带有 NPS 和 WLC 的 WPA2 Enterprise

网络工程 思科 IEEE-802.11 半径 cisco-wlc
2021-07-18 04:16:32

我对此很陌生,正在尝试设置 WPA2 企业,用户可以使用他们的 AD 凭据 (PEAP-MSCHAPv2) 连接到 Wifi。

Cisco WLC 已配置为将请求中继到 NPS,它也是 DC。可以从 WLC ping NPS,反之亦然。密码已经过检查和双重检查,并正确输入到无线控制器和半径客户端的 NPS 中。

当尝试连接到 WiFi 时,系统会提示用户输入凭据,这正是我们想要的。输入了凭据,我们收到无法连接的消息。

检查 NPS(也是 DC)的事件查看器,我看到以下错误:

  • 网络策略和访问服务下

    在此处输入图片说明

  • Windows 日志->应用程序下

    在此处输入图片说明

  • Windows 日志->系统下

    在此处输入图片说明

根据我在网上找到的内容,证书出现问题时会出现原因 22。在客户端,我禁用了验证证书的需要(用于测试目的)。我已将来自我们 CA(在不同 DC 上)的证书添加到 NPS,如下所示:

在此处输入图片说明

不确定为什么用户无法连接或如何修复错误。任何建议或想法表示赞赏!

编辑 - 添加客户端配置:

在此处输入图片说明

不验证证书:

在此处输入图片说明

此外,从客户端,显示 EAP 类型 25 正在从客户端发送:

在此处输入图片说明

1个回答

PEAP-MSCHAPv2 确实需要验证服务器端证书。我看到您已禁用验证证书的需要(用于测试目的)。如果不验证服务器端证书,它将无法工作。

这看起来像是配置错误的问题。您需要确保在两端(客户端和服务器)使用相同的身份验证类型。客户端的无线配置文件必须配置为使用/支持 PEAP-MSCHAPv2。如果您看到第一个屏幕截图,我在“EAP 类型:”字段前看不到任何值。在您的上一个屏幕截图中,选中针对 MS-CHAPv2 的复选框。

其它你可能感兴趣的问题
上一篇MAC ACL 可防止访问未经授权的计算机 下一篇作为第 3 层设备的路由器如何在 PAT 中转换第 3 层设备的端口地址?