[EventViewer] EventID 6732 reason code 262 "Network Policy Server denied access to a user"

Network Policy Server denied access to a user

[Explanation]

이벤트 ID 6732 & Reason code 262는 NPS 인증 시도 실패 메시지이지만 그 원인은 접속을 시도한 PC 혹은 서버의 인증서가 유효하지 않을 때 발생하는 메시지입니다. 

로그 이름:         Security
원본:            Microsoft-Windows-Security-Auditing
날짜:            2017-07-12 오전 8:27:45
이벤트 ID:        6273
작업 범주:         네트워크 정책 서버
수준:            정보
키워드:           감사 실패
사용자:           해당 없음
컴퓨터:           ComputerName
설명:
네트워크 정책 서버가 사용자에 대한 액세스 권한을 거부했습니다.
자세한 내용은 네트워크 정책 서버 관리자에게 문의하십시오.
사용자:
보안 ID: S-1-5-21-2119971784-3125889115-3444914974-165799
계정 이름: host/Com001.Domain.com
계정 도메인: Domain
정규화된 계정 이름: Domain\Com001$
클라이언트 컴퓨터:
보안 ID: NULL SID
계정 이름: -
정규화된 계정 이름: -
OS 버전: -
호출된 스테이션 식별자: 000B8613E480
호출 스테이션 식별자: C8215829A680
NAS:
NAS IPv4 주소: 10.100.100.100
NAS IPv6 주소: -
NAS 식별자: 10.100.100.100
NAS 포트 종류: 무선 - IEEE 802.11
NAS 포트: 0
RADIUS 클라이언트:
클라이언트 이름: Twin_Controller_Master
클라이언트 IP 주소: 10.100.100.100
인증 정보:
연결 요청 정책 이름: 보안 무선 연결 - Domain Computer
네트워크 정책 이름: 보안 무선 연결 - Domain Computer
인증 공급자: Windows
인증 서버: ComputerName
인증 유형: EAP
EAP 종류: Microsoft: 스마트 카드 또는 기타 인증서
계정 세션 식별자: -
로깅 결과: SQL 데이터 저장소에 계정 정보를 썼습니다.
이유 코드: 262
이유: 제공된 메시지가 완전하지 않습니다. 서명을 확인할 수 없습니다.
이벤트 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>6273</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12552</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2017-07-11T23:27:45.827583800Z" />
    <EventRecordID>555048610</EventRecordID>
    <Correlation />
    <Execution ProcessID="516" ThreadID="2800" />
    <Channel>Security</Channel>
    <Computer>ComputerName</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-21-2119971784-3125889115-3444914974-165799</Data>
    <Data Name="SubjectUserName">host/Com001.Domain.com</Data>
    <Data Name="SubjectDomainName">Domain</Data>
    <Data Name="FullyQualifiedSubjectUserName">Domain\Com001$</Data>
    <Data Name="SubjectMachineSID">S-1-0-0</Data>
    <Data Name="SubjectMachineName">-</Data>
    <Data Name="FullyQualifiedSubjectMachineName">-</Data>
    <Data Name="MachineInventory">-</Data>
    <Data Name="CalledStationID">000B8613E480</Data>
    <Data Name="CallingStationID">C8215829A680</Data>
    <Data Name="NASIPv4Address">10.100.100.100</Data>
    <Data Name="NASIPv6Address">-</Data>
    <Data Name="NASIdentifier">10.100.100.100</Data>
    <Data Name="NASPortType">무선 - IEEE 802.11</Data>
    <Data Name="NASPort">0</Data>
    <Data Name="ClientName">Twin_Controller_Master</Data>
    <Data Name="ClientIPAddress">10.100.100.100</Data>
    <Data Name="ProxyPolicyName">보안 무선 연결 - Domain Computer</Data>
    <Data Name="NetworkPolicyName">보안 무선 연결 - Domain Computer</Data>
    <Data Name="AuthenticationProvider">Windows</Data>
    <Data Name="AuthenticationServer">ComputerName</Data>
    <Data Name="AuthenticationType">EAP</Data>
    <Data Name="EAPType">Microsoft: 스마트 카드 또는 기타 인증서</Data>
    <Data Name="AccountSessionIdentifier">-</Data>
    <Data Name="ReasonCode">262</Data>
    <Data Name="Reason">제공된 메시지가 완전하지 않습니다. 서명을 확인할 수 없습니다.</Data>
    <Data Name="LoggingResult">SQL 데이터 저장소에 계정 정보를 썼습니다.</Data>
  </EventData>
</Event>

♔♔♔♔♔♔♔♔♔♔

[Resolution]

1. 특히 Reason Code 262은 PC가 지닌 인증서가 만료될 때 발생하는 메시지이기 때문에 인증서를 재발급하면 처리가 가능합니다. 인증서 재발급 방법
2. 무선랜 설정에서 '서버 인증서 유효성 확인' 체크를 해제 합니다.

일부 그룹 정책으로 2를 설정하기 원하시면 아래 설정을 통해서 구성하시면 됩니다.
To disable the Validate server certificate option by using a Group Policy setting, follow these steps:

• Connect to a Windows Server 2008 R2-basesd domain controller by using the Group Policy Management console (Gpmc.msc).
• Edit a Group Policy object such as Default Domain Policy.
• Locate one of the following items:

1. Computer Configuration\Policies\Windows Settings\Security Settings\Wired Network (IEEE 802.3) Policies
2. Computer Configuration\Policies\Windows Settings\Security Settings\Wireless Network (IEEE 802.11) Policies

• Right-click the item to create a new policy for Windows Vista or for later versions of Windows.
• On the Security tab, select the Microsoft: Protected EAP (PEAP) network authentication method, and then click Properties.
• Click to clear the Validate server certificate check box, and then click OK.

댓글이나 의견은 언제든지 환영합니다.

Your Comments are Always Welcome!