Как настроить подключения Android 9 к WiFi Enterprise Windows 2008 AD?

Question

[Serg Off]

Добрый день. Не получается настроить доступ у WiFi на смартфоне. Есть домен (dc01.domainname) с настроенным центром сертификации (самоподписанный). В NPS настроены политики запросов на подключение и политики доступа к сети для WiFi - PEAP + MsCHAPv2 и через сертификат - EAP-TLS. GPO настроено на автовыдачу сертификатов доменному пользователю. Клиенты с WIN 10 подключаются без проблем.
На Андроиде импортировал сертификаты - корневой (domainnameCA) - формат DER, пользовательский - p12 - *.pfx. Эти сертификаты экспортировал с компа клиента WIN10. Они отображаются в соответствующих разделах - в разделе безопасности. пробовал импортировать сертификат самого сервера - dc01.domainnameRootCA . Этот сертификат не отображается в корневых, отображается как пользовательский сертификат.

При попытке подключения в журнале NPS на сервере - код 16 - Не удалось выполнить проверку подлинности из-за несоответствия пользовательских учетных данных. Указанное имя пользователя не соответствует ни одной из имеющихся учетных записей пользователей или неверен указанный пароль.
Уже мысли кончились - где еще посмотреть. Надо ли как то конвертировать сертификаты которые генерируются в win10?. Может как то неверно указан формат сертификата. Нужен ли сертификат для метода PEAP+msCHAPv2?

Comments

[Valentin Barbolin]

> - PEAP + MsCHAPv2 и через сертификат - EAP-TLS. GPO
Получается у тебя две NetworkPolicy?

В Connection request Policies попробуй так

Answer 1

[Serg Off]

Все заработало. Отчасти причина в кривых руках. Вбил параметры доступа по новой еще раз - со стороны Аndroid-a и все заработало.
Моменты которые были выявлены в процессе настройки и доработаны:
- контроллер WiFi - SoftWLC Элтекс - выполнил "Отключение проверки status-server встречного сервера" в конце этой инструкции так как NPS WIn2008 не поддерживает эту опцию и не восстанавливает соединение при обрывах связи.
- основной метод авторизации PEAP MS CHAPv2 - повтор по этой - инструкции
В Андроиде нужно было правильно указывать формат логина:
- Домен: domain.local
- Пользователь domain\username.
На моем смартфоне есть еще поле Неизвестный - в котором повторил - domain\username
Корневой сертификат самоподписанного ЦС в формате DER закидывается в телефон (на SD карту ) и устанавливается через "Безопасность и конфиденциальность" - "Дополнительные настройки" - "Шифрование и учетные данные" - Установить с карты памяти.