我正在使用 2008 r2 dc,它也执行 Radius (NPS),我还有一个 2008 r2 证书颁发机构,它正在颁发证书。计算机正在获取证书,当用户登录设备时(之前已登录),将被放入正确的 VLAN(根据用户访问权限)。但是,我无法让计算机在登录之前加入无线网络,以便他们可以使用其域帐户登录并通过无线网络进行身份验证。基本设置是计算机获取组策略,该策略告诉它获取证书,然后计算机有一个单独的 VLAN 可以作为计算机帐户加入,但是无线计算机不会通过该 VLAN 连接。(此 VLAN 仅允许登录信息,然后一旦用户凭据得到验证,它就会将它们放入另一个 VLAN)。
因此,我想弄清楚为什么笔记本电脑不能像计算机一样自动连接到无线网络。
谢谢
忘了提及 Win 7 ent 客户端。
编辑:我已成功完成此操作,但我遇到的问题是,如果某人(例如 iPhone)没有证书,系统会提示他们是否要接受证书,一旦您选择接受,它就会允许您加入网络。我曾尝试让您的设备必须属于某个组,但是当发生这种情况时,即使是正确组中的有效计算机也无法加入。有其他人遇到过这种情况吗?
答案1
如果笔记本电脑有英特尔 proset wifi 卡,那么您可以通过管理工具使用“英特尔 proset 无线预登录连接”。它允许您创建一个大约 100KB 的可执行文件,该可执行文件应用一个或多个可以在 Windows 登录之前对 WAP 进行身份验证的无线配置文件。我这样做了,并通过组策略将其推送出去,这样我就可以在任何用户登录之前通过 VNC 连接到 Windows 7 工作站。我使用的是预共享密钥,但我记得在手册中也看到了 radius 说明。
答案2
您是否混淆了 WLAN 和 VLAN?无线客户端通常可以决定使用哪个无线局域网它们会加入(基于 SSID),但是虚拟局域网标记通常不会暴露给无线客户端。通常由 AP 结合 WLAN 控制器(如果有)和 RADIUS(或其他 AAA)服务器来决定当 AP 将客户端流量桥接到线路上时应使用哪个 VLAN ID 来标记该客户端流量。
因此,如果客户未能尝试加入正确的无线局域网(SSID),这可能是客户端配置错误的标志。但如果他们的流量被标记为错误的 VLAN ID,则可能是网络基础设施存在问题。
当然,如果 SSID 和 VLAN 之间有 1:1 映射,那么我的观点就毫无意义了。
编辑:还有一个想法:您的 RADIUS 服务器上是否启用了 EAP-TLS(又称“智能卡或其他证书”)身份验证并使其正常工作?因为如果您一直通过另一种 EAP 类型(例如 PEAP)对用户进行身份验证,则可能是您尚未启动并运行 EAP-TLS。您可以尝试使用用户证书以用户身份进行身份验证,以检查 EAP-TLS 是否正常工作。