我们的交换机接入端口和无线 AP 上启用了 802.1x 身份验证。RADIUS 请求被发送到 Server 2012R2 NPS 服务器。
此 NPS 服务器配置了两个网络策略:
通过 EAP-TLS 进行身份验证(使用由我们的 AD 证书颁发机构自动分发给所有加入 AD 域的机器的机器证书)- 优先级 #1
通过 PEAP 进行身份验证(这允许通过 AD 用户名进行身份验证,前提是用户属于特定安全组)- 优先级 #2
当 Android 或 IOS 设备连接到网络时,它会首先尝试 EAP-TLS 证书认证,然后当失败时会提示输入用户名/密码凭据。这是我们想要的行为。
但是,加入域的 Windows 10 计算机不会尝试 EAP-TLS 然后回退到 EAP-PEAP。只有当 NIC 上的“身份验证”选项卡从“智能卡或其他证书”更改为 EAP-PEAP 并指定“用户身份验证”时,它才会尝试 EAP-TLS。
我们希望 Windows 客户端能够像 Android/IOS 客户端一样运行。有人知道这种自动回退是否可行吗?