ども。こんばんは。
タイトルの通りですが、今日ADのCA証明書の有効期限がきれました。
サックスの練習にでかけて、家に帰ったらAndroidもmacOSもWiFiにつながらない状態に。両方とも認証エラーとなっていました。
我が家はWindows 2008 R2のサーバでネットワークポリシーサーバ(NPS)を動作させ、CiscoのAPと802.1xによる認証をしています。
ということで、Windowsサーバ側のイベントログを見ていると以下のようなログが
ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。 詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。 ユーザー: セキュリティ ID: xxxx アカウント名: xxx アカウント ドメイン: xxx 完全修飾アカウント名: xxx.xxx.com/Users/xxx クライアント コンピューター: セキュリティ ID: NULL SID アカウント名: - 完全修飾アカウント名: - OS バージョン: - 被呼端末 ID: xx-xx-xx-xx-xx-xx:SSID 起呼端末 ID: xx-xx-xx-xx-xx-xx NAS: NAS IPv4 アドレス: x.x.x.x NAS IPv6 アドレス: - NAS ID: - NAS ポートの種類: ワイヤレス - IEEE 802.11 NAS ポート: 0 RADIUS クライアント: クライアントのフレンドリ名: xxx クライアント IP アドレス: [WAP150のIPアドレス] 認証の詳細: 接続要求ポリシー名: Use Windows authentication for all users ネットワーク ポリシー名: WLAN-Access_by_user 認証プロバイダー: Windows 認証サーバー: xxx.xxx.xxx.com 認証の種類: EAP EAP の種類: - アカウントのセッション ID: - ログ結果: アカウンティング情報はローカルのログ ファイルに書き込まれました。 理由コード: 22 理由: サーバーで拡張認証プロトコル (EAP) の種類を処理できないため、クライアントを認証できませんでした。
なるほど。わからん。
色々触って見たところ、NPSのポリシーでPEAPの編集ができなくなっていることに気づきました。
EAPを構成できません
この拡張認証プロトコルで使用できる証明書が見つかりませんでした
なるほど。うちはAD兼NPSなので、証明書の有効期限を確認したところ、CA証明書の期限が切れていました。。。
ということで「証明機関」で、「CA証明書の書き換え」をして無事復旧しました。
※ドメコンとNPSを別のサーバにしている場合は、おそらくNPSのコンピュータ証明書が切れているかもしれません。
その場合は、ローカルのコンピュータ証明書から新しい要求をすればいいと思います。今回うちは、CA証明書が有効期限切れだったので、そもそもコンピュータ証明書はリクエストはリクエストできませんでした。
うーん、また5年後に切れますが。。。というかもういい加減RADIUSのやめようかな。
でもまぁ長いこと動かしているとこういうトラブルに合うので、多少の勉強にはなるかも。
ではでは。またの機会に