Windows更新后NPS EAP身份验证失败

Question

我有一个运行NPS的Windows2008STD服务器。在应用最新一轮更新(包括2012年4月KB931125的根证书(请参阅：http://support.microsoft.com/kb/933430/))之后，EAP身份验证由于格式错误而失败。

示例错误(安全/事件ID 6273)，为简洁起见而截断：

Authentication Details:
        Proxy Policy Name:              Use Windows authentication for all users
        Network Policy Name:            Wireless Access
        Authentication Provider:                Windows 
        Authentication Server:          nps-host.corp.contoso.com
        Authentication Type:            PEAP
        EAP Type:                       -
        Account Session Identifier:             -
        Reason Code:                    266
        Reason:                         The message received was unexpected or badly formatted.

相应地配置NPS策略(无线接入)(用于约束/身份验证方法)

EAP Types:
            Microsoft: Protected EAP (PEAP) - with a valid certificate from ADCS
            Microsoft: Secured password (EAP-MSCHAP v2)
Less secure authentication methods:
            Microsoft Encrypted Authentication version 2 (MS-CHAP-v2)
            User can change password after it has expired
            Microsoft Encrypted Authentication (MS-CHAP)
            User can change password after it has expired

我们在没有上述补丁的情况下测试了不同的RADIUS服务器，并将EAP作为身份验证类型删除，并获得了成功。

还有其他人经历过这个问题吗？

Answer 1

我要把这个放在这里，因为我昨天经历了这件事，我的第一次搜索让我想到了这个问题。

正如ALF4所提到的，这个问题最终导致了太多的根证书。它发生在根证书的Windows更新之后。

我们通过更改注册表来防止NPS服务器向客户端发送受信任的根证书列表，从而解决了这个问题。

防止NPS向客户端发送受信任的根证书。

• 将regedit打开到以下键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

• 创建一个新的DWORD值SendTrustedIssuerList并将其设置为0 (false)。

这立即解决了问题，客户可以重新连接。

特别感谢布莱恩，他指出，KB933430，尽管是Windows 2003，修复了我们的服务器2008和服务器2008 R2盒。

Answer 2

2012年12月，当微软在2012年12月11日不小心将根证书更新应用于客户端和服务器时，这一问题发生在很多人身上，当时微软应该只应用于客户端。这在服务器上的受信任根证书列表中添加了数百个第三方根证书，导致了您所显示的问题。

我花了足够长的时间才找到它，但是MS有一篇文章，并且修复了KB2801679“安装KB 931125后的SSL/TLS通信问题”.The的错误更新已经在Windows和WSUS上过期了，但是如果您已经应用了它，您可以通过运行修复程序来清除根证书列表--这是文章中在所有受影响的服务器上提供的。

我认为它以比上面提到的注册表黑客或手工证书清理更干净的方式解决了原因。

如果您希望手动执行它，则修复本质上是删除所有第三方根证书，然后从Windows自动重新创建所需的证书。只需确保您已经同步了WSUS并接受了KB931125的过期。

删除以下注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

修复-它似乎对我有效，没有重新启动或其他更新。我删除了杰森的答案中提到的注册表修改，并仍然能够通过NPS认证Wi。

Answer 3

根证书！你有太多的人被送去，因此“形成不良”。删除过期的列表，并尽可能缩小列表，它将重新开始工作。