我的配置包括:Cisco ACS 作为 RADIUS 服务器、MS AD、MS PKI、Cisco 2960G 交换机。工作站 95% 已完全修补 XP Pro SP3,部分 7 pro 已完全修补。
计算机证书自动注册已启用并正常运行
。GPO
工作站上 GPO 产生的 NIC 设置:
交换机上的端口配置如下:
switchport access vlan 56
switchport mode access
authentication control-direction in
authentication event fail action authorize vlan 66
authentication event server dead action reinitialize vlan 56
authentication event no-response action authorize vlan 66
authentication event server alive action reinitialize
authentication host-mode multi-auth
authentication port-control auto
authentication violence protect
mab
dot1x pae authenticator
spanning-tree portfast
我遇到的问题是,当机器启动时,它们会尝试使用主机名而不是证书进行身份验证。这会失败,但一分钟后,它们会使用计算机证书,身份验证成功。配置工作正常(大部分情况下),但偶尔我会遇到一台计算机(到目前为止,dot1x 的设置约为 250 台)尝试使用其主机名进行身份验证,但失败后停止。如果我重新启动有线自动配置服务,它会完美地进行身份验证,但重新启动会重新出现问题。
这些错误出现在日志中也非常烦人,因为它们出现的频率使我无法设置警报,以便在实际未经授权的计算机连接到网络时通知我。即太多误报。
我的问题是,当我将工作站配置为使用其计算机证书时,为什么工作站会首先尝试使用其主机名进行身份验证?
在无线方面,一切都运行正常。思科 AP 和 WLC。
编辑* 我找到了一个修补程序 KB957931,它表明 XP SP3 在收到身份验证失败消息后将忽略 dot1x 流量 20 分钟。此修补程序允许您创建注册表项来修改此先前硬编码的设置。我将补丁应用到工作站并将阻止时间更改为 1 分钟(最小值),现在,一分钟后工作站会进行身份验证但不会更新其 IP。一分钟的等待并不理想,处理更新 IP 也不理想,所以我仍然对最初的问题很满意,那就是为什么盒子选择用它的名字而不是它的证书来标识自己?
更新* 1/11/12我今天又遇到了这个问题,并对客户端进行了一些研究。我注意到在局域网连接的身份验证选项卡中,设置不再是灰色的,而是改为使用密码而不是证书。我知道无论 PC 是否属于域,启动时都会应用本地组策略,并且我知道我的域 GPO 会覆盖本地设置的任何内容。当 PC 由于某种原因(在这种情况下是网络设备电源故障)无法进行身份验证时,它不再应用域策略,显然我的设置全部被更改。我不确定它们为什么要更改,因为从未配置过本地 GPO。
所以,除了想知道为什么 PC 在使用证书之前使用主机名来标识自己之外,我现在还有第二个问题。
如何在具有 dot1x 设置的 XP 工作站上创建本地组策略(它们在可用的默认模板中缺失)以及如何将它们推送到我的所有工作站?我研究过使用安全模板,但它们不包含我需要的设置。我需要应用“计算机配置”->“策略”->“Windows 设置”->“安全设置”->“系统服务”中的设置。XP 上的本地 GPO 和 SCA 管理单元都缺少最后一点。
应该注意的是,我已经有一个运行良好的域 GPO。有没有一种简单的方法可以将其导出并应用为每个工作站的本地 GPO?
回答任何一个问题都会获得满分。
答案1
我不确定这是否是解决方案,但我认为在重新启动过程中,机器试图“过早”登录,早于允许使用证书而不是主机名的其他服务。也许尝试将 Netlogon 服务设置为“自动(延迟启动)”?