.

Instalar e configurar o Microsoft Windows 2008 Server como um servidor CA
O PEAP com EAP-MS-CHAP v2 valida o servidor RADIUS com base no certificado presente no servidor. Além disso, o certificado do servidor tem de ser emitido por uma AC pública fidedigna pelo computador cliente (isto é, o certificado de AC pública já existe na pasta Autoridade de Certificação de Raiz Confiável no arquivo de certificados do computador cliente).
Conclua estes passos para configurar o servidor Microsoft Windows 2008 como um servidor CA que emite o certificado para o NPS:
- Clique em Iniciar > Server Manager.

- Clique em Funções > Adicionar Funções.

- Clique em Next.

- Selecione o serviço Serviços de Certificados do Ative Diretory e clique em Avançar.

- Revise a Introdução aos Serviços de Certificados do Ative Diretory e clique em Avançar.

- Selecione a Autoridade de certificado e clique em Avançar.

- Selecione Enterprise e clique em Next.

- Selecione CA raiz e clique em Avançar.

- Selecione Criar uma nova chave privada e clique em Avançar.

- Clique em Next em Configuring Cryptography for CA.

- Clique em Avançar para aceitar o nome comum padrão para esta CA.

- Selecione o período de tempo durante o qual este certificado CA é válido e clique em Avançar.

- Clique em Avançar para aceitar o local padrão do banco de dados de certificado.

- Revise a configuração e clique em Instalar para iniciar os Serviços de Certificados do Ative Diretory.

- Depois que a instalação for concluída, clique em Fechar.
Conectar clientes ao domínio
Conclua estes passos para conectar os clientes à rede com fio e para fazer download das informações específicas do domínio do novo domínio:
- Conecte os clientes à rede com fio com um cabo Ethernet direto.
- Inicialize o cliente e faça login com o nome de usuário e senha do cliente.
- Clique em Iniciar > Executar, digite cmd e clique em OK.
- No prompt de comando, digite ipconfig e clique em Enter para verificar se o DHCP funciona corretamente e se o cliente recebeu um endereço IP do servidor DHCP.
- Para ingressar o cliente no domínio, clique em Iniciar, clique com o botão direito do mouse em Computador, escolha Propriedades e escolha Alterar Configurações na parte inferior direita.
- Clique em Alterar.
- Clique em Domain, digite wireless.com e clique em OK.

- Digite o nome de usuário administrador e a senha específica do domínio ao qual o cliente se conecta. Esta é a conta de administrador no Ative Diretory no servidor.

- Clique em OK e clique em OK novamente.

- Clique em Fechar > Reiniciar agora para reiniciar o computador.
- Quando o computador for reiniciado, faça login com as seguintes informações: Nome de usuário = Administrador; Senha = <senha do domínio>; Domínio = sem fio.
- Clique em Iniciar, clique com o botão direito do mouse em Computador, escolha Propriedades e escolha Alterar configurações na parte inferior direita para verificar se você está no domínio wireless.com.
- A próxima etapa é verificar se o cliente recebeu o certificado CA (confiável) do servidor.

- Clique em Iniciar, digite mmc e pressione Enter.
- Clique em Arquivo e clique em Adicionar/remover snap-in.
- Escolha Certificados e clique em Adicionar.

- Clique em Conta do computador e clique em Avançar.

- Clique em Local computer (Computador local) e clique em Next (Avançar).

- Click OK.
- Expanda as pastas Certificados (Computador Local) e Autoridades de Certificação Raiz Confiáveis e clique em Certificados. Localizar certificado CA de domínio sem fios na lista. Neste exemplo, o certificado CA é chamado wireless-WIN-MVZ9Z2UMNMS-CA.

- Repita este procedimento para adicionar mais clientes ao domínio.
Instale o Servidor de Diretiva de Rede no Servidor Microsoft Windows 2008
Nesta configuração, o NPS é usado como um servidor RADIUS para autenticar clientes sem fio com autenticação PEAP. Conclua estes passos para instalar e configurar o NPS no servidor Microsoft Windows 2008:
- Clique em Iniciar > Server Manager.

- Clique em Funções > Adicionar Funções.

- Clique em Next.

- Selecione o serviço Política de rede e Serviços de acesso e clique em Avançar.

- Revise a Introdução à política de rede e aos serviços de acesso e clique em Avançar.

- Selecione Network Policy Server e clique em Next.

- Revise a confirmação e clique em Instalar.

Após a conclusão da instalação, uma tela semelhante a esta é exibida.

- Clique em Close.
Instalar um certificado
Conclua estes passos para instalar o certificado do computador para o NPS:
- Clique em Iniciar, digite mmc e pressione Enter.
- Clique em Arquivo > Adicionar/remover snap-in.
- Escolha Certificados e clique em Adicionar.

- Escolha Conta do computador e clique em Avançar.

- Selecione Computador local e clique em Concluir.

- Clique em OK para retornar ao Console de Gerenciamento da Microsoft (MMC).

- Expanda as pastas Certificados (Computador Local) e Pessoal e clique em Certificados.

- Clique com o botão direito do mouse no espaço em branco abaixo do certificado CA e escolha All Tasks > Request New Certificate.

- Clique em Next.

- Selecione Controlador de domínio e clique em Inscrever.

- Clique em Concluir quando o certificado estiver instalado.

O certificado NPS agora está instalado.
- Certifique-se de que a Finalidade do certificado lê Autenticação de Cliente, Autenticação de Servidor.

Configurar o serviço de servidor de política de rede para autenticação PEAP-MS-CHAP v2
Conclua estes passos para configurar o NPS para autenticação:
- Clique em Iniciar > Ferramentas administrativas > Servidor de política de rede.
- Clique com o botão direito do mouse em NPS (Local) e escolha Registrar servidor no Ative Diretory.

- Click OK.

- Click OK.

- Adicione o controlador de LAN sem fio como um cliente de autenticação, autorização e contabilização (AAA) no NPS.
- Expanda clientes e servidores RADIUS. Clique com o botão direito do mouse em RADIUS Clients e escolha New RADIUS Client.

- Insira um nome amigável (WLC neste exemplo), o endereço IP de gerenciamento da WLC (192.168.162.248 neste exemplo) e um segredo compartilhado. O mesmo segredo compartilhado é usado para configurar a WLC.

- Clique em OK para retornar à tela anterior.

- Crie uma nova política de rede para usuários sem fio. Expanda Políticas, clique com o botão direito do mouse em Políticas de rede e escolha Novo.

- Insira um nome de política para esta regra (PEAP sem fio neste exemplo) e clique em Avançar.

- Para que esta diretiva permita somente usuários de domínio sem fio, adicione estas três condições e clique em Avançar:
- Grupos Windows - Usuários de Domínio
- Tipo de porta NAS - Sem fio - IEEE 802.11
- Tipo de autenticação - EAP

- Clique em Acesso concedido para conceder tentativas de conexão que correspondam a esta política e clique em Avançar.

- Desative todos os métodos de autenticação em Métodos de autenticação menos seguros.

- Clique em Adicionar, selecione PEAP e clique em OK para ativar o PEAP.

- Selecione Microsoft: Protected EAP (PEAP) e clique em Edit (Editar). Verifique se o certificado de controlador de domínio criado anteriormente está selecionado na lista suspensa Certificado emitido e clique em Ok.

- Clique em Next.

- Clique em Next.

- Clique em Next.

- Clique em Finish.

Adicionar usuários ao Ative Diretory
Neste exemplo, o banco de dados do usuário é mantido no Ative Diretory. Conclua estes passos para adicionar usuários ao banco de dados do Ative Diretory:
- Abra Usuários e computadores do Active Directory. Clique em Iniciar > Ferramentas Administrativas > Usuários e Computadores do Ative Diretory.
- Na árvore de console Usuários e Computadores do Ative Diretory, expanda o domínio, clique com o botão direito do mouse em Usuários > Novo e escolha Usuário.
- No Novo objeto ? Na caixa de diálogo Usuário, digite o nome do usuário sem fio. Este exemplo usa o nome Cliente1 no campo Nome e Cliente1 no campo Nome de logon do usuário. Clique em Next.

- No Novo objeto ? Na caixa de diálogo Usuário, insira uma senha de sua escolha nos campos Senha e Confirmar senha. Desmarque a caixa de seleção O usuário deve alterar a senha no próximo logon e clique em Avançar.

- No Novo objeto ? Caixa de diálogo Usuário, clique em Concluir.

- Repita as etapas de 2 a 4 para criar contas de usuário adicionais.
Configurar o controlador de LAN sem fio e os LAPs
Configure os dispositivos sem fio (os controladores de LAN sem fio e os LAPs) para esta configuração.
Configurar a WLC para a autenticação RADIUS
Configure a WLC para usar o NPS como o servidor de autenticação. A WLC deve ser configurada para encaminhar as credenciais do usuário a um servidor RADIUS externo. O servidor RADIUS externo valida as credenciais do usuário e fornece acesso aos clientes sem fio.
Conclua estes passos para adicionar o NPS como servidor RADIUS na página Segurança > Autenticação RADIUS:
- Escolha Security > RADIUS > Authentication na interface do controlador para exibir a página RADIUS Authentication Servers. Clique em New para definir um servidor RADIUS.

- Defina os parâmetros do servidor RADIUS. Esses parâmetros incluem o endereço IP do servidor RADIUS, o segredo compartilhado, o número da porta e o status do servidor. As caixas de seleção Network User and Management determinam se a autenticação baseada em RADIUS se aplica a usuários de gerenciamento e rede (sem fio). Este exemplo usa o NPS como o servidor RADIUS com um endereço IP 192.168.162.12. Clique em Apply.

Configurar uma WLAN para os clientes
Configure o identificador do conjunto de serviços (SSID) (WLAN) ao qual os clientes sem fio se conectam. Neste exemplo, crie o SSID e o nomeie PEAP.
Defina a Autenticação de Camada 2 como WPA2 de modo que os clientes executem a autenticação baseada em EAP (PEAP-MS-CHAP v2 neste exemplo) e usem o padrão de criptografia avançado (AES) como o mecanismo de criptografia. Deixe todos os outros valores em seus padrões.
Observação: este documento vincula a WLAN às interfaces de gerenciamento. Quando você tem várias VLANs em sua rede, você pode criar uma VLAN separada e vinculá-la ao SSID. Para obter informações sobre como configurar VLANs em WLCs, consulte Exemplo de Configuração de VLANs em Wireless LAN Controllers.
Conclua estes passos para configurar uma WLAN na WLC:
- Clique em WLANs na interface do controlador para exibir a página WLANs. Esta página lista as WLANs que existem na controladora.
- Escolha New para criar uma nova WLAN. Insira o ID da WLAN e o SSID da WLAN para a WLAN e clique em Apply (Aplicar).

- Para configurar o SSID para 802.1x, faça o seguinte:
- Clique na guia Geral e ative a WLAN.

- Clique nas guias Security > Layer 2, defina a segurança da Camada 2 como WPA + WPA2, verifique as caixas de seleção WPA+WPA2 Parameters (por exemplo, WPA2 AES) conforme necessário e clique em 802.1x como Authentication Key Management.

- Clique nas guias Security > AAA Servers, escolha o endereço IP do NPS na lista suspensa Server 1 e clique em Apply.

Configurar os clientes sem fio para a autenticação PEAP-MS-CHAP v2
Conclua estes passos para configurar o cliente sem fios com a Ferramenta de Configuração Zero do Windows para ligar à WLAN PEAP.
- Clique no ícone Rede na barra de tarefas. Clique no SSID PEAP e clique em Connect.

- O cliente deve agora estar conectado à rede.

- Se a conexão falhar, tente se reconectar à WLAN. Se o problema persistir, consulte a seção Solução de problemas.
Verificar
No momento, não há procedimento de verificação disponível para esta configuração.
Troubleshoot
Se seu cliente não se conectou à WLAN, esta seção fornece informações que você pode usar para solucionar problemas da configuração.
Há duas ferramentas que podem ser usadas para diagnosticar falhas de autenticação 802.1x: o comando debug client e o Visualizador de Eventos no Windows.
A execução de uma depuração de cliente a partir da WLC não exige muitos recursos e não afeta o serviço. Para iniciar uma sessão de depuração, abra a interface de linha de comando (CLI) da WLC e insira o endereço mac do cliente de depuração, onde o endereço mac é o endereço mac sem fio do cliente sem fio que não consegue se conectar. Enquanto esta depuração é executada, tente conectar o cliente; deve haver uma saída na CLI da WLC semelhante a este exemplo:

Este é um exemplo de um problema que pode ocorrer com uma configuração incorreta. Aqui, a depuração da WLC mostra que a WLC foi movida para o estado de autenticação, o que significa que a WLC está esperando uma resposta do NPS. Isso geralmente ocorre devido a um segredo compartilhado incorreto na WLC ou no NPS. Você pode confirmar isso através do Visualizador de Eventos do Windows Server. Se você não encontrar um registro, a solicitação nunca chegou ao NPS.
Outro exemplo encontrado na depuração da WLC é um access-reject. Uma rejeição de acesso mostra que o NPS recebeu e rejeitou as credenciais do cliente. Este é um exemplo de um cliente que recebe um access-reject:

Quando você vir uma rejeição de acesso, verifique os logs nos registros de eventos do Windows Server para determinar por que o NPS respondeu ao cliente com uma rejeição de acesso.
Uma autenticação bem-sucedida tem uma aceitação de acesso na depuração do cliente, como visto neste exemplo:

A solução de problemas de rejeição de acesso e tempos limite de resposta exige acesso ao servidor RADIUS. A WLC atua como um autenticador que transmite mensagens EAP entre o cliente e o servidor RADIUS. Um servidor RADIUS que responda com um intervalo de resposta ou rejeição de acesso deve ser examinado e diagnosticado pelo fabricante do serviço RADIUS.
Note: O TAC não fornece suporte técnico para servidores RADIUS de terceiros; no entanto, os registros no servidor RADIUS geralmente explicam por que uma solicitação de cliente foi rejeitada ou ignorada.
Para solucionar problemas de rejeição de acesso e tempos limite de resposta do NPS, examine os registros do NPS no Visualizador de Eventos do Windows no servidor.
- Clique em Iniciar > Ferramentas do administrador > Visualizador de eventos para iniciar o Visualizador de eventos e rever os registros do NPS.
- Expanda Visualizações Personalizadas > Funções de Servidor > Diretiva de Rede e Acesso.

Nesta seção da Visualização de Eventos, há registros de autenticações aprovadas e com falha. Examine esses registros para solucionar problemas de por que um cliente não está passando a autenticação. As autenticações aprovadas e com falha são exibidas como Informativas. Percorra os registros para localizar o nome de usuário que falhou na autenticação e recebeu uma rejeição de acesso de acordo com as depurações da WLC.
Este é um exemplo do NPS que nega o acesso de um usuário:

Ao revisar uma instrução deny no Visualizador de Eventos, examine a seção Detalhes da Autenticação. Neste exemplo, você pode ver que o NPS negou o acesso do usuário devido a um nome de usuário incorreto:

O Event View no NPS também ajuda na solução de problemas se a WLC não receber uma resposta do NPS. Isso geralmente é causado por um segredo compartilhado incorreto entre o NPS e a WLC.
Neste exemplo, o NPS descarta a solicitação da WLC devido a um segredo compartilhado incorreto:

Informações Relacionadas