2013年2月28日木曜日

Win7で2012年12月から802.1xが繋がらない

無線LANに802.1xで繋いでいるんだけれど、Windows 7から急に繋がらなくなった。
思い当たるのはWindows Update。
でも、なかなか情報がなくて放ったらかし状態にしていたが、少し仕事が落ち着いたのでやっと調べてみることに。

ズバリこれでした。
http://serverfault.com/questions/391959/nps-eap-authentication-failing-after-windows-update


In December 2012, this issue occurred for many people when Microsoft messed up update KB931125 on December 11th 2012 by accidentally applying the root cert update to clients and servers, when it should've only been applied on clients. This added hundreds of 3rd-party root certificates to the trusted root certs list on servers, causing problems like you showed.
Took me long enough to find it, but MS has an article and fix available at KB2801679 "SSL/TLS communication problems after you install KB 931125".The faulty update has since been expired on Windows Update and WSUS, but if you've already applied it, you can clean up the root cert list by running the Fix-it provided in the article on all affected servers. 
どうやらMicrosoftがルート認証局の更新を間違って、サーバにも当ててしまったらしい。
で、大量のルート認証局の情報を送ってしまい、認証時のメッセージのサイズが肥大化し、適切なサイズにおさまらなくなって、認証失敗、と。

サーバでリンクのFix itを動かせばすぐに直りました。

解決してよかったけど…、FixもUpdateで送ってくれ、放置しないでくれ、と思ったり。

ネットワーク ポリシー サーバのイベントログが記録されない

802.1xでうまく繋げないPCがあり、なんでだろう?と調べようとしたところ、ネットワーク ポリシー サーバ(Network Policy Server, NPS)のイベントログが記録されていないことに気が付いた。

デフォルトで勝手に記録されるはずなんだけど…。

強制的に書く方法もあったので、手順通りにやってみた。
http://support.microsoft.com/kb/951005/ja

機械翻訳とはいえ、ひどい日本語だな…。
なんとなくわかるけど、コマンドを勝手に訳すのはやめてくれ。
これじゃ通らない…。
"ネットワーク ポリシー サーバ"とかやってみたが、エラーになる…。
スペースが全角かとか英語にしてみるとかやってみたけど、問題は"サーバ"じゃなくて、"サーバー"なのね。

正しくはこちら

auditpol /set /subcategory:"ネットワーク ポリシー サーバー" /success:enable /failure:enable

実は地道に

auditpol /list /category /v

でGUID出して、

auditpol /list /subcategory:{...上で取ったGUID...}

と、頑張って正しい名前を見つけたんだけど…。

しかし、こういうサービス名は訳して欲しくないなぁ…。
個人的には日本語にするんでも、表示名だけとかにして欲しいけど、「全部日本語で!」という人もいるんだろう。
Microsoftも悩ましいところかな。