Home > Community, IT Pro, Server, Virtualization > Building my new virtual environment – Part 3 – First virtual machine with DC role, Certification Authority and Network Policy Service

Building my new virtual environment – Part 3 – First virtual machine with DC role, Certification Authority and Network Policy Service

Riprendo la descrizione della costruzione del mio ambiente di virtualizzazione raccontando come, completata l’installazione del sistema operativo host ed attivata la mia copia di Windows mi appresto a creare le mie macchine virtuali.

Come primo passo riavvio la macchina fisica e al reboot controllo che nel BIOS siano verificate le seguenti due condizioni

  • Hardware-assisted      virtualization. This is available in processors that include a      virtualization option—specifically, Intel Virtualization Technology (Intel      VT) or AMD Virtualization (AMD-V).
  • Hardware-enforced Data      Execution Prevention (DEP) must be available and be enabled. Specifically,      you must enable the Intel😄 bit (execute disable bit) or AMD NX bit (no      execute bit).

Poichè le condizioni sono soddisfatte, confermo le impostazioni, riavvio ed eseguo  il Server Manager per aggiungere il ruolo Hyper-V.

Una volta installato il ruolo Hyper-V sul server host, configuro il virtual network, imposto una virtual machine con 2GB di ram e 50 GB di hard disk ed inizio l’installazione della prima macchina virtuale con Windows Server 2008 R2 Datacenter.

Completata l’installazione, assegno un ip statico a questa macchina, le cambio il nome ed effettuo il join al dominio

A questo punto, poichè lo schema di Active Directory nel mio dominio è già aggiornato a Windows Server 2008, eseguo sul Operation Master l’adprep /forestprep e adprep /domainprep per adeguare lo schema alla versione R2.

Fatto ciò, eseguo il dcpromo nel nuovo server virtuale appena installato configurandolo come domain controller aggiuntivo di dominio esistente ed installando contemporaneamente il DNS server con la ovvia integrazione con A.D.

Tutto fila liscio e la replica di active directory avviene senza intoppi.

Al termine, riavvio e controllo il registro eventi: tutto ok.

A questo punto torno al Server Manager per installare la Certification Authority quindi aggiungo il ruolo Active Directory Certificate Services

Dopo aver installato la Certification Authority vado a renderla trusted in Active Directory quindi installo il ruolo di Network Policy and Access Services – il successore di Internet Authentication Service per gestire gli accessi alla rete wireless mediante i certificati.

Una buona traccia dei passi da seguire la potete trovare qui

http://community.spiceworks.com/how_to/show/1455

perchè l’autore del post si trova esattamente nelle mie condizioni ossia migrare da CA + IAS in windows Server 2003 a CA + NPS in Windows Server 2008 R2.

Fatti tutti i passaggi mi ritrovo che i clients wireless non vengono autorizzati da NPS ad accedere tramite l’Access Point alla rete e nel registro eventi del server trovo l’errore 36888 di origine Schannel con la seguente descrizione: “The following fatal alert was generated: 20. The internal error state is 960.”.

Lo stesso problema viene citato anche in un commento-richiesta del blog-post indicato appena sopra:

“i having some trouble about this howto, i’m getting this error after trying to join my newly created wireless network :

The following fatal alert was generated: 20. The internal error state is 960.

In system eventlog of my NPS/ADCS Enterprise 2008R2 Windows Server, i’m using a cisco 1250, and i’ve just followed your howto twice, and get the same error.

I saw on google a person who get the same error, but his solution is not clear to me, maybe you could help me.

http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/Windows_Server_2008/Q_26531372.html#discussion

Thanks for your help.
Regards,

Victor”

Al quale risponde lo stesso autore del blog-post nel seguente modo:

“Googling around your issue it seems that it could be related to a certificate either on your domain controller (e.g a domain controller certificate missing) or it could be that you need to create a RAS certificate on the certificate authority server.

http://webcache.googleusercontent.com/search?q=cache:TJuaAetcuPMJ:www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/Windows_Server_2008/Q_26531372.html+WIndows+2008+R2+wireless+access+%2B+experts+exchange&cd=1&hl=en&ct=clnk&gl=uk

http://webcache.googleusercontent.com/search?q=cache:ODWtA_be6dQJ:www.experts-exchange.com/Networking/Wireless/Standards/802.11x/Q_24661364.html+EAP+rejects+Wireless+user+when+using+NPS+as+a+RADIUS+Server+in+an+Active+Directory+Environment&cd=1&hl=en&ct=clnk&gl=uk

Hope this helps“

Purtroppo i due links postati dall’autore non portano alla soluzione che invece trovo googlando su altri lidi.

Il problema è dovuto al fatto che il certificato rilasciato al server risulta essere corrotto come descritto qui (anche se in riferimento ad un altro problema)

http://social.technet.microsoft.com/Forums/en-US/windowsserver2008r2webtechnologies/thread/091a3222-641b-43a3-ae19-6cc238828950/

e la soluzione è semplicemente quella di richiedere alla CA il rilascio di un nuovo certificato per il server.

Questa soluzione fa scomparire l’errore 36888 dal registro eventi e finalmente NPS può contattare la CA per validare gli accessi WiFi ma continua a negare l’accesso.

L’aspetto positivo è che almeno ora il log di NPS comincia a riempirsi di registrazioni che posso andare a decodificare usando IAS Log Viewer e ricavo che l’errore che impedisce l’accesso è

“The supplied message is incomplete. The signature was not verified.”

per il quale si trova la soluzione qui

http://www.eventid.net/display.asp?eventid=2&eventno=1376&source=IAS&phase=1

o meglio ancora qui

http://support.microsoft.com/kb/838502

e consiste nel rimuovere  il flag di Convalida certificato server nella scheda Autenticazione della configurazione della scheda di rete wireless.

Perchè questo accada nonostante abbia installato il certificato root della CA per rendere integro il path di certificazione è una cosa che ancora non sono riuscito a capire ma, di fatto, devo seguire il metodo 1 e non il metodo 2 dell’articolo della Knowledge Base citato.

Ultimi due passi sono quelli di rimuovere IAS e CA dal Windows Server 2003.

Per rimuovere IAS è sufficiente deflaggare la feature da Aggiungi/Rimuovi componenti di Windows mentre la rimozione della vecchia CA richiede:

“How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000”

http://support.microsoft.com/kb/889250/en-us

oppure

http://certcollection.org/forum/topic/140298-how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects/

ed ora tutta la validazione e la crittografia della rete wireless è configurata a puntino.

A presto.

  1. Non c'è ancora nessun commento.
  1. No trackbacks yet.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: