运维开发网

网络 – 使用主机名而不是证书进行802.1x计算机身份验证

运维开发网 https://www.qedev.com 2020-03-03 11:49 出处:网络 作者:运维开发网整理
我的配置包括:Cisco ACS作为RADIUS服务器,MS AD,MS PKI,Cisco 2960G交换机.工作站是95%XP Pro SP3完全修补,一些7专业版完全打补丁. 计算机证书自动注册已启用并正常工作. GPO for 从工作站上的GPO生成的NIC设置: 交换机上的端口配置如下:  switchport access vlan 56  switchport模式访问  认证控制方向
我的配置包括:Cisco ACS作为RADIUS服务器,MS AD,MS PKI,Cisco 2960G交换机.工作站是95%XP Pro SP3完全修补,一些7专业版完全打补丁.

计算机证书自动注册已启用并正常工作.

GPO for

从工作站上的GPO生成的NIC设置:

交换机上的端口配置如下:

 switchport access vlan 56

 switchport模式访问

 认证控制方向

 身份验证事件失败动作授权vlan 66

 身份验证事件服务器死动作重新初始化vlan 56

 身份验证事件无响应动作授权vlan 66

 身份验证事件服务器活动重新初始化

 身份验证主机模式多身份验证

 身份验证端口控制自动

 认证违规保护

 马伯

 dot1x pae authenticator

 生成树portfast

我遇到的问题是,当计算机正在启动时,他们正在尝试使用其主机名而不是证书进行身份验证.这失败但是一分钟之后,他们使用计算机证书并且身份验证成功.配置工作(大多数情况下),但每隔一段时间我就会得到一台计算机(到目前为止大约250个dot1x设置),它尝试使用其主机名进行身份验证,然后停止.如果我重新启动有线autoconfig服务,它会完美地进行身份验证,但重新启动会重新创建问题.

这些错误出现在日志中也很烦人,因为它们的频率使我无法设置警报,以便在实际未经授权的计算机连接到网络时通知我.即过多的误报.

我的问题是,为什么工作站在配置它以使用其计算机证书时首先尝试使用其主机名进行身份验证?

 在无线方面,一切都很完美.思科AP和WLC.

编辑*我发现了一个修补程序KB957931,表明XP SP3在收到认证失败消息后将忽略dot1x流量20分钟.此修补程序允许您创建一个注册表项来修改此以前硬编码的设置.我将补丁应用到工作站并将阻塞时间更改为1分钟(最小值),现在,一分钟后工作站进行身份验证但不更新其IP.一分钟的等待是不理想的,也没有处理更新IP,所以我仍然很好的原始问题,这就是为什么盒子选择用自己的名字而不是证书来标识自己?

更新* 1/11/12我今天再次遇到这个问题并在客户端周围戳了一下.我注意到,在局域网连接的身份验证选项卡中,设置不再显示为灰色,并更改为使用密码而不是证书.我知道无论PC是否属于某个域,都会在启动时应用本地组策略,并且我知道我的域GPO会覆盖本地设置的任何内容.当PC由于某种原因(在这种情况下网络设备断电)无法进行身份验证时,它不再应用域策略,显然我的设置都会更改.我不确定他们为什么会改变,因为没有配置任何本地GPO.

因此,除了想要知道为什么PC在使用他们的证书之前用自己的主机名识别自己之外,我现在还有第二个问题.

如何使用dot1x设置在XP工作站上创建本地组策略(可用的默认模板中缺少这些策略)以及如何将这些策略推送到我的所有工作站?我已经研究过使用安全模板,但它们不包含我需要的设置.我需要应用计算机配置中的设置 – >政策 – > Windows设置 – >安全设置 – >系统服务. XP的本地GPO以及SCA管理单元都缺少最后一点.

应该注意的是,我已经有一个完美运行的域GPO.是不是有一种简单的方法来导出它并将其作为每个工作站的本地GPO应用?

对于任一问题的答案,将获得积分奖励.

我不确定这是解决方案,但我认为在重启过程中,机器正试图“太快”登录,其他服务允许支持使用证书而不是主机名.也许尝试将Netlogon服务设置为“自动(延迟启动)”?
0

精彩评论

暂无评论...
验证码 换一张
取 消