Meine Konfiguration umfasst: Cisco ACS als RADIUS-Server, MS AD-, MS PKI- und Cisco 2960G-Switches. Workstations sind zu 95% XP Pro SP3 vollständig gepatcht, einige 7 Pro sind vollständig gepatcht.
Die automatische Registrierung von Computerzertifikaten ist aktiviert und funktioniert.
Gruppenrichtlinienobjekt für
Resultierende NIC-Einstellungen vom Gruppenrichtlinienobjekt auf der Workstation:
Die Portkonfiguration auf den Switches lautet wie folgt:
Switchport-Zugriff vlan 56-
Switchport-Modus Zugriffsauthentifizierungssteuerungsrichtung
in
Authentifizierungsereignis fehlgeschlagene Aktion autorisieren vlan 66-
Authentifizierungsereignisserver tote Aktion vlan 56-
Authentifizierungsereignis neu initialisieren Aktion ohne Antwort autorisieren vlan 66-
Authentifizierungsereignisserver-Aktion aktiv Neuinitialisierung der
Authentifizierung Host-Modus Multi-Auth-
Authentifizierung Port-Control
Verletzung der automatischen Authentifizierung schützen
mab
dot1x pae Authentifikator
Spanning-Tree Portfast
Das Problem, das ich habe, ist, dass Computer beim Booten versuchen, sich mit ihrem Hostnamen und nicht mit ihrem Zertifikat zu authentifizieren. Dies schlägt fehl, aber eine Minute später verwenden sie das Computerzertifikat und die Authentifizierung ist erfolgreich. Die Konfiguration funktioniert (meistens), aber hin und wieder bekomme ich einen Computer (ca. 250 Setup für dot1x), der versucht, sich mit seinem Hostnamen zu authentifizieren, der fehlschlägt und dann stoppt. Wenn ich den kabelgebundenen Autokonfigurationsdienst neu starte, wird er perfekt authentifiziert, aber ein Neustart führt zu einem erneuten Problem.
Es ist auch sehr ärgerlich, dass diese Fehler in den Protokollen angezeigt werden, da ich aufgrund ihrer Häufigkeit keine Warnungen einrichten kann, um mich zu benachrichtigen, wenn ein tatsächlich nicht autorisierter Computer mit dem Netzwerk verbunden wurde. dh zu viele Fehlalarme.
Meine Frage ist, warum die Workstation zuerst versucht, sich mit ihrem Hostnamen zu authentifizieren, wenn ich sie für die Verwendung ihres Computerzertifikats konfiguriert habe.
Auf der drahtlosen Seite funktioniert alles perfekt. Cisco APs und WLCs.
BEARBEITEN * Ich habe einen Hotfix KB957931 gefunden, der angibt, dass XP SP3 den dot1x-Verkehr 20 Minuten lang ignoriert, nachdem eine Authentifizierungsfehlermeldung empfangen wurde. Mit dem Hotfix können Sie einen Registrierungsschlüssel erstellen, um diese zuvor fest codierte Einstellung zu ändern. Ich habe den Patch auf eine Workstation angewendet und die Blockierungszeit auf 1 Minute (das Minimum) geändert. Nach einer Minute authentifiziert sich die Workstation zwar, erneuert jedoch nicht ihre IP-Adresse. Das Warten von einer Minute ist weder ideal noch befasst es sich mit der Erneuerung der IP, sodass ich immer noch mit der ursprünglichen Frage gut zurechtkomme. Warum identifiziert sich die Box mit ihrem Namen anstelle ihres Zertifikats?
UPDATE * 11.01.12 Ich bin heute wieder auf dieses Problem gestoßen und habe mich beim Client umgesehen . Ich habe festgestellt, dass auf der Registerkarte "Authentifizierung" der lokalen Netzwerkverbindung die Einstellungen nicht mehr abgeblendet und geändert wurden, um Kennwörter anstelle von Zertifikaten zu verwenden. Ich weiß, dass beim Booten lokale Gruppenrichtlinien angewendet werden, unabhängig davon, ob der PC zu einer Domäne gehört oder nicht, und ich weiß, dass mein Gruppen-Gruppenrichtlinienobjekt alles überschreibt, was lokal festgelegt wurde. Wenn sich der PC aus irgendeinem Grund nicht authentifizieren kann (in diesem Fall ein Stromausfall des Netzwerkgeräts), werden die Domänenrichtlinien nicht mehr angewendet, und anscheinend werden alle meine Einstellungen geändert. Ich bin nicht sicher, warum sie sich ändern, da nie lokale Gruppenrichtlinienobjekte konfiguriert wurden.
Ich möchte also nicht nur wissen, warum sich PCs mit ihrem Hostnamen identifizieren, bevor sie ihr Zertifikat verwenden, sondern auch eine zweite Frage.
Wie erstelle ich eine lokale Gruppenrichtlinie auf XP-Arbeitsstationen mit den dot1x-Einstellungen (sie fehlen in den verfügbaren Standardvorlagen) und wie kann ich diese auf alle meine Arbeitsstationen übertragen? Ich habe versucht, Sicherheitsvorlagen zu verwenden, aber sie enthalten nicht die Einstellungen, die ich benötige. Ich muss Einstellungen über Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Systemdienste anwenden. Das letzte Bit fehlt sowohl in lokalen Gruppenrichtlinienobjekten unter XP als auch im SCA-Snap-In.
Es ist zu beachten, dass ich bereits ein Domänen-Gruppenrichtlinienobjekt habe, das einwandfrei funktioniert. Gibt es nicht eine einfache Möglichkeit, dies zu exportieren und als lokales Gruppenrichtlinienobjekt für jede Workstation anzuwenden?
Für die Beantwortung einer der beiden Fragen werden volle Punkte vergeben.
quelle
Antworten:
Ich weiß nicht genau, ob dies die Lösung ist, aber ich denke, dass der Computer beim Neustart versucht, sich "zu früh" vor den anderen Diensten anzumelden, die die Verwendung des Zertifikats anstelle des Zertifikats unterstützen Hostname. Versuchen Sie vielleicht, den Netlogon-Dienst auf "Automatisch (verzögerter Start)" zu setzen?
quelle