Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   Server 2012 Remote Access — VPN-сервер с двухфакторной аутентификацией по смарткарте (http://forum.oszone.net/showthread.php?t=316038)

m1ct1k@vk 20-06-2016 12:50 2644175
Server 2012 Remote Access — VPN-сервер с двухфакторной аутентификацией по смарткарте
 
Добрый день.
Настраиваю VPN сервер (RRAS) с двухфакторную аутентификацией по смарт карте (eToken) и авторизацией через NPS.
Имеется: Windows Server 2012 R2 с NPS, Remote Access + Windows Server 2012 R2 с DC, CA.
После проделанных настроек, при подключение клиента по vpn, на клиенте: "Ошибка 853: Подключение удаленного доступа завершено, но не удалось выполнить проверку подлинности, поскольку сертификат, используемый для проверки подлинности клиента на сервере, не действителен".
На сервере в логах: Предупреждение 1: CoID={0A173236-81E0-45C5-A4C2-F6E355C3B50F}: Пользователь *** подключен с ***, но не прошел проверку подлинности по следующей причине: В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа.
Предупреждение 2: CoID={0A173236-81E0-45C5-A4C2-F6E355C3B50F}: Пользователь *** подключился, но не прошел проверку подлинности на порте "VPN3-0". Линия отключена.
Сертификаты выпущены согласно статье https://msdn.microsoft.com/ru-ru/lib...or=-2147217396
Сертификат домена (установлен у клиента и сервера в доверенные корневые компьютера): All
Сертификат клиента (на смарткарте): «Проверка подлинности клиента» — 1.3.6.1.5.5.7.3.2, Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2)
Сертификат сервера (установлен в личные компьютера на сервере): «Проверка подлинности сервера» — 1.3.6.1.5.5.7.3.1, «Проверка подлинности клиента» — 1.3.6.1.5.5.7.3.2
Шаблоны для сертификата сервера и клиента, созданы на основе копии шаблона IPsec.
Тип EAP на сервере NPS: Microsoft: Smart Card or other certificate.
Тип EAP на клиенте Win 8.1, Win 7, Win XP: Microsoft: Smart Card or other certificate.
В AD создана группа безопасности пользователей, которые могут подключаться через NPS.
Время на клиенте и сервере синхронизировано.
Список отзыва загружен. Длина ключа клиента 2048.
в NTAuthCA - серт добавлен.
Аутентификация не за NAT.
Версия драйверов SafeNet Authentication Client 10.0 (10.0.43.0) для MS Win 8.1 и eToken PKI Client 5.1 SP1 для MS Win XP, 7
Можете помочь разобраться в данной ошибки, гугл толкового не чего не предлагает.


Время: 06:05.

Время: 06:05.
© OSzone.net 2001-