none
关于Windows XP_sp3和Win7_sp1中的802.1x认证客户端无法基于“证书方式”验证 RRS feed

  • 问题

  • 一:终端系统版本

    1.Windows XP_sp3

    2.Windows 7_sp1

    二:两者出现的症状

    1.如果两者基于MD5和用户口令的方式进行验证都没有问题,可以正常弹出验证汽包对话框。

    2.如果终端选择基于证书验证方式,终端会立刻提示“系统无法让您连接到网络,请与管理员联系”(证书可用并且已导入到个人证书中)。

    3.*出现该问题的终端只是一部分,系统都是一样的,有的系统使用时间长了,就出现了以上所描述的问题,现在只能恢复之前的备份来解决此问题,比较费事。

    4.有的客户端用了一段时间之后,正常登陆到用户桌面之后会显示认证失败,必须重新禁用网卡在启用才能认证成功。

    5.以我的观察,在进入用户桌面之后,将网卡禁用在启用,会立马提示“系统无法让您连接到网络,请与管理员联系”,如果客户端能正常发起验证,验证的时候会等待10来秒的时间,然后在提示这些反馈信息,如果系统没有导入用户证书,系统会提示“无法找到证书相关信息”,而目前是压根不提示也不等待验证时间,而是直接提示“系统无法让您连接到网络,请与管理员联系”,所以以为的推断,系统就没有调用用户证书才导致此问题。

    三:希望得到解决思路

    我想了解Windows终端的8.21x客户端在认证的时候使用了哪些插件,或者调取了系统里面的哪些参数(大概的就可以),这样即使以后出现了该问题,我可以针对性的对802.1x客户端进行修复,如重新安装补丁或者恢复802.1x默认的设置参数等

    2015年1月15日 14:34

答案

  • 你好,

    我能找到的相关文档就是下面这几个:

    Understanding 802.1X authentication for wireless networks

    http://technet.microsoft.com/en-us/library/cc759077(v=WS.10).aspx

    Mitigating the Threats of Rogue Machines—802.1X or IPsec?

    http://technet.microsoft.com/en-us/library/cc512611.aspx

    此外,下次遇到验证问题的时候, 我建议你在NPS server上查找相关的事件记录来找到问题发生的原因。

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年1月16日 6:32
    版主
  • 根據你的描述看, 問題與客戶端電腦無法訪問 CRL 分發點, 而導致證書驗證失敗有關.

    建議你通過 eventvwr 檢查, 客戶端計算機的應用程序日誌中, 是否存在事件來源爲 userenv, 事件ID 爲 1054 的錯誤日誌(Windows 不能获得您的计算机网络的域控制器名称。(指定的域不存在,或无法联系。 )。组策略处理被放弃。)

    當客戶端不能及時建立於域的連接, 導致無法查詢是否有新的組策略設置, 則會記錄如上信息.

    如果你確實能夠找到類似的日誌, 那麼需要閱讀如下 Microsoft 支持

    Event ID 5719 is logged when you start a Domain Member
    https://support.microsoft.com/kb/938449/en-us

    上述文章, 提示啓用交換機的 portfast 特性.


    Folding@Home

    2015年1月19日 2:29

全部回复

  • 你好,

    我能找到的相关文档就是下面这几个:

    Understanding 802.1X authentication for wireless networks

    http://technet.microsoft.com/en-us/library/cc759077(v=WS.10).aspx

    Mitigating the Threats of Rogue Machines—802.1X or IPsec?

    http://technet.microsoft.com/en-us/library/cc512611.aspx

    此外,下次遇到验证问题的时候, 我建议你在NPS server上查找相关的事件记录来找到问题发生的原因。

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年1月16日 6:32
    版主
  • 根據你的描述看, 問題與客戶端電腦無法訪問 CRL 分發點, 而導致證書驗證失敗有關.

    建議你通過 eventvwr 檢查, 客戶端計算機的應用程序日誌中, 是否存在事件來源爲 userenv, 事件ID 爲 1054 的錯誤日誌(Windows 不能获得您的计算机网络的域控制器名称。(指定的域不存在,或无法联系。 )。组策略处理被放弃。)

    當客戶端不能及時建立於域的連接, 導致無法查詢是否有新的組策略設置, 則會記錄如上信息.

    如果你確實能夠找到類似的日誌, 那麼需要閱讀如下 Microsoft 支持

    Event ID 5719 is logged when you start a Domain Member
    https://support.microsoft.com/kb/938449/en-us

    上述文章, 提示啓用交換機的 portfast 特性.


    Folding@Home

    2015年1月19日 2:29