本文提供有关网络策略服务器的故障排除指南。 本文包括故障排除清单、已知问题的说明以及解决特定网络策略服务器事件的说明。
故障排除清单
使用此清单确定并解决常见的网络策略服务器问题。
步骤 1:检查是否已启用 NPS 审核
打开管理命令提示符窗口,然后输入以下命令:
auditpol /get /subcategory:"Network Policy Server"如果此命令的结果为“成功和失败”或“失败”,则启用审核。
如果未启用审核,可以通过输入以下命令来启用审核:
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
步骤 2:查看事件日志中出现的身份验证失败错误
启用 NPS 审核后,事件日志将记录任何身份验证失败错误。 若要查看此信息,请执行以下步骤:
打开事件查看器,然后选择“自定义视图>服务器角色>网络策略和访问服务”。
检查事件 ID 为 6273 或 6274 的事件。 大多数身份验证失败都会生成这些事件。
检查身份验证失败事件的原因代码。 原因代码指示失败的原因。
检查事件是否与单个用户帐户相关联。 如果是,请检查 NPS 事件日志中是否有对该用户帐户的其他引用。 此类事件可能表示网络策略或连接请求策略中存在问题。
步骤 3:检查 NPS 配置
请确保满足以下要求:
NPS 服务器证书有效。
RADIUS 客户端和服务器列表包括有问题的 radius 客户端。
radius 客户端的共享密钥与 NPS 共享密钥匹配。
允许通过所有防火墙(1812,1813,1645,1646)的半径端口。
网络和连接请求策略包括所有适当的条件。
网络策略约束列出了正确的身份验证方法。
步骤 4:检查请求转发配置
如果 NPS 服务器必须将请求转发到另一个 radius 服务器进行身份验证,请确保满足以下条件:
- 远程 Radius 服务器组列表包括有问题的 radius 服务器。
- 连接请求策略的身份验证设置正确,包括用于将请求转发到远程服务器的组。
步骤 5:暂时删除Microsoft Entra 多重身份验证注册表项
如果使用 NPS 和 Microsoft Entra 多重身份验证(MFA),请尝试通过暂时删除 Microsoft Entra 多重身份验证注册表项来隔离行为。 为此,请按照下列步骤进行操作:
在注册表编辑器中 ,备份 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Authsrv\Parameters 子项。
在此子项下,删除 AuthorizationDL 和 ExtensionDL 条目 。
再次测试 NPS 身份验证。
如果 NPS 身份验证失败,请检查事件查看器以查看任何相关事件的原因代码。
如果 NPS 身份验证成功,则问题可能特定于Microsoft Entra 多重身份验证。 若要检查相关事件,请打开事件查看器,并转到 AzureMfa>AuthN>AuthZ Microsoft>应用程序和服务日志。>
常见问题和解决方案
新问题和已知问题
Windows 发布运行状况页旨在通知你可能会遇到的新兴和已知问题。 检查每个受影响的操作系统版本的 Windows 版本运行状况页的各部分。
NPS 事件 ID 13:从无效的 RADIUS 客户端 IP 地址 xx.xx.xx.xx 接收 RADIUS 消息
检查 radius 客户端中列出的 IP 地址是否相关。 如果是,请将 radius 客户端添加到 Radius 客户端 列表。
NPS 事件日志记录此事件时,NPS 服务器从未在配置的 radius 客户端列表上收到一条消息。 有关详细信息,请参阅 事件 ID 13 - RADIUS 客户端配置。
NPS 事件 ID 18:从 RADIUS 客户端 %1 收到访问请求消息,其中包含无效的消息验证器属性
检查这两个共享密钥的值。 此外,可以生成和配置新密钥,然后检查问题是否递归。
NPS 事件日志在身份验证失败时记录此事件,因为 radius 客户端的共享密钥与 NPS 服务器的共享密钥不匹配。 有关详细信息,请参阅 事件 ID 18 - NPS 服务器通信。
NPS 事件 ID 6273,原因代码 16:网络策略服务器拒绝访问用户
若要解决此问题,请检查以下每种可能的原因:
检查用户的用户名和密码是否有效。
检查用户帐户是否已锁定在 Active Directory 中。
检查请求是否以正确的域控制器为目标,以及是否存在用户帐户。
NPS 事件日志在身份验证失败时记录此事件和原因代码,因为用户的密码不正确。 有关详细信息,请参阅 事件 ID 6273 - NPS 身份验证状态。