Почему может перестать проходить аутентификация RADIUS в Windows Server?

Question

Ilya_Romashev @Ilya_Romashev

Почему может перестать проходить аутентификация RADIUS в Windows Server?

Короче, ситуация:

- Есть два доменных контроллера на windows server 2022. На обоих поднят NPS, он же виндовый RADIUS.
- Всё это было подключено к микротику, до поры до времени работало. На микротике настроен L2TP, завёрнутый в ipsec с PSK ключом.
- На клиентских машинах с виндой VPN настраивался с ключом -UseWinlogonCredentials, чтобы пароль не запрашивало.
- Однажды меня чёрт дёрнул выключить NTLM во всей сети через редактирование Default Domain Policy, типа, так вроде безопаснее. В результате у торрентокачалки из каках и палок отвалилось монтирование cifs.
- Поворчав и не осилив приделывание этого всего через kerberos, я решил ресетнуть дефолтную групповую политику через dcgpofix.exe /target:both, потому что слабо понимал, почему даже после того, как я вернул все настройки назад, всё равно шара отказывалась рабоать с кодом 0x000000BB (STATUS_NOT_SUPPORTED).
- Где-то наверное в этот момент всё и полетело.

А нынче, когда я пытаюсь авторизоваться в VPN, выходит вот что:

Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
	Security ID:			NULL SID
	Account Name:			<private>
	Account Domain:			<private>
	Fully Qualified Account Name:	<private>\<private>

Client Machine:
	Security ID:			NULL SID
	Account Name:			-
	Fully Qualified Account Name:	-
	Called Station Identifier:		-
	Calling Station Identifier:		-

NAS:
	NAS IPv4 Address:		<private>
	NAS IPv6 Address:		-
	NAS Identifier:			router.<private>.lan
	NAS Port-Type:			Virtual
	NAS Port:			15728641

RADIUS Client:
	Client Friendly Name:		router.<private>.lan
	Client IP Address:			<private>

Authentication Details:
	Connection Request Policy Name:	Use Windows authentication for all users
	Network Policy Name:		-
	Authentication Provider:		Windows
	Authentication Server:		dc1.<private>.lan
	Authentication Type:		MS-CHAPv2
	EAP Type:			-
	Account Session Identifier:		3831663030303031
	Logging Results:			Accounting information was written to the local log file.
	Reason Code:			16
	Reason:				Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.

Пароль 100% правильный. С чего бы ему быть неправильным, если меня пускает в систему? Да и руками я вбивал, тоже не проходит. Отсюда вопрос, а что я такого мог навертеть, что у меня всё сломалось? Может можно вообще как-нибудь КД сбросить к дефолтному состоянию? Или почитать может чего? Никогда виндой не пользовался, не понимаю.

UPD: Кажется, дело в том, что я отключил NTLM. NPS общается через NTLM в случае mschapv2 авторизации. Как включить назад?