@hr410posted at 2024-07-27

Active DirectoryのRadius認証について

Q&A

Closed

ActiveDirectory WindowsServer RADIUS EAP 2022

解決したいこと

Radius認証に一部NW環境だけ失敗する
ゴール：EAP方式でAD認証のWI-FI環境を構築したい

現在VPSでWindows server2022でActive DirectryとNPSを構築しています。
NPSのRadius環境で受け入れIPを定義してAPを利用して端末認証し利用を想定して構築しています。
大多数のNWについては正常に認証ができるのですが、一部NW(具体的にはau回線とmineo回線)のみ正常に認証ができない状況が発生しています。

発生している問題・エラー

APのEAP認証に正規のIDとパスワードを入力
サーバログ→ログなし
APログ→ログなし

APのEAP認証に存在しないIDとパスワードを入力
サーバログ→未存在である内容のログ
APログ→認証異常

APのEAP認証に定義していないIPアドレスを入力
サーバログ→未存在のIPのためパケット破棄
APログ→Radiusエラー

上記の内容で正規のIDとパスワードのログが残りません。
また、正常に認証できず接続できない。エラーログからの追跡もできない状況です。
同じNW構成でau回線・mineo回線以外に変更すると正常に認証されます。

自分で試したこと

Radius認証ポートの変更
アカウンィングの有無の変更
ADの再構築
→ADがなくローカルIDでの認証では成功。
ADをインストールすると上記現象が発生。

上記内容からNW環境または、ADをインストールすると上記現象が発生します。

ちなみに・・・
現在ADではないLADPとRadiusで認証を行っているのですが、それは正常に認証ができています。

2Answer

@yasi0000 posted at 2024-07-30

普段サーバSEをやってます。
やろうとしてることは何となく理解しましたが、
通常成功ログはINFOレベルにまで落ちることが設定次第では
ログに書き込まれなかったり、もしくは別のログファイルにかかれている可能性があります。
ちなみにWindowsServerの成功ログでしたらイベントビューアー>セキュリティ＞成功の監査に記載されます。
RADIUS側なら下記コマンドで追えそうです

3-2. show aaa-server protocol radius コマンド
"show aaa-server protocol radius" コマンドから、RADIUSの認証結果を確認できます。

Number of accepts 8

0Like

Comments

@hr410
Questioner
回答頂きありがとうございます。
windows ServerのログAP側のログを確認しましたが
サーバログ→ログなし
APログ→ログなし
で認証結果が格納されていませんでした・・・
上記以外の他社回線NWでの検証ではサーバ・APともにログ格納されており正常である事を確認できました。
もしご存知であればご教示頂きたいのですが、
windows Serverのローカル認証ではmineo/au回線で認証できており
Actice Directoryをインストールし認証すると、
どうやら失敗する事が判明しました。
※この際にNPS関連の変更はしていません。
インストールの前後で何かNPS系設定が変わる可能性があるのでしょうか？

@yasi0000 posted at 2024-08-01

mineo/au回線周りは触ってないのでわからないのですが、
一般的な挙動としてADをインストールし昇格させると、DomainServerになるので、
認証まわりがだいぶ変わってきます。もしAD昇格前は認証成功していたとなると、
挙動の解析がやっかいなことになるので、いっそのことADサーバと認証サーバで別に立てたほうが手っ取り早いかと思います。