Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów z serwerem zasad sieciowych. Artykuł zawiera listę kontrolną rozwiązywania problemów, opis znanych problemów oraz instrukcje dotyczące rozwiązywania określonych zdarzeń serwera zasad sieciowych.
Lista kontrolna rozwiązywania problemów
Ta lista kontrolna służy do identyfikowania i rozwiązywania typowych problemów z serwerem zasad sieciowych.
Krok 1. Sprawdź, czy inspekcja serwera NPS jest włączona
Otwórz administracyjne okno wiersza polecenia, a następnie wprowadź następujące polecenie:
auditpol /get /subcategory:"Network Policy Server"Jeśli wynikiem tego polecenia jest "Powodzenie i niepowodzenie" lub "Niepowodzenie", inspekcja jest włączona.
Jeśli inspekcja nie jest włączona, możesz włączyć inspekcję, wprowadzając następujące polecenie:
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
Krok 2. Przeglądanie dzienników zdarzeń pod kątem błędów niepowodzenia uwierzytelniania
Po włączeniu inspekcji serwera NPS dzienniki zdarzeń rejestrują wszelkie błędy niepowodzenia uwierzytelniania. Aby przejrzeć te informacje, wykonaj następujące kroki:
Otwórz Podgląd zdarzeń, a następnie wybierz pozycję Niestandardowe widoki>Role>serwera Zasady sieciowe i Usługi programu Access.
Sprawdź zdarzenia o identyfikatorze zdarzenia 6273 lub 6274. Większość błędów uwierzytelniania generuje te zdarzenia.
Sprawdź kody przyczyn zdarzeń niepowodzenia uwierzytelniania. Kod przyczyny wskazuje przyczynę błędu.
Sprawdź, czy zdarzenia są skojarzone z pojedynczym kontem użytkownika. Jeśli tak, sprawdź dziennik zdarzeń serwera NPS pod kątem innych odwołań do tego konta użytkownika. Takie zdarzenia mogą wskazywać na problem z zasadami sieci lub zasadami żądania połączenia.
Krok 3. Sprawdzanie konfiguracji serwera NPS
Upewnij się, że:
Certyfikat serwera NPS jest prawidłowy.
Lista Klienci i serwery usługi RADIUS zawiera danego klienta radius.
Wspólny klucz tajny klienta radius jest zgodny z kluczem udostępnionym klucza tajnego serwera NPS.
Porty radius (1812,1813,1645,1646) są dozwolone przez wszystkie zapory.
Zasady żądań sieci i połączeń obejmują wszystkie odpowiednie warunki.
Ograniczenia zasad sieciowych zawierają prawidłową metodę uwierzytelniania.
Krok 4. Sprawdzanie konfiguracji przekazywania żądań
Jeśli serwer NPS musi przekazać żądanie do innego serwera radius na potrzeby uwierzytelniania, upewnij się, że:
- Lista Grupy serwerów usługi Remote Radius zawiera serwer radius, o których mowa.
- Ustawienia uwierzytelniania dla zasad żądania połączenia są poprawne, w tym grupy używanej w żądaniach przesyłania dalej do serwera zdalnego.
Krok 5. Tymczasowe usuwanie kluczy rejestru uwierzytelniania wieloskładnikowego firmy Microsoft
Jeśli używasz serwera NPS i uwierzytelniania wieloskładnikowego firmy Microsoft (MFA), spróbuj wyizolować zachowanie, tymczasowo usuwając klucze rejestru uwierzytelniania wieloskładnikowego firmy Microsoft. W tym celu wykonaj następujące kroki:
W Edytorze rejestru wykonaj kopię zapasową podklucza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Authsrv\Parameters .
W tym podkluczu usuń wpisy AuthorizationDLLs i ExtensionDLLs .
Ponownie przetestuj uwierzytelnianie serwera NPS.
Jeśli uwierzytelnianie serwera NPS nie powiedzie się, sprawdź Podgląd zdarzeń, aby wyświetlić kody przyczyn wszelkich powiązanych zdarzeń.
Jeśli uwierzytelnianie serwera NPS powiedzie się, problem może być specyficzny dla uwierzytelniania wieloskładnikowego firmy Microsoft. Aby sprawdzić powiązane zdarzenia, otwórz Podgląd zdarzeń i przejdź do pozycji Dzienniki>aplikacji i usług Microsoft>AzureMfa>AuthN>AuthZ.
Typowe problemy i rozwiązania
Pojawiające się i znane problemy
Strona kondycji wersji systemu Windows została zaprojektowana w celu informowania o pojawiających się i znanych problemach, które mogą wystąpić. Sprawdź sekcje strony kondycji wersji systemu Windows dla każdej wersji systemu operacyjnego, której dotyczy ten wpływ.
Identyfikator zdarzenia serwera NPS 13: odebrano komunikat radius z nieprawidłowego adresu IP klienta radius xx.xx.xx.xx.xx
Sprawdź, czy adres IP wymieniony w kliencie radius jest odpowiedni. Jeśli tak jest, dodaj klienta radius do listy Klienci radius.
Dziennik zdarzeń serwera NPS rejestruje to zdarzenie, gdy serwer NPS odbiera komunikat od klienta radius, który nie znajduje się na skonfigurowanej liście klientów radius. Aby uzyskać więcej informacji, zobacz Event ID 13 — RADIUS Client Configuration (Identyfikator zdarzenia 13 — konfiguracja klienta usługi RADIUS).
Identyfikator zdarzenia serwera NPS 18: Komunikat o żądaniu dostępu został odebrany z klienta USŁUGI RADIUS %1 z atrybutem wystawcy uwierzytelnienia komunikatów, który nie jest prawidłowy
Sprawdź wartość obu udostępnionych kluczy tajnych. Ponadto możesz wygenerować i skonfigurować nowy klucz, a następnie sprawdzić, czy problem jest powtarzany.
Dziennik zdarzeń serwera NPS rejestruje to zdarzenie, gdy uwierzytelnianie kończy się niepowodzeniem, ponieważ wspólny klucz tajny klienta radius nie jest zgodny z kluczem tajnym współużytkowanego serwera NPS. Aby uzyskać więcej informacji, zobacz Event ID 18 — NPS Server Communication (Identyfikator zdarzenia 18 — komunikacja serwera NPS).
Zdarzenie NPS o identyfikatorze 6273, kod przyczyny 16: Serwer zasad sieciowych odmówił dostępu do użytkownika
Aby rozwiązać ten problem, sprawdź każdą z następujących możliwych przyczyn:
Sprawdź, czy nazwa użytkownika i hasło są prawidłowe.
Sprawdź, czy konto użytkownika jest zablokowane w usłudze Active Directory.
Sprawdź, czy żądanie jest skierowane do poprawnego kontrolera domeny i czy konto użytkownika istnieje.
Dziennik zdarzeń serwera NPS rejestruje to zdarzenie i kod przyczyny niepowodzenia uwierzytelniania, ponieważ hasło użytkownika jest niepoprawne. Aby uzyskać więcej informacji, zobacz Zdarzenie o identyfikatorze 6273 — stan uwierzytelniania serwera NPS.