Remove From My Forums

关于Windows XP_sp3和Win7_sp1中的802.1x认证客户端无法基于“证书方式”验证

问题
0

登录进行投票

一：终端系统版本

1.Windows XP_sp3

2.Windows 7_sp1

二：两者出现的症状

1.如果两者基于MD5和用户口令的方式进行验证都没有问题，可以正常弹出验证汽包对话框。

2.如果终端选择基于证书验证方式，终端会立刻提示“系统无法让您连接到网络，请与管理员联系”（证书可用并且已导入到个人证书中）。

3.*出现该问题的终端只是一部分，系统都是一样的，有的系统使用时间长了，就出现了以上所描述的问题，现在只能恢复之前的备份来解决此问题，比较费事。

4.有的客户端用了一段时间之后，正常登陆到用户桌面之后会显示认证失败，必须重新禁用网卡在启用才能认证成功。

5.以我的观察，在进入用户桌面之后，将网卡禁用在启用，会立马提示“系统无法让您连接到网络，请与管理员联系”，如果客户端能正常发起验证，验证的时候会等待10来秒的时间，然后在提示这些反馈信息，如果系统没有导入用户证书，系统会提示“无法找到证书相关信息”，而目前是压根不提示也不等待验证时间，而是直接提示“系统无法让您连接到网络，请与管理员联系”，所以以为的推断，系统就没有调用用户证书才导致此问题。

三：希望得到解决思路

我想了解Windows终端的8.21x客户端在认证的时候使用了哪些插件，或者调取了系统里面的哪些参数（大概的就可以），这样即使以后出现了该问题，我可以针对性的对802.1x客户端进行修复，如重新安装补丁或者恢复802.1x默认的设置参数等

2015年1月15日 14:34

回复

|

引用

答案

0

登录进行投票
你好，

我能找到的相关文档就是下面这几个：

Understanding 802.1X authentication for wireless networks

http://technet.microsoft.com/en-us/library/cc759077(v=WS.10).aspx

Mitigating the Threats of Rogue Machines—802.1X or IPsec?

http://technet.microsoft.com/en-us/library/cc512611.aspx

此外，下次遇到验证问题的时候，我建议你在NPS server上查找相关的事件记录来找到问题发生的原因。

Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已建议为答案 Amy Wang_Moderator 2015年1月26日 13:03
- 已标记为答案 Amy Wang_Moderator 2015年1月27日 2:55
2015年1月16日 6:32

回复

|

引用

版主
0

登录进行投票
根據你的描述看, 問題與客戶端電腦無法訪問 CRL 分發點, 而導致證書驗證失敗有關.

建議你通過 eventvwr 檢查, 客戶端計算機的應用程序日誌中, 是否存在事件來源爲 userenv, 事件ID 爲 1054 的錯誤日誌(Windows 不能获得您的计算机网络的域控制器名称。(指定的域不存在，或无法联系。 )。组策略处理被放弃。)

當客戶端不能及時建立於域的連接, 導致無法查詢是否有新的組策略設置, 則會記錄如上信息.

如果你確實能夠找到類似的日誌, 那麼需要閱讀如下 Microsoft 支持

Event ID 5719 is logged when you start a Domain Member
https://support.microsoft.com/kb/938449/en-us

上述文章, 提示啓用交換機的 portfast 特性.
Folding@Home
- 已建议为答案 Amy Wang_Moderator 2015年1月26日 13:03
- 已标记为答案 Amy Wang_Moderator 2015年1月27日 2:55
2015年1月19日 2:29

回复

|

引用

全部回复

0

登录进行投票
你好，

我能找到的相关文档就是下面这几个：

Understanding 802.1X authentication for wireless networks

http://technet.microsoft.com/en-us/library/cc759077(v=WS.10).aspx

Mitigating the Threats of Rogue Machines—802.1X or IPsec?

http://technet.microsoft.com/en-us/library/cc512611.aspx

此外，下次遇到验证问题的时候，我建议你在NPS server上查找相关的事件记录来找到问题发生的原因。

Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已建议为答案 Amy Wang_Moderator 2015年1月26日 13:03
- 已标记为答案 Amy Wang_Moderator 2015年1月27日 2:55
2015年1月16日 6:32

回复

|

引用

版主
0

登录进行投票
根據你的描述看, 問題與客戶端電腦無法訪問 CRL 分發點, 而導致證書驗證失敗有關.

建議你通過 eventvwr 檢查, 客戶端計算機的應用程序日誌中, 是否存在事件來源爲 userenv, 事件ID 爲 1054 的錯誤日誌(Windows 不能获得您的计算机网络的域控制器名称。(指定的域不存在，或无法联系。 )。组策略处理被放弃。)

當客戶端不能及時建立於域的連接, 導致無法查詢是否有新的組策略設置, 則會記錄如上信息.

如果你確實能夠找到類似的日誌, 那麼需要閱讀如下 Microsoft 支持

Event ID 5719 is logged when you start a Domain Member
https://support.microsoft.com/kb/938449/en-us

上述文章, 提示啓用交換機的 portfast 特性.
Folding@Home
- 已建议为答案 Amy Wang_Moderator 2015年1月26日 13:03
- 已标记为答案 Amy Wang_Moderator 2015年1月27日 2:55
2015年1月19日 2:29

回复

|

引用

积极答复者

关于Windows XP_sp3和Win7_sp1中的802.1x认证客户端无法基于“证书方式”验证

问题

答案

全部回复