2、常规排查思路

2.1检查 NAC 和 radius 服务器的共享秘钥是否一致

NAC 和 radius 服务器的共享密钥必须填写一致，可登陆 radius 服务器重新设置两端共享密钥，确保一致再测试有效性。

2.2确认账号密码是否正确

在测试有效性时，填写的账号密码需要是 radius 服务器所加入的域中的账号密码。必须确认账号密码填写正确才能测试通过。

2.3检查采用协议

在 NAC 上添加 radius 服务器时，radius 服务器的协议需要使用 MSCHAPv2 协议。所以 在测试有效性时，“采用协议”需要选择 MSCHAPv2，并且 radius 服务器上也需要确认开启了 MSCHAPv2 的验证方法。

2.4检查连接请求策略

在 radius 服务器上，【连接请求策略】- 【条件】选项需要删除默认生成的“NAS 端口类型”。

然后， 添加时间条件，允许所有时间接入。

2.5检查网络策略

在 radius 服务器上，【网络策略】-【条件】选项需要删除默认生成的“NAS 端口类型”。

然后， 添加时间条件，选择允许所有时间接入。

3、结合事件查看器查错

在 windows 系统中， 可以在开始菜单中打开事件查看器，通过 windows  日志查看用户连接失败的原因，排查方法如下。

3.1提示“由于用户凭据不匹配，身份验证失败。提供的用户名未映射到现有用户帐户或密码错误。

原因：账号密码输入错误。

解决办法：检查账号密码是否输入正确，可以重新输入一遍，也可以换一个账号测试。

3.2提示“用户的密码已过期或即将过期，因此用户 必须修改密码， 但没有启用网络策略的更改密码选项”

原因： LDAP 服务器用户设置中勾选了用户下次登录时须修改密码。

解决办法： LDAP 服务器在用户账户属性中去掉勾选“用户下次登录时须更改密码”。

3.3提示“RADIUS 请求与任何配置的连接请求策略(CRP)都不匹配。”

原因： 【网络策略服务器】 -【策略】- 【连接请求策略】的条件设置有误。

解决办法：检查【网络策略服务器】 -【策略】- 【连接请求策略】中的策略条件设置哪里有 错误，比如允许连接的时间设置是否正确、默认生成的 NAS 端口类型条件是否没有删除，或者是否添加了其它限制条件等。

3.4提示“用户尝试使用匹配网络策略上未启用的身份验证方法”

原因： 信锐控制器上编辑外部 radius 服务器时的采用协议是“MSCHAPv2”，而 radius 服务 器【网络策略服务器】 -【策略】 -【连接请求策略】中策略的身份验证方法没有勾选“MSCHAPv2”的验证方法。

解决办法： 在 radius 服务器【网络策略服务器】 - 【策略】 - 【连接请求策略】中策略的身份验证方法勾选“MSCHAPv2”。

3.5提示“连接请求与配置的网络策略不匹配”

原因： 【网络策略服务器】 -【策略】- 【网络策略】的条件设置有误。

解决办法： 检查【网络策略服务器】 -【策略】-【网络策略】中的策略条件设置哪里有错误， 比如允许连接的时间设置是否正确、默认生成的 NAS 端口类型条件是否没有删除， 是否限制了连接的用户组， 或者是否添加了其它限制条件等。

4、注意事项

1 、NAC 做企业级认证时只支持对接使用 MSCHAPv2 协议的 radius 服务器，所以在 NAC 上新增外部 radius 服务器时采用协议需要选择 MSCHAPv2，radius 服务器上的身份验证方法也选择 MSCHAPv2。

2 、 radius 服务器和 LDAP 服务器可以不在同一台服务器上，radius 服务器只要成功加域即可。

3 、 当网络策略服务器中有多条连接请求策略和网络策略时，用户连接只要匹配成功其中一条策略即可验证通过。