积极答复者
关于Windows XP_sp3和Win7_sp1中的802.1x认证客户端无法基于“证书方式”验证

问题
-
一:终端系统版本
1.Windows XP_sp3
2.Windows 7_sp1
二:两者出现的症状
1.如果两者基于MD5和用户口令的方式进行验证都没有问题,可以正常弹出验证汽包对话框。
2.如果终端选择基于证书验证方式,终端会立刻提示“系统无法让您连接到网络,请与管理员联系”(证书可用并且已导入到个人证书中)。
3.*出现该问题的终端只是一部分,系统都是一样的,有的系统使用时间长了,就出现了以上所描述的问题,现在只能恢复之前的备份来解决此问题,比较费事。
4.有的客户端用了一段时间之后,正常登陆到用户桌面之后会显示认证失败,必须重新禁用网卡在启用才能认证成功。
5.以我的观察,在进入用户桌面之后,将网卡禁用在启用,会立马提示“系统无法让您连接到网络,请与管理员联系”,如果客户端能正常发起验证,验证的时候会等待10来秒的时间,然后在提示这些反馈信息,如果系统没有导入用户证书,系统会提示“无法找到证书相关信息”,而目前是压根不提示也不等待验证时间,而是直接提示“系统无法让您连接到网络,请与管理员联系”,所以以为的推断,系统就没有调用用户证书才导致此问题。
三:希望得到解决思路
我想了解Windows终端的8.21x客户端在认证的时候使用了哪些插件,或者调取了系统里面的哪些参数(大概的就可以),这样即使以后出现了该问题,我可以针对性的对802.1x客户端进行修复,如重新安装补丁或者恢复802.1x默认的设置参数等
答案
-
你好,
我能找到的相关文档就是下面这几个:
Understanding 802.1X authentication for wireless networks
http://technet.microsoft.com/en-us/library/cc759077(v=WS.10).aspx
Mitigating the Threats of Rogue Machines—802.1X or IPsec?
http://technet.microsoft.com/en-us/library/cc512611.aspx
此外,下次遇到验证问题的时候, 我建议你在NPS server上查找相关的事件记录来找到问题发生的原因。
Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已建议为答案 Amy Wang_Moderator 2015年1月26日 13:03
- 已标记为答案 Amy Wang_Moderator 2015年1月27日 2:55
-
根據你的描述看, 問題與客戶端電腦無法訪問 CRL 分發點, 而導致證書驗證失敗有關.
建議你通過 eventvwr 檢查, 客戶端計算機的應用程序日誌中, 是否存在事件來源爲 userenv, 事件ID 爲 1054 的錯誤日誌(Windows 不能获得您的计算机网络的域控制器名称。(指定的域不存在,或无法联系。 )。组策略处理被放弃。)
當客戶端不能及時建立於域的連接, 導致無法查詢是否有新的組策略設置, 則會記錄如上信息.
如果你確實能夠找到類似的日誌, 那麼需要閱讀如下 Microsoft 支持
Event ID 5719 is logged when you start a Domain Member
https://support.microsoft.com/kb/938449/en-us上述文章, 提示啓用交換機的 portfast 特性.
Folding@Home
- 已建议为答案 Amy Wang_Moderator 2015年1月26日 13:03
- 已标记为答案 Amy Wang_Moderator 2015年1月27日 2:55
全部回复
-
你好,
我能找到的相关文档就是下面这几个:
Understanding 802.1X authentication for wireless networks
http://technet.microsoft.com/en-us/library/cc759077(v=WS.10).aspx
Mitigating the Threats of Rogue Machines—802.1X or IPsec?
http://technet.microsoft.com/en-us/library/cc512611.aspx
此外,下次遇到验证问题的时候, 我建议你在NPS server上查找相关的事件记录来找到问题发生的原因。
Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已建议为答案 Amy Wang_Moderator 2015年1月26日 13:03
- 已标记为答案 Amy Wang_Moderator 2015年1月27日 2:55
-
根據你的描述看, 問題與客戶端電腦無法訪問 CRL 分發點, 而導致證書驗證失敗有關.
建議你通過 eventvwr 檢查, 客戶端計算機的應用程序日誌中, 是否存在事件來源爲 userenv, 事件ID 爲 1054 的錯誤日誌(Windows 不能获得您的计算机网络的域控制器名称。(指定的域不存在,或无法联系。 )。组策略处理被放弃。)
當客戶端不能及時建立於域的連接, 導致無法查詢是否有新的組策略設置, 則會記錄如上信息.
如果你確實能夠找到類似的日誌, 那麼需要閱讀如下 Microsoft 支持
Event ID 5719 is logged when you start a Domain Member
https://support.microsoft.com/kb/938449/en-us上述文章, 提示啓用交換機的 portfast 特性.
Folding@Home
- 已建议为答案 Amy Wang_Moderator 2015年1月26日 13:03
- 已标记为答案 Amy Wang_Moderator 2015年1月27日 2:55