การรับรองความถูกต้องของ Microsoft NPS ล้มเหลวด้วยรหัสเหตุผล 23: คำแนะนำสำหรับเทคนิคการแก้ไขปัญหาขั้นสูง

ในองค์กรของเรา เรามีผู้ใช้ประมาณ 30 รายที่เข้าถึงเครือข่ายของเราผ่านการเชื่อมต่อ VPN โทโพโลยีมีดังนี้: Apple End User Device ( iOS, macOS ) <--> Juniper SRX Firewall <--> RADIUS <--> Microsoft NPS ( Windows Server 2019 )

การเชื่อมต่อ VPN ทั้งหมดเหล่านี้ใช้งานได้โดยไม่มีเหตุการณ์เกิดขึ้นกับผู้ใช้ ยกเว้นบัญชีผู้ใช้ส่วนบุคคลของฉัน ซึ่งไม่สามารถเชื่อมต่อได้ทุกครั้ง

แอป Event Viewer ระบุว่า "เซิร์ฟเวอร์นโยบายเครือข่ายปฏิเสธการเข้าถึงของผู้ใช้" และระบุรหัสเหตุผล 23

ฉันได้ดูบันทึก IAS/NPS ทั้งด้วยโปรแกรมแก้ไขข้อความและใช้เครื่องมืออย่างโปรแกรมดูบันทึก IAS ของ DeepSoftware ข้อผิดพลาดที่แสดงในบันทึกเหล่านั้นยังคงเป็นข้อผิดพลาด 23 และไม่มีข้อมูลเพิ่มเติม

ใน Event Viewer ฉันได้เปิดใช้งานการบันทึก CAPI2 ฉันเห็นว่าห่วงโซ่ความน่าเชื่อถือขององค์กรของฉันผ่านการตรวจสอบเรียบร้อยแล้ว แต่ฉันไม่เห็นข้อมูลเกี่ยวกับใบรับรองส่วนตัวของฉันเลย

ฉันได้ตรวจสอบแล้วว่าใบรับรองเซิร์ฟเวอร์ถูกต้อง และใบรับรองผู้ใช้ส่วนตัวของฉันถูกต้อง ในอุปกรณ์ macOS เครื่องเดียวกับที่ฉันกำลังทดสอบ การตรวจสอบสิทธิ์ 802.1X ใช้งานได้โดยใช้ใบรับรองผู้ใช้ของฉัน

ฉันมีตั๋วสนับสนุนแบบเปิดกับ Microsoft แต่บริษัทที่พวกเขารับเหมาช่วงการสนับสนุนระดับองค์กร (ฉันเชื่อว่า Convergsys) ได้พิสูจน์แล้วว่าไร้ประโยชน์

ฉันได้ตรวจสอบเอกสารประกอบของ Microsoft เพื่อเปิดใช้งานการติดตาม EAPHost แล้ว แต่น่าเศร้าที่ไฟล์บันทึก .etl ที่ logman สร้างขึ้นนั้นพูดพล่อยๆ โดยไม่สามารถเข้าถึงไฟล์ PDB/สัญลักษณ์การดีบัก

ขั้นตอนต่อไปของฉันคือการใช้เครื่องมือ Capimon.exe ของ Microsoft เพื่อพยายามรับข้อมูลการดีบักที่เป็นประโยชน์ อย่างไรก็ตาม เนื่องจากการตรวจสอบสิทธิ์ EAP และ NPS ทำงานเป็นบริการที่ใช้ svchost.exe เป็นพาเรนต์ปฏิบัติการหลัก ฉันจึงไม่สามารถหาวิธีจัดเตรียมพาธอิมเมจปฏิบัติการที่เหมาะสมเพื่อใช้เมื่อเรียกใช้ Capimon.exe -setup

ความคิดใด ๆ จะเป็นประโยชน์อย่างยิ่ง!