Интеграция существующей инфраструктуры сервера политики сети (NPS) с многофакторной проверкой подлинности Azure AD

Расширение сервера политики сети (NPS) для Azure AD MFA добавляет облачные функции многофакторной проверки подлинности в инфраструктуру проверки подлинности на базе существующих серверов. Расширение NPS позволяет добавить телефонный звонок, текстовое сообщение или запрос на подтверждение в мобильном приложении в существующий процесс аутентификации, позволяя обойтись без установки, настройки и поддержания новых серверов.

Расширение NPS выполняет функции адаптера между RADIUS и облачной службой Azure MFA, предоставляя второй фактор проверки подлинности для федеративных или синхронизированных пользователей.

Как работает расширение NPS

Если вы используете расширение NPS для многофакторной проверки подлинности Azure AD, процесс проверки состоит из перечисленных ниже этапов.

  1. NAS или VPN-сервер получает запросы от клиентов, использующих VPN-подключение, и преобразует их в запросы RADIUS, направляемые на серверы политики сети.
  2. Сервер политики сети подключается к доменным службам Active Directory (AD DS) и выполняет первичную проверку подлинности по запросам RADIUS. В случае успеха он передает запрос в установленные расширения.
  3. Расширение NPS активирует запрос к службе Azure AD MFA для проведения дополнительной проверки подлинности. Когда расширение получает ответ (при условии, что запрос MFA выполнен успешно), расширение завершает процесс проверки подлинности, возвращая серверу NPS маркеры безопасности, которые включают утверждение многофакторной идентификации, выданное службой маркеров безопасности Azure.
  4. Azure AD MFA взаимодействует с Azure Active Directory (Azure AD) для получения сведений о пользователе и выполняет дополнительную проверку подлинности по тому методу, который настроен для этого пользователя.

На следующей схеме обобщенно представлен поток запросов на проверку подлинности.

Схема проверки подлинности пользователя, выполняющего ее через VPN-сервер на сервере политики сети и с помощью расширения NPS многофакторной проверки подлинности Azure AD

Работа протокола RADIUS и расширение NPS

Так как RADIUS является протоколом UDP, отправитель предполагает возможность потери пакетов и ожидает ответа. Через некоторое время период ожидания соединения может истечь. В этом случае пакет отправляется повторно, так как отправитель предполагает, что тот не достиг точки назначения. В сценарии проверки подлинности в этой статье VPN-серверы отправляют запрос и ожидают ответа. Если время ожидания подключения истекает, VPN-сервер отправляет запрос повторно.

Схема обмена UDP-пакетами RADIUS и отправки запросов после истечения времени ожидания ответа от NPS-сервера

Сервер политики сети может не ответить на исходный запрос VPN-сервера до истечения времени ожидания соединения, так как запрос MFA может продолжать обрабатываться. Возможно, пользователь не успел ответить на запрос MFA, поэтому расширение NPS для многофакторной проверки подлинности Azure AD ожидает завершения этого события. В этом случае сервер политики сети определяет дополнительные запросы VPN-сервера как дубликаты запроса. NPS-сервер отклоняет эти дубликаты запроса от VPN-сервера.

Схема отклонения NPS-сервером дубликатов запроса с сервера RADIUS

В журналах сервера политики сети можно увидеть, что дополнительные запросы были отклонены. Такой принцип работы должен защитить конечного пользователя от получения нескольких запросов для одной операции проверки подлинности. Наличие отклоненных запросов в журнале событий сервера политики сети не указывает на проблемы с NPS-сервером или расширением NPS многофакторной проверки подлинности Azure AD.

Чтобы сократить число отклоненных запросов, рекомендуется настроить для VPN-серверов время ожидания не менее 60 секунд. При необходимости, а также для уменьшения числа отклоненных запросов в журналах событий значение времени ожидания VPN-сервера можно увеличить до 90 или 120 секунд.

Из-за такого принципа работы протокола UDP сервер политики сети может получить дубликат запроса и отправить еще одно приглашение MFA даже после того, как пользователь ответил на первоначальный запрос. Чтобы избежать этого, расширение NPS многофакторной проверки подлинности Azure AD продолжает фильтровать и отклонять дубликаты запроса в течение 10 секунд после отправки ответа на VPN-сервер.

Схема, на которой показано, как сервер политики сети продолжает отклонять дубликаты запроса с VPN-сервера в течение десяти секунд после успешного ответа

При этом отклоненные запросы также могут отражаться в журналах событий NPS-сервера, даже если запрос многофакторной проверки подлинности Azure AD был успешно обработан. Это ожидаемое поведение, которое не указывает на проблему с NPS-сервером или расширением NPS многофакторной проверки подлинности Azure AD.

Планирование развертывания

Расширение NPS автоматически обрабатывает избыточность, поэтому специальная настройка не требуется.

Вы можете создать столько NPS-серверов с поддержкой многофакторной проверки подлинности Azure AD, сколько потребуется. При установке нескольких серверов для каждого из них следует использовать отдельный сертификат клиента. Создание сертификата для каждого сервера означает, что каждый сертификат можно обновлять по отдельности и не беспокоиться об одновременном простое всех серверов.

VPN-серверы перенаправляют запросы на проверку подлинности, поэтому они должны знать о новых NPS-серверах с поддержкой многофакторной проверки подлинности Azure.

Предварительные требования

Расширение NPS предназначено для работы с существующей инфраструктурой. Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты.

Лицензии

Расширение NPS многофакторной проверки подлинности (MFA) Azure AD доступно клиентам с лицензиями на Azure AD MFA. Лицензии Azure AD MFA на основе объемов потребления, такие как лицензии на пользователя или на проверки подлинности, несовместимы с расширением NPS.

Программное обеспечение

Windows Server 2012 или более поздней версии.

Библиотеки

Необходимо вручную установить следующую библиотеку:

Приведенные ниже библиотеки устанавливаются автоматически вместе с расширением.

Если модуль Microsoft Azure Active Directory для Windows PowerShell отсутствует, то он устанавливается с помощью сценария настройки, который запускается в процессе установки. Устанавливать этот модуль заранее не требуется.

Azure Active Directory

Все пользователи, использующие расширение NPS, должны синхронизироваться с Azure AD с помощью Azure AD Connect и должны быть зарегистрированы в службе MFA.

Для установки расширения потребуются ИД клиента и учетные данные администратора вашего клиента Azure AD. Чтобы получить идентификатор клиента, выполните указанные ниже действия.

  1. Войдите на портал Azure как глобальный администратор клиента Azure.

  2. Найдите и выберите службу Azure Active Directory.

  3. На странице Обзор отображаются сведения о клиенте. Рядом с идентификатора клиента щелкните значок копирования, как показано на снимке экрана ниже.

    Получение идентификатора клиента с портала Azure

Требования к сети

У NPS-сервера должна быть возможность обмена данными с указанными ниже URL-адресами через порты 80 и 443.

  • https://adnotifications.windowsazure.com
  • https://login.microsoftonline.com
  • https://credentials.azure.com

Кроме того, для установки адаптера с помощью предоставленного скрипта PowerShell требуется подключение к указанным ниже URL-адресам.

  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://aadcdn.msftauthimages.net

Подготовка среды

Прежде чем устанавливать расширение NPS, подготовьте среду для обработки трафика проверки подлинности.

Включение роли NPS на сервере, присоединенном к домену

NPS-сервер подключается к Azure AD и аутентифицирует запросы MFA. Выберите один сервер для этой роли. Рекомендуется выбрать сервер, который не обрабатывает запросы от других служб, так как расширение NPS выдает ошибки для всех запросов, которые не являются запросами RADIUS. NPS-сервер должен быть настроен в качестве основного и дополнительного сервера проверки подлинности для вашей среды. Он не может служить прокси-сервером для запросов RADIUS к другому серверу.

  1. На сервере запустите диспетчер сервера. Запустите мастер добавления ролей и компонентов из меню быстрого запуска.
  2. Щелкните Установка ролей или компонентов для своего типа установки.
  3. Выберите роль сервера Службы политики сети и доступа. Может появиться окно, сообщающее о дополнительных необходимых компонентах для этой роли.
  4. Следуйте дальнейшим указаниям мастера, пока не перейдете к странице подтверждения. Когда все будет готово, щелкните Установить.

Установка роли NPS-сервера может занять несколько минут. По завершении перейдите к следующим разделам, чтобы настроить этот сервер для обработки входящих запросов RADIUS от вашего решения VPN.

Настройка решения VPN для обмена данными с NPS-сервером

В зависимости от того, какое решение VPN используется, действия по настройке политики аутентификации RADIUS могут отличаться. Настройте политику VPN, указав NPS-сервер RADIUS.

Синхронизация пользователей домена с облаком

Возможно, этот шаг уже выполнен в клиенте, но рекомендуется еще раз убедиться, что служба Azure AD Connect недавно синхронизировала базы данных.

  1. Войдите на портал Azure с использованием учетной записи администратора.
  2. Щелкните Azure Active Directory > Azure AD Connect.
  3. Убедитесь в том, что синхронизация находится в состоянии Включена и последняя синхронизация была выполнена менее часа назад.

Если требуется начать новый цикл синхронизации, воспользуйтесь разделом Синхронизация Azure AD Connect: планировщик.

Определение методов проверки подлинности, которые смогут использовать пользователи

Существует два фактора, влияющих на то, какие методы проверки подлинности доступны для развертывания расширения сервера политики сети (NPS):

  • Алгоритм шифрования пароля для обмена данными между клиентом RADIUS (VPN, сервером Netscaler или другим) и серверами NPS.

    • PAP поддерживает все методы проверки подлинности Azure AD в облаке: телефонный звонок, одностороннее текстовое сообщение, уведомление мобильного приложения, аппаратный токен OATH и код проверки мобильного приложения.

    • CHAPV2 и EAP поддерживают телефонный звонок или уведомление мобильного приложения.

      Примечание

      При развертывании расширения NPS используйте эти факторы, чтобы оценить, какие методы будут доступны для пользователей. Если клиент RADIUS поддерживает протокол PAP, а клиент UX не имеет полей ввода для проверки кода, тогда телефонный звонок или уведомление мобильного приложения являются подходящими вариантами.

      Кроме того, независимо от используемого протокола проверки подлинности (PAP, CHAP или EAP), если ваш метод MFA является текстовым (SMS, код проверки мобильного приложения или токен оборудования OATH) и требует от пользователя ввести код или текст в поле ввода пользовательского интерфейса VPN-клиента, проверка подлинности может быть успешно пройдена. Однако атрибуты RADIUS, настроенные в политике сетевого доступа, не перенаправляются клиенту RADIUS (устройству сетевого доступа, например VPN-шлюзу). В результате VPN-клиент может получить больший уровень доступа, чем это необходимо, или меньший (вплоть до отсутствия доступа).

  • Методы ввода, которые может обработать клиентское приложение (VPN, сервер Netscaler или другое). Например, может ли VPN-клиент разрешить пользователю вводить код проверки из мобильного приложения или текста?

Вы можете отключить неподдерживаемые методы проверки подлинности в Azure.

Регистрация пользователей для использования MFA

Перед развертыванием и использованием расширения NPS нужно зарегистрировать пользователей, которые должны будут проходить многофакторную проверку подлинности Azure AD, в службе MFA. Чтобы проверить расширения после развертывания, также необходима по крайней мере одна тестовая учетная запись, полностью зарегистрированная для использования многофакторной проверки подлинности Azure AD.

Если необходимо создать и настроить тестовую учетную запись, выполните указанные ниже действия.

  1. Войдите на сайт https://aka.ms/mfasetup с тестовой учетной записью.
  2. Чтобы настроить методы проверки, следуйте инструкциям на экране.
  3. На портале Azure в качестве администратора создайте политику условного доступа для включения многофакторной проверки подлинности в тестовой учетной записи.

Важно!

Убедитесь, что пользователи успешно зарегистрировались для многофакторной проверки подлинности Azure AD. Если пользователи ранее регистрировались только для самостоятельного сброса пароля (SSPR), в их учетных записях включен параметр StrongAuthenticationMethods. Если настроен параметр StrongAuthenticationMethods, то многофакторная проверки подлинности Azure AD применяется, даже если пользователь зарегистрирован только для SSPR.

Вы можете включить объединенную регистрацию сведений о безопасности, которая одновременно настраивает SSPR и многофакторную проверку подлинности Azure AD. Дополнительные сведения см. в разделе Включение объединенной регистрации сведений о безопасности в Azure Active Directory.

Можно также заставить пользователей повторно регистрировать методы проверки подлинности, если они ранее включали только SSPR.

Установка расширения NPS

Важно!

Установите расширение NPS на другом сервере, который не является точкой доступа VPN.

Скачивание и установка расширения NPS для Azure AD MFA

Чтобы скачать и установить расширение NPS, выполните указанные ниже действия.

  1. Скачайте расширение NPS из Центра загрузки Майкрософт.
  2. Скопируйте этот двоичный файл на сервер политики сети, который требуется настроить.
  3. Запустите файл setup.exe и следуйте инструкциям по установке. При возникновении ошибок проверьте, были ли успешно установлены библиотеки из раздела необходимых компонентов.

Обновление расширения NPS

Чтобы при последующем обновлении существующей установки расширения NPS не выполнялась перезагрузка базового сервера, выполните указанные ниже действия.

  1. Удалите существующую версию.
  2. Запустите новый установщик.
  3. Перезапустите службу сервера политики сети (IAS) .

Запуск скрипта PowerShell

Установщик создаст сценарий PowerShell в папке C:\Program Files\Microsoft\AzureMfa\Config (где C:\ — диск установки). При каждом запуске скрипт PowerShell выполняет следующие действия:

  • создает самозаверяющий сертификат;
  • связывает открытый ключ сертификата с субъектом-службой в Azure AD;
  • сохраняет сертификат в хранилище сертификатов на локальном компьютере;
  • предоставляет сетевому пользователю доступ к закрытому ключу сертификата;
  • перезапускает службу NPS.

Если вы не намерены использовать собственные сертификаты (вместо самозаверяющих сертификатов, которые создает скрипт PowerShell), запустите скрипт PowerShell для завершения установки расширения NPS. Если установить расширение на нескольких серверах, каждый из них должен использовать собственный сертификат.

Чтобы обеспечить возможность балансировки нагрузки или избыточности, повторите эти действия на прочих серверах NPS.

  1. Откройте командную строку Windows PowerShell с правами администратора.

  2. Перейдите в каталог, где установщик создал скрипт PowerShell:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. Запустите сценарий PowerShell, созданный установщиком.

    Возможно, для подключения и загрузки пакетов потребуется включить TLS 1.2 для PowerShell:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Важно!

    Для клиентов, использующих облако Azure для государственных организаций или Azure для Китая (21Vianet): сначала отредактируйте Connect-MsolService командлеты в скрипте AzureMfaNpsExtnConfigSetup.ps1 и добавьте параметры AzureEnvironment для требуемого облака. Например, укажите -AzureEnvironment USGovernment или -AzureEnvironment AzureChinaCloud.

    Дополнительные сведения см. в справочнике по параметрам Connect-MsolService.

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. Когда будет предложено, войдите в Azure AD как администратор.

  5. PowerShell запросит ваш идентификатор клиента. Введите GUID идентификатора клиента, скопированный с портала Azure на этапе предварительных требований.

  6. После завершения скрипта появится сообщение об успешном выполнении.

Если срок действия предыдущего сертификата компьютера истек и был создан новый сертификат, необходимо удалить все сертификаты с истекшим сроком действия. Наличие сертификатов с истекшим сроком действия может вызвать проблемы с запуском расширения NPS.

Примечание

При использовании собственных сертификатов вместо их создания с помощью сценария PowerShell убедитесь, что они соответствуют соглашению об именовании сервера политики сети. Имя субъекта-службы будет иметь значение CN=<TenantID>,OU=Microsoft NPS Extension.

Дополнительные действия для Microsoft Azure для государственных организаций или Azure для Китая (21Vianet)

Для клиентов, использующих облако Azure для государственных организаций или Azure для Китая (21Vianet), на каждом NPS-сервере необходимо выполнить указанные ниже дополнительные действия по настройке.

Важно!

Настраивайте эти параметры реестра, только если вы являетесь клиентом Azure для государственных организаций или Azure для Китая (21Vianet).

  1. Если вы являетесь клиентом Azure для государственных организаций или Azure для Китая (21Vianet), откройте редактор реестра на NPS-сервере.

  2. Перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Для клиентов Azure для государственных организаций: задайте указанные ниже значения ключей.

    Раздел реестра Значение
    AZURE_MFA_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/
  4. Для клиентов Azure для Китая (21Vianet): задайте указанные ниже значения ключей.

    Раздел реестра Значение
    AZURE_MFA_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/
  5. Повторите предыдущие два шага, чтобы задать значения разделов реестра для каждого сервера NPS.

  6. Перезапустите службу NPS для каждого сервера NPS.

    Чтобы минимизировать воздействие, выводите каждый сервер NPS из ротации NLB по одному и дожидайтесь завершения всех подключений.

Смена сертификатов

В выпуске 1.0.1.32 расширения NPS теперь поддерживается чтение нескольких сертификатов. Эта возможность упрощает обновление сертификатов до истечения срока их действия. Если в вашей организации работает предыдущая версия расширения NPS, выполните обновление до версии 1.0.1.32 или более поздней.

Сертификаты, созданные скриптом AzureMfaNpsExtnConfigSetup.ps1, действительны в течение 2 лет. Отслеживайте срок действия сертификатов. Сертификаты для расширения NPS размещаются в хранилище сертификатов локального компьютера в личной папке и выдаются идентификатору клиента, переданному в скрипт установки.

Если сертификат приближается к дате окончания срока действия, необходимо создать новый сертификат для замены истекающего. Чтобы сделать это, следует еще раз запустить AzureMfaNpsExtnConfigSetup.ps1 и при появлении запроса идентификатора клиента оставить прежний идентификатор. Этот процесс необходимо повторить на каждом сервере NPS в вашей среде.

Настройка расширения NPS

После подготовки среды и установки расширения NPS на необходимых серверах вы можете его настроить.

Этот раздел содержит рекомендации по проектированию и успешному развертыванию расширения NPS.

Ограничения конфигурации

  • Расширение NPS для многофакторной проверки подлинности Azure AD не включает инструментов для переноса пользователей и параметров с сервера MFA в облако. По этой причине мы рекомендуем вам использовать расширение для новых развертываний, а не для существующего развертывания. При использовании расширения в существующем развертывании пользователям придется еще раз подтвердить свою личность, чтобы заполнить сведения для MFA в облаке.
  • Расширение NPS использует имя субъекта-пользователя из локального каталога AD DS и по нему определяет пользователя многофакторной проверки подлинности Azure AD, для которого будет выполняться дополнительная проверка подлинности. Для этого расширения можно настроить использование других идентификаторов, например альтернативного имени для входа или настраиваемых полей AD DS. Дополнительные сведения см. в статье Параметры расширенной конфигурации расширения NPS для Многофакторной идентификации.
  • Не все протоколы шифрования поддерживают все методы проверки.
    • PAP поддерживает такие методы: телефонный звонок, одностороннее текстовое сообщение, уведомление мобильного приложения и код проверки мобильного приложения.
    • CHAPV2 и EAP поддерживают телефонный звонок или уведомление мобильного приложения.

Управление клиентами RADIUS, для которых требуется MFA

Когда вы включаете для клиента RADIUS поддержку MFA с помощью расширения NPS, все сеансы проверки подлинности для этого клиента могут выполняться только с использованием MFA. Если вы хотите включить MFA только для отдельных клиентов RADIUS, настройте два сервера NPS и установите расширение только на один из них.

Затем настройте для клиентов RADIUS, которые должны использовать MFA, отправку запросов на сервер NPS, на котором установлено это расширение. Всех остальных клиентов RADIUS направьте на другой сервер NPS, для которого расширение не используется.

Подготовка к входу пользователей, не зарегистрированных для MFA

Если у вас есть пользователи, не зарегистрированные для MFA, вы можете выбрать действие, которое будет выполняться при попытке проверки подлинности. Для управления этим поведением используйте параметр реестра REQUIRE_USER_MATCH, расположенный в разделе HKLM\Software\Microsoft\AzureMFA. Здесь есть только один параметр конфигурации:

Клавиши Значение По умолчанию
REQUIRE_USER_MATCH True или false Не задано (эквивалентно значению True)

Этот параметр определяет, что делать, если пользователь не зарегистрировался для MFA. Если этот ключ не существует, не задан или имеет значение TRUE, то для незарегистрированного пользователя проверка MFA считается не пройденной.

Если этот ключ имеет значение FALSE, то для незарегистрированного пользователя проверка подлинности выполняется без MFA. Если пользователь зарегистрирован в службе MFA, он должен проходить аутентификацию с помощью MFA, даже если параметр REQUIRE_USER_MATCH имеет значение FALSE.

Вы можете создать этот ключ и присвоить ему значение FALSE, если пользователи подключаются, но еще не зарегистрированы для многофакторной проверки подлинности Azure AD. Однако такая настройка ключа разрешает вход всем пользователям, которые не зарегистрированы для MFA, поэтому этот ключ следует удалить до начала использования в рабочей среде.

Устранение неполадок

Скрипт проверки работоспособности расширения NPS

Следующий скрипт можно использовать для выполнения основных этапов проверки работоспособности при устранении неполадок расширения NPS.

MFA_NPS_Troubleshooter.ps1

Как проверить, правильно ли установлен сертификат клиента?

Найдите самозаверяющий сертификат, созданный установщиком в хранилище сертификатов, и убедитесь, что его закрытый ключ имеет разрешения, предоставленные пользователю NETWORK SERVICE. У этого сертификата имя субъекта-службы будет иметь значение CN <tenantid>, а OU — Microsoft NPS Extension.

Самозаверяющие сертификаты, созданные скриптом AzureMfaNpsExtnConfigSetup.ps1, имеют срок действия в два года. При проверке установки сертификата также следует убедиться, что срок действия сертификата не истек.

Как проверить, связан ли сертификат клиента с правильным клиентом в Azure AD?

Откройте командную строку PowerShell и выполните следующие команды:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Эти команды выводят в сеанс PowerShell все сертификаты, благодаря которым ваш клиент связывается с экземпляром расширения NPS. Экспортируйте сертификат клиента в файл в кодировке Base-64 X.509 (CER) без закрытого ключа и сравните его со списком в PowerShell, чтобы найти соответствие.

Следующая команда создаст файл с именем npscertificate в корне диска C: в формате CER.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

После выполнения этой команды перейдите в корневой каталог диска C: , найдите файл и дважды щелкните его. Перейдите к подробным сведениям и прокрутите вниз до раздела thumbprint (отпечаток). Сравните отпечаток сертификата, установленного на сервере, с этим значением. Отпечатки сертификатов должны совпадать.

Метки времени Valid-From и Valid-Until, которые имеют понятный для человека формат, позволят отфильтровать очевидные несоответствия, если команда возвращает более одного сертификата.

Почему не удается войти?

Проверьте, не истек ли срок действия пароля. Расширение NPS не поддерживает возможность изменения паролей при входе в систему. Обратитесь за дополнительной помощью к ИТ-специалистам вашей организации.

Почему запросы завершаются сбоем с ошибкой маркера ADAL?

Эта ошибка может быть вызвана одной из нескольких причин. Ниже приведена процедура устранения неполадок.

  1. Перезагрузите сервер политики сети.
  2. Убедитесь, что сертификат клиента установлен правильно.
  3. Убедитесь, что сертификат связан с клиентом в Azure AD.
  4. Убедитесь, что адрес https://login.microsoftonline.com/ доступен с сервера, на котором выполняется расширение.

Почему проверка подлинности завершается ошибкой, а в журналы HTTP заносится ошибка с сообщением о том, что пользователь не найден?

Убедитесь, что служба AD Connect запущена и что пользователь есть как в локальной среде AD DS, так и в Azure AD.

Почему в журналах отображаются ошибки подключения HTTP для всех попыток проверки подлинности?

Убедитесь, что адрес https://adnotifications.windowsazure.com доступен с сервера, на котором выполняется расширение NPS.

Почему аутентификация не работает, несмотря на наличие действительного сертификата?

Если срок действия предыдущего сертификата компьютера истек и был создан новый сертификат, удалите все сертификаты с истекшим сроком действия. Наличие сертификатов с истекшим сроком действия может вызвать проблемы с запуском расширения NPS.

Чтобы проверить наличие действительного сертификата, с помощью MMC просмотрите локальное хранилище сертификатов учетной записи компьютера и убедитесь, что срок действия сертификата не истек. Чтобы создать новый действительный сертификат, повторите шаги, приведенные в разделе Выполнение скрипта установщика PowerShell.

Почему в журналах сервера политики сети отображаются отклоненные запросы?

Если значение времени ожидания слишком мало, VPN-сервер может повторно отправлять запросы на NPS-сервер. Сервер политики сети обнаруживает эти дубликаты запросов и отклоняет их. Это ожидаемое поведение, которое не указывает на проблему с NPS-сервером или расширением NPS многофакторной проверки подлинности Azure AD.

Дополнительные сведения о том, почему отклоненные пакеты отображаются в журналах NPS-сервера, см. в разделе Работа протокола RADIUS и расширение NPS в начале этой статьи.

Управление протоколами TLS и SSL, а также комплектами шифров

Рекомендуем отключить или удалить прежние, менее надежные комплекты шифров (если они не требуются в организации). Соответствующие инструкции см. в статье, посвященной управлению протоколами SSL и TLS, а также комплектами шифров для AD FS.

Дополнительные сведения об устранении неполадок

Дополнительные инструкции по устранению неполадок и возможные решения см. в статье Устранение ошибок, связанных с расширением NPS для многофакторной проверки подлинности Azure AD.

Дальнейшие действия