自分用の備忘録として
会社の無線LAN環境で、いつの間にか無線に自動接続が出来なくなった。
環境
・無線セキュリティはwpa2-enterprise
・RADIUSサーバはWindows ServerのNPS(メインWindows2012、サブWindows2019の構成)
・Windows11とWindows10が混在
・無線設定はGPOで配布
・PEAP-MSCHAPv2を使用
・無線APはCisco Meraki MR42
数か月まったく原因がわからなかったのですが、以下リンクを発見。
- リンク先抜粋
「PEAP-MSCHAPv2 や EAP-MSCHAPv2 などの MSCHAPv2 ベースの接続から、PEAP-TLS や EAP-TLS などの証明書ベースの認証に移行することをお勧めします。 Credential Guard では、証明書ベースの認証はブロックされません。」
「 Windows 11 バージョン 22H2 (ビルド番号 22621)では、既定で TLS 1.3 を使用するようにこれらの方法が更新されました。」
「現時点では、NPS では TLS 1.3 はサポートされていません」
とのこと。
参考までに、以下リンクによるとTLS1.3が対応しているOSは2022から。
また、以下リンクから
- リンク先から抜粋
「注: EAP クライアントと EAP サーバーが誤って構成され、構成済みの TLS のバージョンがない場合、認証が失敗し、ユーザーがネットワークから切断されることがあります。」
「既定では、TLS 1.0 が有効になります。」
とのことなので、
結果、以下の状態になり、無線の自動接続が出来なくなる
・PEAP-MSCHAPv2を使用しているため、クレデンシャルガードでブロック。
・Win2012をメインNPSにしているため、TLS1.0を使用するNPSに対して、対応していないTLS1.3で接続しようとするWin11 22H2
対策は、NPSがTLS1.3に対応していないので、クライアント側で TLS1.3を使用させないようにすること
- 先ほどのリンクから抜粋
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 このレジストリ キーの値には、0xC0、0x300、0xC00、または複数の TLS のバージョンをサポートする場合は、これらの値の任意の組み合わせの論理和を指定できます」
とのことなので、Win11にレジストリを配布するのと、クレデンシャルガードを無効にするのが今回の対応、で、よいはず
また、Win2022をNPSにする場合は、TLS1.3が対応するまでTLS1.2に変更しておく必要があるかも
色々な掲示板で同じような報告があり
ただ、以下のMSページを参考にすると PEAP-MSCHAPv2 + WPA2-Enterpris の無線LANプロファイルでは、Type 25 と 26 の記載がある
以下ページの最後の方を見ると、26の記載は出てこないが、PEAPのEAP Typeは25のよう
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 を設定しても、効果がないというコメントもあったので腑に落ちない部分もあったが、Type 25/26 が必要であるなら納得です。まあ、3つとも設定が安パイかな。
Credential Guardは以下リンク先の方法で無効化
追記
色々とテストした結果、上記の対応をしたうえで、無線プロファイルの作成しなおしをしないと、新しい設定が反映されないようです
- その他参考