Vraag

woensdag 30 augustus 2023 15:46

Acties:
  • 0 Henk 'm!
  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 29-04 13:15

erwin26

Topicstarter
Mijn vraag
Weet iemand hoe ik de volgende foutmelding kan oplossen?

NPS Extension for Azure MFA: NPS Extension for Azure MFA only performs Secondary Auth for Radius requests in AccessAccept State. Request received for User domain\test with response state Discard, ignoring request.

Ik kan niet aanmelden op de server via RDP, want ik krijg geen MFA bericht binnen.

Relevante software en hardware die ik gebruik
Server 2019 als een gateway server en een DC (2019) als NPS server + Azure sync van on-prem naar Azure

Wat ik al gevonden of geprobeerd heb


- NPS opnieuw geïnstalleerd
- Radius poorten van server en naar server staan open
- Windows firewall beide servers staan uit
- Azure auth en client enterprise apps staan er en auth app opnieuw ingesteld
- Certificate vernieuwd op de NPS server
- Nieuwe test gebruiker aangemaakt
- Troubleshooting NPS powershell gebruikt, maar die zegt verkeerde licentie. Licentie is een BP, wat volgens die tool goed moet zijn
- CA policy in Azure gemaakt
- Logfiles uitgelezen van de NPS, maar die zegt alles is succesvol
- Reg keys aangepast, zodat de MFA naar approve/deny gaat in plaatst van numbers

Ik ben ten einde raadt voor deze foutmelding.

Alle reacties

woensdag 30 augustus 2023 16:27

Acties:
  • 0 Henk 'm!
  • akimosan
  • Registratie: Augustus 2003
  • Niet online

akimosan

Alle informatie in dit artikel gelezen?
https://learn.microsoft.c...n/how-to-mfa-number-match

Bevat namelijk ook informatie over health check script
  • Welke NPS extension versie is er geïnstalleerd?
  • Maak je (nog) gebruik van ADFS? If so, juiste patches geïnstalleerd? Overweeg dan over te gaan op AzureAD pasword sync/passthrough authentication
  • NPS extension kan voor number matching enkel overweg met PAP. Dit goed geconfigureerd in je NPS policies?
NPS Extension for Azure AD MFA (AccessReject): This means the NPS extension only performs secondary authentication for Radius requests in AccessAccept state, but it received a request in AccessReject state. This usually indicates an authentication failure in AD or a connectivity issue with Azure AD. You need to check if your user has a license, if your firewalls are open for traffic to and from adnotifications.windowsazure.com and login.microsoftonline.com, and if your network access permissions are set to control access through NPS network policy.

[ Voor 38% gewijzigd door akimosan op 30-08-2023 16:34 ]

woensdag 30 augustus 2023 16:48

Acties:
  • 0 Henk 'm!
  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 29-04 13:15

erwin26

Topicstarter
Hierbij mijn antwoorden:

- 1.2.2216.1
- Nee geen ADFS meer en AzureAD password sync/passthrought staat aan
- Zover ik zie is PAP goed geconfigureerd als ik Microsoft volg in elk geval. We hebben ook number matching uitgezet via regkey om dit te omzeilen, maar dat helpt ook niet.

De 2 websites die genoemd zijn kunnen we bereiken via port 80 en 443.

Het gekke is dat ik net ineens (zonder nieuwe aanpassing) wel MFA kreeg bij inloggen en nu niet meer.

woensdag 30 augustus 2023 16:59

Acties:
  • 0 Henk 'm!
  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 29-04 13:15

erwin26

Topicstarter
Heb ondertussen ook een case geopend bij Microsoft :)

donderdag 31 augustus 2023 16:13

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:21

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Dit is wat MS zegt over deze foutmelding:
This error usually reflects an authentication failure in AD or that the NPS server is unable to receive responses from Azure AD. Verify that your firewalls are open bidirectionally for traffic to and from https://adnotifications.windowsazure.com and https://login.microsoftonline.com using ports 80 and 443. It is also important to check that on the DIAL-IN tab of Network Access Permissions, the setting is set to "control access through NPS Network Policy". This error can also trigger if the user is not assigned a license.
https://learn.microsoft.c...-mfa-nps-extension-errors

Kortom:
  • firewall
  • Licensing
  • Dial-in tab van de user
Business Premium heeft Azure AD P1 als onderdeel, dus license is voldoende. Weet je zeker dat deze ook juist is toegekend?

[ Voor 14% gewijzigd door Question Mark op 31-08-2023 16:16 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 1 september 2023 09:21

Acties:
  • 0 Henk 'm!
  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 29-04 13:15

erwin26

Topicstarter
Ik weet zeker dat de juiste licentie aan de gebruiker hangt. Licentie werd uitgedeeld via groep, maar net even los toegevoegd (groep eerst verwijderd), maar geen effect.

De Dial-in tab in de gebruiker staat op de control access through NPS. Heb de andere opties ook geprobeerd, maar die geven het zelfde effect.

Enigste waar ik over twijfel is toch de firewall, Windows firewall staat uit overal en ik kan beide sites die Microsoft zegt pingen, maar mogelijk is het de fysieke firewall die nog iets blokkeert. Alleen weet ik niet wat.

Case bij Microsoft loopt nog.

vrijdag 1 september 2023 10:08

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:21

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

erwin26 schreef op vrijdag 1 september 2023 @ 09:21:
Enigste waar ik over twijfel is toch de firewall, Windows firewall staat uit overal en ik kan beide sites die Microsoft zegt pingen, maar mogelijk is het de fysieke firewall die nog iets blokkeert. Alleen weet ik niet wat.
Voor uitgaand verkeer is dat makkelijk te testen door vanaf de systemen een "test-netconnection" uit te voeren naar de twee url's op poort 80 en 443. Voor inkomend verkeer zul je gewoon de firewall instellingen en evt. logging moeten controleren. :)

Btw. waarom staat de lokale firewall uit? Los van het security-riciso, is het juist enorm nutting om logging van de firewall aan te zetten zodat je weet welke inkomen en uitgaande verzoeken "accepted" of "denied" worden.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 1 september 2023 12:52

Acties:
  • 0 Henk 'm!
  • E_Rikkert
  • Registratie: September 2023
  • Laatst online: 10-09-2023

E_Rikkert

Top dat ik dit topic tegenkom.

Ik ben tegen dezelfde hoofdbrekers aan gelopen.
Erg benieuwd wat de feedback in deze gaat zijn vanuit de case bij Microsoft.

vrijdag 1 september 2023 13:57

Acties:
  • 0 Henk 'm!
  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 29-04 13:15

erwin26

Topicstarter
Question Mark schreef op vrijdag 1 september 2023 @ 10:08:
[...]

Voor uitgaand verkeer is dat makkelijk te testen door vanaf de systemen een "test-netconnection" uit te voeren naar de twee url's op poort 80 en 443. Voor inkomend verkeer zul je gewoon de firewall instellingen en evt. logging moeten controleren. :)

Btw. waarom staat de lokale firewall uit? Los van het security-riciso, is het juist enorm nutting om logging van de firewall aan te zetten zodat je weet welke inkomen en uitgaande verzoeken "accepted" of "denied" worden.
Deze staat uit in verband met testen momenteel. Zo weten we zeker dat de interne firewall van de servers geen probleem is. De externe firewall zit bij de hosting provider (in hun beheer) daaruit logs uit lezen duurt even in verband met reacties hoster.

Misschien dat we ze weer even aanzetten en hopen dat er toch een logging op komt.

Tot op heden nog geen nieuwe reactie van MS.

donderdag 28 maart 2024 15:58

Acties:
  • 0 Henk 'm!
  • Insidio2
  • Registratie: April 2010
  • Laatst online: 15:03

Insidio2

is dit nog opgelost geraakt?
wat was de uiteindelijke oplossing?

donderdag 28 maart 2024 18:47

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:10

Hero of Time

Moderator LNX

There is only one Legend

Het is een ietwat onnodige kick, want online vind je echt genoeg informatie om dit op te lossen. Ik liep hier zelf op m'n werk ook tegen en je kan extra logging inschakelen met een reg key. Bij mij kwam ik er toen achter dat MSCHAPv2 gebruikt moest worden voor approve/deny meldingen, PAP wilde niet (meer) werken. De Radius client moet namelijk wel de mogelijkheid hebben om wat te tonen voor number matching, kan de client dat niet, dan werkt het niet en krijg je ook geen melding.

Commandline FTW | Tweakt met mate

vrijdag 29 maart 2024 09:07

Acties:
  • +1 Henk 'm!
  • erwin26
  • Registratie: Januari 2015
  • Laatst online: 29-04 13:15

erwin26

Topicstarter
Insidio2 schreef op donderdag 28 maart 2024 @ 15:58:
is dit nog opgelost geraakt?
wat was de uiteindelijke oplossing?
Nog niet helaas. We hebben het stop gezet en gaan binnenkort opnieuw beginnen (nieuwe server enzo)

vrijdag 29 maart 2024 13:09

Acties:
  • 0 Henk 'm!
  • Insidio2
  • Registratie: April 2010
  • Laatst online: 15:03

Insidio2

Hero of Time schreef op donderdag 28 maart 2024 @ 18:47:
Het is een ietwat onnodige kick, want online vind je echt genoeg informatie om dit op te lossen. Ik liep hier zelf op m'n werk ook tegen en je kan extra logging inschakelen met een reg key. Bij mij kwam ik er toen achter dat MSCHAPv2 gebruikt moest worden voor approve/deny meldingen, PAP wilde niet (meer) werken. De Radius client moet namelijk wel de mogelijkheid hebben om wat te tonen voor number matching, kan de client dat niet, dan werkt het niet en krijg je ook geen melding.
ik kom na enkele dagen zoeken helemaal nergens. en kwam uiteindelijk op deze post uit...
we gebruiken ook geen number matching.

vrijdag 29 maart 2024 13:23

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:10

Hero of Time

Moderator LNX

There is only one Legend

Insidio2 schreef op vrijdag 29 maart 2024 @ 13:09:
[...]

ik kom na enkele dagen zoeken helemaal nergens. en kwam uiteindelijk op deze post uit...
we gebruiken ook geen number matching.
Heb je tevens de documentatie voor Entra MFA bekeken om extra logging te krijgen? Dan zie je in de event viewer exact wat er mis is. Zo kwam ik dus er achter dat er bij 1 radius client PAP werd gebruikt en bij een ander MSCHAPv1. Toen ik ze op MSCHAPv2 zette, werkte het. Niet uitgaan van 'auto' bij de client. En let even op je policies zelf, je hebt niet echt veel opties voor finetuning heb ik gemerkt.

Commandline FTW | Tweakt met mate

zondag 31 maart 2024 22:46

Acties:
  • 0 Henk 'm!
  • Insidio2
  • Registratie: April 2010
  • Laatst online: 15:03

Insidio2

we hebben het issue gevonden. we kregen enkel een accessreject melding. alle mogelijke logging stond aan maar geen duidelijke oorzaak.

Na zoeken erop uitgekomen dat de NPS server geen extended ascii karakters ondersteund in wachtwoorden.
na navraag bij de user bleek het wachtwoord zo een karakter te bevatten. na aanpassen van het wachtwoord zonder extended ascii karakters lukt aanmelden wel. Het was trouwens de enige user dit die issue had. we vonden het eerst vreemd dat Entra Id geen log had van deze aanmeld poging. achteraf gezien is dit logisch. De NPS MFA plugin gaat enkel een request doorsturen naar entra ID indien de authenticatie gelukt is tegen de domain controller.

zondag 31 maart 2024 22:53

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 21:10

Hero of Time

Moderator LNX

There is only one Legend

Ja, dat kan idd een ding zijn. Wanneer je MFA werkt voor je test gebruiker of jezelf, en dan voor bepaalde gebruikers niet, ga je eerst kijken wat het verschil is tussen jouw werkende gebruiker en de gebruiker waarbij het niet werkt. Groepen etc, daarna idd even navragen voor het wachtwoord. Die laatste kan zo gemeen zijn, want wie zet er nou zo'n apart teken in z'n wachtwoord?

Commandline FTW | Tweakt met mate

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq