NPSサーバ再起動後に、Meraki APからNPSへのRADIUS認証でエラーが発生するようになった。そのときの対応のメモ。
Meraki側には、下記のログがあり、PEAPの認証でこけていることがわかった。
802.1X Failed authentication (EAP failure)一応、Meraki APの再起動をやってみたが効果なし。Merakiの管理画面から、RADIUS認証を試してみるとエラーになった。RADIUS認証が影響していることが分かったので、RADIUS認証サーバであるWindowsのNPSサーバ側を調べた。
NPS(ネットワークポリシーサーバー)側のログは、イベントビューアーの「Windowsログ」の「セキュリティ」に下記のログがあった。
サーバーで拡張認証プロトコル(EAP)の種類を処理できないため、クライアントを認証できませんでしたRADUISであるNPSサーバまでの通信は行われており、RADUIS認証の中で、ユーザの認証ができていないため、接続が拒否されていることがわかった。NPSサーバに対象を絞って、調査した。
NPSサーバの管理画面で、「NAPを構成する」をクリックしてウィザードを開始してみると、「認証方法の構成」で「NPSサーバー証明書」が「なし」で選択できないことがわかった。つまりサーバ証明書がない(失効していても同じ状態)のが原因なので、これを解消するために対応した。
いろいろと試した結果、結論しては、先の作業で解消した。
1. NPSのサーバで、管理ツールから「証明機関」を開く。
2. ローカルの証明サーバを選んで、右クリック。
3. 「すべてのタスク」から「CA証明書の書き換え」を選択する。
4. 証明書の書き換えで再発行する。
5. NPSサーバ(サービス)を再起動する。
これで、NPSからADのディレクトリに対して、認証ができるようになり、PEAPの認証が正常に行えるようになった。