RADIUS Wi-Fi не работает на Windows 8.1 и Windows 10 с пользователями домена
10196
St0rmi
РЕДАКТИРОВАТЬ:
Я смог сузить проблему. Очевидно, это не проблема с Surface, но Windows 8.1 (вероятно, 8 тоже) и 10. Сначала я не уловил это, так как я использовал не доменный ноутбук и пользователя, чтобы сначала протестировать Windows 8.1.
Когда я использую локальную учетную запись пользователя, подключение к Wi-Fi RADIUS работает безупречно. Как только я попытаюсь сделать это с учетной записью пользователя домена (я пробовал одну с одной, а другую без прав локального администратора), он не подключится. Обратите внимание, что я говорю о домене, а не AD, так как мы все еще используем Samba 3.
Оригинал:
Мы работаем по сети радиуса Wi-Fi с использованием сервера FreeRADIUS (PEAP с MSChapv2). Он работает безупречно на всех машинах (протестировано на Windows 7 и 8.1, Android 4.3, Arch Linux), за исключением всех наших Surface Pro 3. На машинах с Windows используются те же самые настройки, что и для настройки Wi-Fi автоматически с использованием сценария powershell. Я также пытался настроить его вручную с различными параметрами много раз. Мы используем сертификат, подписанный специализированным центром сертификации нашей компании для сервера FreeRADIUS. Я проверил, что CA правильно установлен в Windows, а также попытался установить соединение без проверки сертификата.
Вот что появляется, если вы используете отладку на FreeRADIUS:
[eap] EAP packet type response id 221 length 43 [eap] Continuing tunnel setup. ++[eap] returns ok Found Auth-Type = EAP # Executing group from file /etc/freeradius/sites-enabled/default +- entering group authenticate {...} [eap] Request found, released from the list [eap] EAP/peap [eap] processing type peap [peap] processing EAP-TLS [peap] eaptls_verify returned 7 [peap] Done initial handshake [peap] eaptls_process returned 7 [peap] EAPTLS_OK [peap] Session established. Decoding tunneled attributes. [peap] Peap state send tlv success [peap] Received EAP-TLV response. [peap] Client rejected our response. The password is probably incorrect. [peap] We sent a success, but received something weird in return. [eap] Handler failed in EAP/peap [eap] Failed in EAP select ++[eap] returns invalid Failed to authenticate the user. Login incorrect: [someuser] (from client stg-wlan-core port 112 cli 50-1A-C5-F4-F6-87) Using Post-Auth-Type Reject
Это говорит о неправильном пароле. Я не уверен, о каком пароле идет речь, так как уверен, что учетная запись пользователя существует и пароль правильный.
Трассировка с поверхности:
[500] 07-15 10:19:48:898: RasEapCreateConnectionProperties, eap type id = 26 [500] 07-15 10:19:48:899: CopyXmlDoc returned: 0x0 [500] 07-15 10:19:48:899: ReadConnectionData [500] 07-15 10:19:48:900: Setting the defaults to use win-logon [500] 07-15 10:19:48:900: Use Winlogon credentials is set to No [500] 07-15 10:19:48:900: Successfully generated blob for MSChapV2 Connection Properties [500] 07-15 10:19:49:831: RasEapCreateConnectionProperties, eap type id = 26 [500] 07-15 10:19:49:831: CopyXmlDoc returned: 0x0 [500] 07-15 10:19:49:832: ReadConnectionData [500] 07-15 10:19:49:833: Setting the defaults to use win-logon [500] 07-15 10:19:49:833: Use Winlogon credentials is set to No [500] 07-15 10:19:49:833: Successfully generated blob for MSChapV2 Connection Properties [500] 07-15 10:19:49:843: RasEapCreateConnectionProperties, eap type id = 26 [500] 07-15 10:19:49:843: CopyXmlDoc returned: 0x0 [500] 07-15 10:19:49:844: ReadConnectionData [500] 07-15 10:19:49:845: Setting the defaults to use win-logon [500] 07-15 10:19:49:845: Use Winlogon credentials is set to No [500] 07-15 10:19:49:845: Successfully generated blob for MSChapV2 Connection Properties [500] 07-15 10:19:50:109: InitLSA. [500] 07-15 10:19:50:109: InitLSA: returning 0x0 [500] 07-15 10:19:50:109: ChapInit: exit: fInitialize=0x1, g_dwRefCount = 0x1, g_hLsa = 0x1147e5d0 [500] 07-15 10:19:50:109: EapMSCHAPv2Initialize Exit: fInitizlize = 1, dwRefCount = 0x1, [500] 07-15 10:19:50:109: EapMSCHAPv2Initialize: fInitizlize = 0, dwRefCount = 0x1, [500] 07-15 10:19:50:109: ChapInit: fInitialize=0x0, g_dwRefCount = 0x1, g_hLsa = 0x1147e5d0 [500] 07-15 10:19:50:135: RasEapGetIdentity [500] 07-15 10:19:50:135: ReadUserData [500] 07-15 10:19:50:135: NULL user blob is passed, size: 0 [500] 07-15 10:19:50:135: ReadConnectionData
Единственная причина, о которой я могу думать больше, состоит в том, что это проблема с адаптером Wi-Fi или его драйвером. Если у вас есть идеи или вам нужна дополнительная информация, пожалуйста, дайте мне знать.
Вы скачали последние версии драйверов для беспроводного адаптера Surface Pro 3 Marvell? У нас возникла проблема с некоторыми беспроводными картами Broadcom и беспроводной связью eduroam (для обучения). Драйверы «из коробки» для Windows 8 (и выше) работают с картой, но они не работают с нашей аутентификацией ... это может быть похоже на вашу проблему ... обновите драйверы (возможно, вам потребуется проверить, вы можете получить драйверы не с сайта Microsoft - они будут предоставлять только те, которые работают со своими устройствами и часто устарели) ...
Kinnectus 9 лет назад
0
Я не смог найти ни одного водителя из Марвелла напрямую. Однако я установил новейшие драйверы Intel для ноутбука с Windows 10 с той же проблемой. К сожалению, это не решило проблему.
St0rmi 9 лет назад
0
Если вы можете предоставить аппаратные идентификаторы адаптера Wi-Fi ноутбука и установленного в данный момент драйвера и его версию, это может помочь в выявлении проблемы. Поверхности могут быть болью ...
Kinnectus 9 лет назад
0
Это беспроводной адаптер Intel Centrino Advanced-N 6205 с драйвером Intel. Идентификатор оборудования: PCI \ VEN_8086 & DEV_0082 & SUBSYS_13218086 & REV_34 Версия драйвера: 15.18.0.1
St0rmi 9 лет назад
0
Когда ваши пользователи вводят свои имя пользователя и пароль для подключения, они вводят в формате домена (`домен \ имя пользователя`)? Мы уже сталкивались с этим раньше (не с FreeRADIUS, но должно применяться то же самое), когда имя компьютера указывалось для аутентификации RADIUS, а не правильное имя домена ... Я не уверен, что Windows 7 и более ранние версии (будучи доменом) присоединился) добавил домен и теперь Windows 8 не по умолчанию ..?
Kinnectus 8 лет назад
0
3 ответа на вопрос
1
Andrea Zauli
The issue is that you can no longer configure Windows 8 and Windows 10 to use the desired settings from the GUI.
To solve this
You can export a configuration profile from a Windows 7 client and import it on your Windows 8 and/or 10 clients.
Open a command prompt on the Windows 7 client
Enter the following command
netsh wlan show profiles
Choose the profile you want to export (the wifi radius one) from the list that is displayed
Export it using the following command
netsh wlan export profile <profile name>
This will export the profile to an xml file.
Locate the XML file and copy it to your Windows 8 and 10 clients
Import it using the following command:
netsh wlan add profile <profile name>.xml
Enter the corresponding credentials and you're done.
Note: Sometimes I need to delete the old (invalid) profile in the Windows 8 and/or 10 clients:
netsh wlan delete profile <invalid profile>
Note: A reboot can sometimes be required
На самом деле мы уже использовали небольшой скрипт Powershell, который делает именно это. Как описано выше, он работает с не доменным профилем пользователя, но не с доменным.
St0rmi 8 лет назад
0
0
Krzysztof Stasiak
it's not a radius problem. I think this is problem with credential storage when Windows 8-10 is connected to samba Nt4 like domain. If windows 8-10 connect on local user account (not from domain) the radius serwer, and network card will work OK.
-1
Arucard
I have experienced similar problems with my Lenovo ThinkPad Yoga 14 (Intel N 7265). I installed the latest PROSet Software (18.30) driver, and I connect to the Wi-Fi via PROSet. This seemed to solve the problem for me.
спасибо за ваш вклад в SuperUser. Обязательно объясните свои ответы более подробно в будущем. Проверьте мое редактирование для примера этого.
RookieTEC9 8 лет назад
1