Windows NPS: Reason Code 268 Hatası ve Sertifika Yenileme Adımları

Kullanıcıların şifrelerini doğru girdiğinden emin olmanıza rağmen bu hata akmaya devam ediyorsa, log detaylarını biraz daha aşağı kaydırmanız gerekir. Authentication Details (Kimlik Doğrulama Detayları) bölümünde asıl suçluyu göreceksiniz:

Authentication Details:
	Connection Request Policy Name:	Use Windows authentication for all users
	Network Policy Name:		VLANXX
	Authentication Provider:		Windows
	Authentication Server:		NPSSRV.sirket.local
	Authentication Type:		PEAP
	EAP Type:			-
	Reason Code:			268
	Reason:				The received certificate has expired.

Kök Neden Analizi: PEAP ve Sertifika İlişkisi

Güvenli ağ yapılarında yaygın olarak kullanılan PEAP (Protected EAP) protokolü, iki aşamalı bir doğrulama yürütür:

  1. TLS Tüneli Kurulması: İstemci (PC/Telefon) ile NPS sunucusu arasında şifreli bir tünel kurulur. Bu tünelin kurulabilmesi için NPS sunucusu istemciye kendi kimliğini kanıtlayan bir Sunucu Sertifikası (Server Certificate) sunar.
  2. Kimlik Doğrulama: Tünel güvenli bir şekilde kurulduktan sonra, kullanıcı adı ve şifre (MS-CHAPv2) bu tünel içinden akarak doğrulanır.

Eğer NPS sunucusunun PEAP protokolüne bağladığı (bind ettiği) SSL/TLS sertifikasının süresi dolmuşsa (expired), istemci sunucuya güvenmeyi reddeder. TLS el sıkışması (handshake) başarısız olduğu için süreç ikinci aşamaya, yani şifre kontrolüne hiç geçemez. NPS ise süreci tamamlayamadığı için loglara jenerik bir “credentials mismatch” veya doğrudan “Reason Code 268” yansıtır.

Adım Adım Çözüm Rehberi

Bu sorunu çözmek için NPS sunucusu üzerindeki sertifikayı yenilemeli ve ilgili ağ politikasına (Network Policy) yeniden tanımlamalısınız.

Adım 1: Süresi Dolan Sertifikayı Doğrulayın

  1. NPS sunucunuzda NPS Konsolunu (nps.msc) açın.
  2. Sol menüden Policies (İlkeler) -> Network Policies (Ağ İlkeleri) yolunu izleyin.
  3. Hata logunda adı geçen ilgili politikaya (Örn: VLAN70) çift tıklayın.
  4. Constraints (Kısıtlamalar) sekmesine geçin ve sol menüden Authentication Methods seçeneğine tıklayın.
  5. Sağ taraftaki EAP Types kutusunda Microsoft: Protected EAP (PEAP) seçeneğini seçip Edit butonuna basın.
  6. Açılan küçük pencerede Certificate issued to alanında seçili olan sertifikayı ve hemen altındaki Expiration Date (Son Kullanma Tarihi) alanını kontrol edin. Sertifika süresinin dolduğunu buradan teyit edebilirsiniz.

Adım 2: Yeni Sertifika Talep Edin (Enrollment)

Active Directory ortamınızda bir iç Sertifika Otoritesi (AD CS) bulunuyorsa, sunucu için hızlıca yeni bir sertifika üretebilirsiniz:

  1. Windows + R tuş kombinasyonuyla Çalıştır’ı açıp certlm.msc yazarak Yerel Bilgisayar Sertifika Mağazası’nı açın.
  2. Personal (Kişisel) -> Certificates dizinine gidin. (Burada süresi biten eski sertifikanızı kırmızı pencereli veya tarihi geçmiş olarak görebilirsiniz).
  3. Boş bir yere sağ tıklayın: All Tasks -> Request New Certificate (Yeni Sertifika Talep Et).
  4. Sihirbazı takip ederek Active Directory Enrollment Policy altından ortamınıza uygun olan Computer veya NPS/RAS Server sertifika şablonunu seçip Enroll butonuna basın. Yeni sertifikanız başarıyla oluşturulacaktır.

Adım 3: Yeni Sertifikayı NPS Politikasına Bağlayın

  1. Tekrar NPS Konsoluna dönün ve Adım 1’de açtığınız VLANXX -> PEAP Properties ekranına gelin.
  2. Certificate issued to açılır listesine (dropdown) tıklayın.
  3. Az önce talep ettiğiniz, güncel son kullanma tarihine sahip yeni sertifikayı seçin.
  4. Önce Apply, ardından OK diyerek tüm pencereleri kaydedip kapatın.

Adım 4: NPS Servisini Yeniden Başlatın (Kritik)

NPS (IAS) servisi sertifikaları önbelleğe alır. Yaptığınız değişikliğin hemen devreye girmesi ve istemcilerin yeni sertifikayı görebilmesi için servisi yeniden başlatmanız gerekir.

PowerShell’i yönetici olarak açın ve şu komutu çalıştırın:

Restart-Service IAS -Force

Servis yeniden başladıktan sonra, switch veya kablosuz ağ üzerinden gelen RADIUS istekleri başarıyla doğrulanacak ve ağ erişimi normale dönecektir.

Geleceğe Yönelik Tavsiyeler & Best Practice

  • Sertifika Takibi (Monitoring): NPS sunucularında kullanılan sertifikaların sürelerini izlemek için PRTG, Zabbix gibi izleme araçlarına ilgili sertifika kontrol scriptlerini ekleyin.
  • Auto-Enrollment GPO: Bilgisayar sertifikalarının süreleri bitmeden otomatik olarak yenilenmesi için Active Directory üzerinde Public Key Policies – Certificate Services Client – Auto-Enrollment Grup İlkesini (GPO) aktif hale getirebilirsiniz. Ancak otomatik yenilenen sertifikalarda bile bazen NPS politikasında manuel olarak sertifikayı tekrar seçip servisi yeniden başlatmanız gerekebileceğini unutmayın.

Bu tür kritik ağ kesintilerinin önüne geçmek için sertifika sürelerinizi periyodik olarak kontrol etmeyi ihmal etmeyin!

Etiketler

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir