我们的网站存在这个问题已经一年多了......(时断时续)。
通过网络 MAB 身份验证对计算机进行 PXE 映像处理后,映像处理正常完成,但是一旦它通过映像处理期间创建的计算机帐户进入域,它就会停止对域进行身份验证。
我们对计算机的印象如下:
(1.)将计算机带到服务台进行映像处理(或重新映像),然后他们使用计算机的 MAC 地址在 Active Directory 中创建 MAB。
(2.) MAB 帐户被添加到 AD 中的 Baseline VLAN 安全组,以便当计算机尝试启动到 PXE 时,它会通过正确的 MAB 进行身份验证,通过 DHCP 获取 IP 等。
(3.) 一旦 PXE 和 SCCM 映像处理完成,它就会通过专门为将计算机添加到域而创建的服务帐户将计算机添加到域。凭据内置于映像处理中(以某种方式)。
然后,在它完成映像处理过程并添加到域后不久,某些东西触发 NPS 不验证计算机帐户,我们认为这可能与 802.1x 有关。
以下是 NPS 服务器日志的片段,其中公司帐户身份验证失败...
用户:
Security ID: NULL SID
Account Name: host/[hostname given during image].domain.com
客户端机器:
Security ID: NULL SID
网络存储
[blah blah, switch info]
RADIUS 客户端:
[more switch & VLAN info...which is correct]
身份验证详细信息:
Connection Request Policy Name: Wired Connection
...[leaving a lot of things blank to avoid verbosity]...
Reason Code: 7
Reason: The specified domain does not exist.
以下是我的问题:
-我们如何缩小范围以确定它是否与 802.1x 有关?策略是在 NPS 和端口内设置的,首先通过 802.1x 进行身份验证,如果失败则尝试 MAB。
-该原因代码是否表示 NPS 服务器无法找到与该主机名关联的帐户?是否表示计算机未将正确的凭据传递给 NPS?
答案1
一些成功案例:
我们发现,思科交换机上 802.1x/MAB 身份验证的故障转移机制在我们测试的其中一个端口上设置不正确。这就可以解释为什么 NPS 日志反复显示 MAB 身份验证正确,但 802.1x 从未成功。
果然,我们进入交换机,进行了更改,并将交换机中的身份验证顺序设置为“dot1x MAB”……从那以后,它一直运行良好。我们继续测试其他计算机以确认这是解决方案,但看起来我们做得很好。
谢谢!