Bonjour à tous,
 
je rencontre un problème dont je n'arrive pas à mé dépatouiller, cela fait un petit moment que je tourne en rond.
 
J'ai installé un server Windows 2008 R2 avec le rôle Network Policy Server et configuré les bornes WIFI en mode WPA 2 Entreprise, le serveur RADIUS étant le serveur Windows 2008 R2.
 
Cela fonctionne pour quasiment tous les PC sauf quelques uns qui ne peuvent pas du tout se connecter au WIFI, le message d'erreur suivant apparait dans les logs du serveur NPS :  
 
Network Policy Server denied access to a user.
 
Contact the Network Policy Server administrator for more information.
 
User:
 Security ID:   CONTOSO\XXXX105$
 Account Name:   host/XXXX105.contoso.com
 Account Domain:   CONTOSO
 Fully Qualified Account Name: contoso.com/OU/OU/XXXX105
 
Client Machine:
 Security ID:   NULL SID
 Account Name:   -
 Fully Qualified Account Name: -
 OS-Version:   -
 Called Station Identifier:  00xx.xxxx.xxxx
 Calling Station Identifier:  00xx.xxxx.xxxx
 
NAS:
 NAS IPv4 Address:  xxx.xxx.0.101
 NAS IPv6 Address:  -
 NAS Identifier:   XXXX1-AP2
 NAS Port-Type:   Wireless - IEEE 802.11
 NAS Port:   102965
 
RADIUS Client:
 Client Friendly Name:  XXXX-AP2
 Client IP Address:   xxx.xxx.0.101
 
Authentication Details:
 Connection Request Policy Name: WIFI EAP TLS
 Network Policy Name:  WIFI EAP TLS
 Authentication Provider:  Windows
 Authentication Server:  ServeurNPS01.contoso.com
 Authentication Type:  EAP
 EAP Type:   Microsoft: Smart Card or other certificate
 Account Session Identifier:  -
 Logging Results:   Accounting information was written to the local log file.
 Reason Code:   295
 Reason:    A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider.
 
Pour les autres PC qui fonctionnent, le message suivant apparait dans les logs :  
 
Network Policy Server granted access to a user.
 
User:
 Security ID:   CONTOSO\XXXX001$
 Account Name:   host/XXXX001.contos.com
 Account Domain:   CONTOSO
 Fully Qualified Account Name: contoso.com/OU/OU/XXXX001
 
Client Machine:
 Security ID:   NULL SID
 Account Name:   -
 Fully Qualified Account Name: -
 OS-Version:   -
 Called Station Identifier:  00xx.xxxx.xxxx
 Calling Station Identifier:  10xx.xxxx.xxxx
 
NAS:
 NAS IPv4 Address:  XXX.XXX.0.101
 NAS IPv6 Address:  -
 NAS Identifier:   XXXX1-AP2
 NAS Port-Type:   Wireless - IEEE 802.11
 NAS Port:   102959
 
RADIUS Client:
 Client Friendly Name:  XXXX1-AP2
 Client IP Address:   XXX.XXX.0.101
 
Authentication Details:
 Connection Request Policy Name: WIFI EAP TLS
 Network Policy Name:  WIFI EAP TLS
 Authentication Provider:  Windows
 Authentication Server:  ServeurNPS01.contoso.com
 Authentication Type:  EAP
 EAP Type:   Microsoft: Smart Card or other certificate
 Account Session Identifier:  -
 Logging Results:   Accounting information was written to the local log file.
 
Quarantine Information:
 Result:    Full Access
 Session Identifier:   -

 
J'ai essayé pour un des PC qui ne fonctionne pas de le réintégrer au domaine, de le reformater, de lui changer de nom, mais rien à faire, il ne veut toujours pas fonctionner.
Je précise aussi que les PCs qui ne fonctionnent pas ne sont pas tous du même modèle, donc ce n'est pas un problème avec un modèle de carte WIFI.
 
Si quelqu'un a déja rencontré ce problème et résolu, je suis preneur !
Merci d'avance.

L'erreur est claire :  Reason:    A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider.

Bonjour,
oui merci de ton aide, mais l'erreur je l'avais vu !
 
Je poste rarement sur des forums car d'habitude je trouve la solution tout seul, mais là je suis vraiement coincé, j'ai cherché partout sur Internet et aucune réponse ne corrige mon problème.
 
Ce qui m'étonne le plus c'est que cela fonctionne sur quasiment tous les PCs portable sauf une dizaine alors que toutes les configs sont identiques.

Il doit manquer une autorité de certification sur les postes défaillants.

OS des machines cliente concernées ?

Bonsoir,
Les PCs sont en Windows 7 Professionnel ou Entreprise, 32Bits.

Et tes PC sont tous en domaine AD (ceux qui fonctionnent et les autres)?

Affirmatif

Sur les PC ou cela ne fonctionne pas, si tu forces l'install du certif à la main, c'est pareil?
 C'est ton NPS qui fait Autorité aussi?

Bonjour,
le serveur NPS ne fait pas autorité de certification, nous avons 2 autorités de certification, une racine qui est installée sur un 1er serveur active directory et une secondaire qui est sur un second serveur Active directory.
J'ai vérifié sur un des pcs qui ne fonctionne pas, il y a bien un certificat qui a été distribué dans Personnal - Certificate et les 2 autorités de certification sont bien dans Trusted root certification authorities et intermediate certification authorities.

Personnal au niveau computer ou user

Bonjour,
Les certificats sont au niveau computer.
J'ai avancé grace à vos questions, j'ai comparé tous les certificats entre les PCs qui fonctionnent et ceux qui ne fonctionnent pas.
Sur les PCs qui fonctionnent, le certificat personnel a été émis par l'autorité intermédiaire. Sur les PCs qui ne fonctionnent pas, le certificat a été émis par l'autorité racine.
Le serveur NPS semble interroger l'autorité de certification intermédiaire, et lorsque celle-ci doit valider un certificat émis par l'autorité de confiance, cela ne fonctionne pas. Il doit donc manquer un paramètre à renseigner dans l'autorité intermédiaire, reste à trouver lequel.

normalement si tu as une CA multilevel c'est pas pour que les clients finaux aient leur certificat depuis le root.
 
après si dans ton radius tu as dit que les certificats doivent venir de ton CA intermédiaire uniquement alors c'est normal que ça te jette