因此,我一直在尝试解决 802.1x 有线身份验证问题,但收效甚微。环境基于 Server 2012、使用 EAP-TLS1.2 的 Enterasys NAC,具有相对简单的 PKI 基础架构。我们运行的是 Windows 10 和 Windows 7,Windows 7 每次都能顺利进行身份验证。出于某种原因,Windows 10 计算机并不总是能正确进行身份验证。
由于我们有严格的 802.1x 策略,因此我们不允许 LDAP 或 HTTP 流量离开未经身份验证的端口,这在我看来是合理的。问题是客户端要么没有缓存 CRL/OCSP 结果,要么 lsass 进程忽略本地缓存并直接转到 CDP 服务器。
这一切应该都能正常工作,但它会间歇性地进行身份验证。我查看了数据包捕获,交换机发送证书的最后一部分后,就会查找 pki 服务器。我查看了系统、安全、eaphost、ndis、capi2、eapmethods-rastls、lsa、网络配置文件、nlasvc、wired-autoconfig 和应用程序日志。所有错误都没有提到任何有用的信息。
此外,除了失败的 PC 上的 OCSP 查找外,来自将进行身份验证的计算机和未进行身份验证的计算机的流量看起来完全相同。它们都运行相同的 Windows 10 Pro 映像,并且影响各种不同类型的硬件/不同的制造商。即使我从 Microsoft 的 1803 Pro iso 安装,也会发生这种情况。一旦我加入域并切换到 802.1x 强制网络,由于 CRL 检查,它会失败身份验证。
还值得注意的是,802.1x EAP-TLS1.2 在 WiFi 上运行良好,因为它不进行撤销检查。
任何帮助,将不胜感激!