Использовать CHAP с NPS и контроллером домена в Core
Я заметил разницу в поведении аутентификации Active Directory, когда версия Core не прошла аутентификацию должным образом при использовании CHAP с сервера NPS.
Я воспроизвел проблему на сервере NPS. выделенная сеть, как показано ниже:
- 1 контроллер домена (ad + dns) в ядре Windows Server 2016
- 1 контроллер домена (ad + dns) на Windows Server 2016 gui (тот же домен)
- 1 сервер NPS на сервере Windows 2016 действует как RADIUS-сервер (член домена)
- 1 рабочая станция для имитации аутентификации RADIUS (с radlogin)
Я использую CHAP в своей сети для выполнения 802.11x MAB (обход Mac-адресов). Это используется для аутентификации некоторых устройств, которые не могут поддерживать лучший протокол аутентификации, такой как EAP-TLS.
Для правильной работы CHAP пароль ДОЛЖЕН быть известен Active Directory. Учетные записи пользователей, соответствующие этим устройствам, имеют флаг для хранения пароля с использованием обратимого шифрования.
NPS имеет очень простую конфигурацию:
- радиус-клиент с общим секретом для получения запросов от моего коммутатора (здесь radlogin)
- сетевая политика для проверки на соответствие группе пользователей, авторизация в CHAP
Я включил аудит для входа в систему NPS. Вы можете найти параметры в локальной групповой политике: Политика локального компьютера> Конфигурация компьютера> Параметры Windows> Параметры безопасности> Расширенная конфигурация пула аудита> Политики аудита системы - Локальный> Вход / выход> Аудит сервера сетевой политики.
Когда NPS аутентифицирует пользователя с помощью основного контроллера домена, я получаю событие 6273 в журнале безопасности (в средстве просмотра событий):
Network Policy Server denied access to a user.
Contact the Network Policy Server administrator for more information.
User:
Security ID: NULL SID
Account Name: 77b6e93eb3f0
Account Domain: LAB-RADIUS
Fully Qualified Account Name: LAB-RADIUS\77b6e93eb3f0
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
Called Station Identifier: 00-0c-29-f4-f2-62
Calling Station Identifier: 77-b6-e9-3e-b3-f0
NAS:
NAS IPv4 Address: 192.168.12.25
NAS IPv6 Address: -
NAS Identifier: RADIUS_TEST_CLIENT
NAS Port-Type: Ethernet
NAS Port: 10
RADIUS Client:
Client Friendly Name: radius-client
Client IP Address: 192.168.12.25
Authentication Details:
Connection Request Policy Name: wired
Network Policy Name: -
Authentication Provider: Windows
Authentication Server: radius.lab-radius.lab
Authentication Type: MD5-CHAP
EAP Type: -
Account Session Identifier: -
Logging Results: Accounting information was written to the local log file.
Reason Code: 16
Reason: Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.
Когда я делаю то же самое с контроллером домена с графическим интерфейсом пользователя, я добился успеха (даже с номером 6772). Я на мгновение прервал связь между сервером RADIUS и контроллером домена, чтобы заставить RADIUS использовать другой контроллер домена для аутентификации.
Два контроллера домена были развернуты одинаково, находятся в одном подразделении и имеют одинаковые объекты групповой политики.
Wireshark показал мне, что аутентификация между NPS и контроллером домена выполняется через DCERPC с удаленным вызовом NetrLogonSamlogonEx. Когда это не удалось, я получил STATUS_PROCEDURE_NOT_FOUND (0xc000007a). В случае успеха я получаю результат VALIDATION_SAM_INFO2.
Чего не хватает в Active Directory при установке на Windows Server Core, который присутствует при использовании графического варианта Windows?
Примечание: Я очень хорошо ЗНАЮ, что CHAP ужасен. Вопрос в том, почему эта проблема и как ее исправить на основном контроллере домена, а не в том, что было бы лучше. CHAP - единственный протокол, поддерживаемый моим NAS (даже не PAP)
Представитель Microsoft дал мне свой ответ.
Выполнение аутентификации CHAP с помощью NPS и Core DC не поддерживается Microsoft. Это сделано намеренно, хотя это нигде не указано в их документации.