Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller vägledning för felsökning av nätverksprincipserver. Artikeln innehåller en checklista för felsökning, en beskrivning av kända problem och instruktioner för att lösa specifika nätverksprincipserverhändelser.
Checklista för felsökning
Använd den här checklistan för att identifiera och lösa vanliga problem med nätverksprincipservern.
Steg 1: Kontrollera att NPS-granskning är aktiverat
Öppna ett administrativt kommandotolkfönster och ange sedan följande kommando:
auditpol /get /subcategory:"Network Policy Server"Om resultatet av det här kommandot är "Lyckades och misslyckades" eller "Fel" aktiveras granskning.
Om granskning inte är aktiverat kan du aktivera granskning genom att ange följande kommando:
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
Steg 2: Granska händelseloggar för autentiseringsfel
När NPS-granskning är aktiverat registrerar händelseloggarna eventuella autentiseringsfel. Följ dessa steg för att granska den här informationen:
Öppna Loggboken och välj sedan Anpassade vyer>Serverroller>Nätverksprincip och Åtkomsttjänster.
Sök efter händelser som har händelse-ID 6273 eller 6274. De flesta autentiseringsfel genererar dessa händelser.
Kontrollera orsakskoderna för autentiseringsfelhändelserna. Orsakskoden anger orsaken till felet.
Kontrollera om händelserna är associerade med ett enda användarkonto. I så fall kontrollerar du NPS-händelseloggen efter andra referenser till användarkontot. Sådana händelser kan tyda på ett problem i nätverksprincipen eller principen för anslutningsbegäran.
Steg 3: Kontrollera NPS-konfigurationen
Kontrollera följande:
NPS-servercertifikatet är giltigt.
LISTAN RADIUS-klienter och -servrar innehåller radieklienten i fråga.
Den delade hemlighetsnyckeln för radius-klienten matchar den delade nps-hemlighetsnyckeln.
Radieportarna (1812 1813 1645 1646) tillåts via alla brandväggar.
Principen för nätverks- och anslutningsbegäran innehåller alla lämpliga villkor.
Nätverksprincipbegränsningarna visar en lista över rätt autentiseringsmetod.
Steg 4: Kontrollera konfigurationen för vidarebefordran av begäran
Om NPS-servern måste vidarebefordra begäran till en annan radius-server för autentisering kontrollerar du följande:
- Listan Fjärrradieservergrupper innehåller radieservern i fråga.
- Autentiseringsinställningarna för principen för anslutningsbegäran är korrekta, inklusive den grupp som används i vidarebefordran av begäranden till fjärrservern.
Steg 5: Ta tillfälligt bort Registernycklar för Microsoft Entra-multifaktorautentisering
Om du använder NPS- och Microsoft Entra multifaktorautentisering (MFA) kan du försöka isolera beteendet genom att tillfälligt ta bort registernycklarna för Multifaktorautentisering i Microsoft Entra. För att göra detta följer du stegen nedan:
I Registereditorn säkerhetskopierar du undernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Authsrv\Parameters .
Under den här undernyckeln tar du bort posterna AuthorizationDLLs och ExtensionDLLs .
Testa NPS-autentisering igen.
Om NPS-autentiseringen misslyckas kontrollerar du Loggboken för att se orsakskoderna för relaterade händelser.
Om NPS-autentiseringen lyckas kan problemet vara specifikt för Microsoft Entra multifaktorautentisering. Om du vill söka efter relaterade händelser öppnar du Loggboken och går till Program- och tjänstloggar>Microsoft>AzureMfa>AuthN>AuthZ.
Kända problem och lösningar
Nya och kända problem
Hälsosidan för Windows-versionen är utformad för att informera dig om nya och kända problem som du kan stöta på. Kontrollera avsnitten på windows-versionens hälsosida för varje påverkad version av operativsystemet.
NPS-händelse-ID 13: Ett RADIUS-meddelande togs emot från den ogiltiga RADIUS-klientens IP-adress xx.xx.xx.xx
Kontrollera att IP-adressen som anges i radius-klienten är relevant. I så fall lägger du till radiusklienten i listan Radius-klienter .
NPS-händelseloggen registrerar den här händelsen när NPS-servern tar emot ett meddelande från en radius-klient som inte finns med i den konfigurerade listan över radius-klienter. Mer information finns i Händelse-ID 13 – RADIUS-klientkonfiguration.
NPS-händelse-ID 18: Ett meddelande om åtkomstbegäran togs emot från RADIUS-klienten %1 med ett meddelandeautentiseringsattribut som inte är giltigt
Kontrollera värdet för båda delade hemliga nycklar. Dessutom kan du generera och konfigurera en ny nyckel och sedan kontrollera om problemet uppstår igen.
NPS-händelseloggen registrerar den här händelsen när autentiseringen misslyckas eftersom den delade hemlighetsnyckeln för radius-klienten inte matchar nps-serverns delade hemliga nyckel. Mer information finns i Händelse-ID 18 – NPS Server-kommunikation.
NPS-händelse-ID 6273, orsakskod 16: Nätverksprincipserver nekad åtkomst till en användare
Lös problemet genom att kontrollera var och en av följande möjliga orsaker:
Kontrollera att användarnamnet och lösenordet för användaren är giltiga.
Kontrollera om användarkontot är låst i Active Directory.
Kontrollera att begäran är riktad till rätt domänkontrollant och att användarkontot finns.
NPS-händelseloggen registrerar den här händelsen och orsakskoden när autentiseringen misslyckas eftersom användarens lösenord är felaktigt. Mer information finns i Händelse-ID 6273 – NPS-autentiseringsstatus.