Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1888 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Network policy server : Event ID 6273 - Reason code 295

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Network policy server : Event ID 6273 - Reason code 295

n°111820
networkpol​icyserver
Posté le 12-06-2013 à 09:46:52  profilanswer
 

Bonjour à tous,
 
je rencontre un problème dont je n'arrive pas à mé dépatouiller, cela fait un petit moment que je tourne en rond.
 
J'ai installé un server Windows 2008 R2 avec le rôle Network Policy Server et configuré les bornes WIFI en mode WPA 2 Entreprise, le serveur RADIUS étant le serveur Windows 2008 R2.
 
Cela fonctionne pour quasiment tous les PC sauf quelques uns qui ne peuvent pas du tout se connecter au WIFI, le message d'erreur suivant apparait dans les logs du serveur NPS :  
 
Network Policy Server denied access to a user.
 
Contact the Network Policy Server administrator for more information.
 
User:
 Security ID:   CONTOSO\XXXX105$
 Account Name:   host/XXXX105.contoso.com
 Account Domain:   CONTOSO
 Fully Qualified Account Name: contoso.com/OU/OU/XXXX105
 
Client Machine:
 Security ID:   NULL SID
 Account Name:   -
 Fully Qualified Account Name: -
 OS-Version:   -
 Called Station Identifier:  00xx.xxxx.xxxx
 Calling Station Identifier:  00xx.xxxx.xxxx
 
NAS:
 NAS IPv4 Address:  xxx.xxx.0.101
 NAS IPv6 Address:  -
 NAS Identifier:   XXXX1-AP2
 NAS Port-Type:   Wireless - IEEE 802.11
 NAS Port:   102965
 
RADIUS Client:
 Client Friendly Name:  XXXX-AP2
 Client IP Address:   xxx.xxx.0.101
 
Authentication Details:
 Connection Request Policy Name: WIFI EAP TLS
 Network Policy Name:  WIFI EAP TLS
 Authentication Provider:  Windows
 Authentication Server:  ServeurNPS01.contoso.com
 Authentication Type:  EAP
 EAP Type:   Microsoft: Smart Card or other certificate
 Account Session Identifier:  -
 Logging Results:   Accounting information was written to the local log file.
 Reason Code:   295
 Reason:    A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider.

 
Pour les autres PC qui fonctionnent, le message suivant apparait dans les logs :  
 
Network Policy Server granted access to a user.
 
User:
 Security ID:   CONTOSO\XXXX001$
 Account Name:   host/XXXX001.contos.com
 Account Domain:   CONTOSO
 Fully Qualified Account Name: contoso.com/OU/OU/XXXX001
 
Client Machine:
 Security ID:   NULL SID
 Account Name:   -
 Fully Qualified Account Name: -
 OS-Version:   -
 Called Station Identifier:  00xx.xxxx.xxxx
 Calling Station Identifier:  10xx.xxxx.xxxx
 
NAS:
 NAS IPv4 Address:  XXX.XXX.0.101
 NAS IPv6 Address:  -
 NAS Identifier:   XXXX1-AP2
 NAS Port-Type:   Wireless - IEEE 802.11
 NAS Port:   102959
 
RADIUS Client:
 Client Friendly Name:  XXXX1-AP2
 Client IP Address:   XXX.XXX.0.101
 
Authentication Details:
 Connection Request Policy Name: WIFI EAP TLS
 Network Policy Name:  WIFI EAP TLS
 Authentication Provider:  Windows
 Authentication Server:  ServeurNPS01.contoso.com
 Authentication Type:  EAP
 EAP Type:   Microsoft: Smart Card or other certificate
 Account Session Identifier:  -
 Logging Results:   Accounting information was written to the local log file.
 
Quarantine Information:
 Result:    Full Access
 Session Identifier:   -

 
J'ai essayé pour un des PC qui ne fonctionne pas de le réintégrer au domaine, de le reformater, de lui changer de nom, mais rien à faire, il ne veut toujours pas fonctionner.
Je précise aussi que les PCs qui ne fonctionnent pas ne sont pas tous du même modèle, donc ce n'est pas un problème avec un modèle de carte WIFI.
 
Si quelqu'un a déja rencontré ce problème et résolu, je suis preneur !
Merci d'avance.

mood
Publicité
Posté le 12-06-2013 à 09:46:52  profilanswer
 

n°111834
Je@nb
Modérateur
Kindly give dime
Posté le 12-06-2013 à 10:52:46  profilanswer
 

L'erreur est claire :  Reason:    A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider.

n°111838
networkpol​icyserver
Posté le 12-06-2013 à 11:15:15  profilanswer
 

Bonjour,
oui merci de ton aide, mais l'erreur je l'avais vu !
 
Je poste rarement sur des forums car d'habitude je trouve la solution tout seul, mais là je suis vraiement coincé, j'ai cherché partout sur Internet et aucune réponse ne corrige mon problème.
 
Ce qui m'étonne le plus c'est que cela fonctionne sur quasiment tous les PCs portable sauf une dizaine alors que toutes les configs sont identiques.

n°111850
still_at_w​ork
Posté le 12-06-2013 à 16:03:30  profilanswer
 

Il doit manquer une autorité de certification sur les postes défaillants.


---------------
In my bed, but still_at_work.
n°111858
fourbe2
C'est du sarcasme ?
Posté le 12-06-2013 à 19:10:32  profilanswer
 

OS des machines cliente concernées ?

n°111862
networkpol​icyserver
Posté le 12-06-2013 à 20:51:48  profilanswer
 

Bonsoir,
Les PCs sont en Windows 7 Professionnel ou Entreprise, 32Bits.

n°111866
klash1
Posté le 13-06-2013 à 08:20:31  profilanswer
 

Et tes PC sont tous en domaine AD (ceux qui fonctionnent et les autres)?

n°111871
networkpol​icyserver
Posté le 13-06-2013 à 11:27:13  profilanswer
 

Affirmatif

n°111875
klash1
Posté le 13-06-2013 à 12:02:38  profilanswer
 

Sur les PC ou cela ne fonctionne pas, si tu forces l'install du certif à la main, c'est pareil?
 C'est ton NPS qui fait Autorité aussi?


Message édité par klash1 le 13-06-2013 à 12:02:59
n°111880
networkpol​icyserver
Posté le 13-06-2013 à 13:32:22  profilanswer
 

Bonjour,
le serveur NPS ne fait pas autorité de certification, nous avons 2 autorités de certification, une racine qui est installée sur un 1er serveur active directory et une secondaire qui est sur un second serveur Active directory.
J'ai vérifié sur un des pcs qui ne fonctionne pas, il y a bien un certificat qui a été distribué dans Personnal - Certificate et les 2 autorités de certification sont bien dans Trusted root certification authorities et intermediate certification authorities.

mood
Publicité
Posté le 13-06-2013 à 13:32:22  profilanswer
 

n°111881
Je@nb
Modérateur
Kindly give dime
Posté le 13-06-2013 à 14:11:33  profilanswer
 

Personnal au niveau computer ou user

n°111890
networkpol​icyserver
Posté le 13-06-2013 à 15:07:46  profilanswer
 

Bonjour,
Les certificats sont au niveau computer.
J'ai avancé grace à vos questions, j'ai comparé tous les certificats entre les PCs qui fonctionnent et ceux qui ne fonctionnent pas.
Sur les PCs qui fonctionnent, le certificat personnel a été émis par l'autorité intermédiaire. Sur les PCs qui ne fonctionnent pas, le certificat a été émis par l'autorité racine.
Le serveur NPS semble interroger l'autorité de certification intermédiaire, et lorsque celle-ci doit valider un certificat émis par l'autorité de confiance, cela ne fonctionne pas. Il doit donc manquer un paramètre à renseigner dans l'autorité intermédiaire, reste à trouver lequel.

n°111896
Je@nb
Modérateur
Kindly give dime
Posté le 13-06-2013 à 19:07:24  profilanswer
 

normalement si tu as une CA multilevel c'est pas pour que les clients finaux aient leur certificat depuis le root.
 
après si dans ton radius tu as dit que les certificats doivent venir de ton CA intermédiaire uniquement alors c'est normal que ça te jette


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Network policy server : Event ID 6273 - Reason code 295

 

Sujets relatifs
interconnexion entre deux réseaux différents sous server 2003Modem+Routeur+DNS Windows Server
HMail Server - Ca vaut quoi ?HP Network 5120 ou 5500 ?
Analyseur de logs firewall (welf) - équivalent NetAsq Event Analyzerserver dell - DRAC5
répartir rôles windows server[RESOLU] Sauvegarde / Restauration AD Windows Server 2003
Probleme d'affichage windows server 2012 
Plus de sujets relatifs à : Network policy server : Event ID 6273 - Reason code 295


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR