Cuestión : Autentificación sin hilos de configuración de la computadora con los certificados en Windows 7

Howdy todos - el

I tiene 10 ordenadores portátiles el funcionar con del profesional de Windows 7 que necesito desplegar.  Los ordenadores portátiles serán compartidos por los usuarios y serán sin hilos.  Tengo puntos de acceso de Cisco WAP4410N que apoyen WPA2-Enterprise y el RADIO authentication.

I quisiera utilizar certificados para authenticar las computadoras a la red inalámbrica antes de la conexión de los usuarios, valido a usuario que abre una sesión apenas como cualquier otra computadora del dominio que registraran en.   En caso que se robe o se pierda la computadora, quiero revocar los certificados publicados a la computadora para no poderla utilizar en mi red inalámbrica más.  También no quisiera que el usuario de Joe Q pudiera traer su ordenador portátil del hogar y conseguir en nuestra red inalámbrica de la compañía.     Básicamente si no los enviamos un dispositivo inalámbrico fijado para la red inalámbrica de la compañía, no quisiera que utilizaran que algo wirelessly.

I tienen bosque del directorio activo de Windows un solo, un solo dominio en el bosque nativo 2003 y niveles funcionales del dominio.   Tengo una C.C. de la edición estándar R2 de Windows 2008, una C.C. de la edición estándar R2 de Windows 2003 y una C.C. de la edición estándar de Windows 2003.  Los papeles de FSMO se comparten en las 2 2003 C.C. actual, los 3 son catálogos globales.   (dudar que esto diferencie para el problema pero que quiera salir los detalles allí, ningunos de éstos sea máquinas virtuales);  no tengo actual ningún problema de la conexión del dominio dondequiera en mi red, réplica estoy funcionando entre los 3 DCs.

I tengo una máquina configurada como autoridad interna de la certificación de la empresa que sea la Edición Empresarial 2008 R2.  El CA se autoriza en ANUNCIO y su llave pública del certificado firmado del uno mismo se despliega con GPO al almacén confiado en del certificado de la raíz en todas las máquinas unidas dominio.  He fijado/permití la aplicación auto el certificado de la autentificación V2 del sitio de trabajo que cuando la pido, parece trabajar.   La autoridad de la certificación es el único servicio que funciona en el

I del anfitrión (su virtual, sino él no debe diferenciar) para haber fijado un caso del estándar R2 del servidor 2008 de Windows con NPS y para haber utilizado al mago para comenzar la configuración para la autentificación sin hilos 802.1x.   También publiqué el servidor de NPS un certificado de la NIC/del radio de mi CA interno.  He configurado uno de los puntos de acceso (el único que estoy fijando hasta ahora) como cliente del radio y asegurado que los fósforos secretos compartidos en el dispositivo y el servidor, el WAP tengan el IP apropiado de los parásitos atmosféricos y viceversa para el
On del radio client.
de NPS mi política de la petición de conexión de NPS, tengo 2 reglas - conexiones sin hilos del
Secure - el @priority permitido 1 - el tipo portuario radio de la NAS - otro o IEEE sin hilos 802.11, la computadora local como la autentificación del abastecedor y de la invalidación de la autentificación es autentificación de disabled.
Use Windows para todos los usuarios - tiene algunos restructions del día y del tiempo que cantidad de 7 00:00 de la semana del pwer de los días - 24: 00 con el abastecedor de la autentificación en las políticas locales de la red de computer.




Under allí son 4 reglas: el
1 - computadoras del dominio - máquina agrupa:   computadoras del leepdc \ del dominio, leepdc de los grupos de usuario \ usuarios del dominio - concediendo el access
2 de la red - radio segura - el tipo portuario de la NAS como radio otra o IEEE sin hilos 802.11, los usuarios o las computadoras del dominio, tipo del auth = PEAP del dominio de los grupos de las ventanas, permitió EAP:  La tarjeta inteligente o el certificado del ms, o la tarjeta inteligente o el otro CERT, grupo del ms PEAP- de la máquina:  computadoras del dominio.   En fósforo, se definen las políticas sanitarias completas de la red access.

No o los servidores de la remediación (apenas estoy buscando el RADIO realmente, no SIESTA). la prueba/depuración, los cortafuegos del

For en la caja del CA y de NPS es totalmente lisiada.  He asegurado la comunicación entre los servidores del CA y de NPS además del WAP.  


So ahora que estoy intentando configurar las ventanas 7 máquinas a la autentificación sin hilos en el nivel de la máquina/de la computadora y después permitir que cualquier usuario del dominio abra una sesión.   Me he asegurado de que el servicio auto de los config de WLAN es comenzado y de funcionamiento, yo he creado un perfil sin hilos de la conexión con el nombre de SSID en mi punto de acceso (que es bastidor amplio).  Las características son como sigue: el
- conecta automáticamente cuando red en el range
connect incluso si la red no está difundiendo el tipo de la seguridad de SSID
-:  Tipo de la encripción de WPA2-Enterprise
-:  Método del authenticaiton de la red de AES
-:  EAP protegidos ms (PEAP), recuerdan las credenciales,
-- bajo ajustes estoy validando el certificado de servidor y he comprobado mi certificado de CA interno.   el método de autentificación es la tarjeta inteligente o el otro certificado usar un certificado en esta computadora con la selección simple del certificado del uso y otra vez, ha seleccionado mi CA interno en la raíz confiada en authorities.
- rápidamente vuelve a conectar es ajustes avanzados/>Under del checked


Under 802.11, yo he dejado los defectos de permito el caching


Using de la llave principal del pairewise el broche de presión local de los certificados del MMC adentro, yo tengo un certificado de la autentificación del sitio de trabajo con las características para la autentificación de cliente en el almacén personal de los certificados debajo de el contexto de la computadora (y han intentado bajo contexto del usuario también), en el caso de este ordenador portátil de la prueba, cada contexto tiene el certificate.

When que intento conectar, consigo un baloon hago estallar para arriba diciéndome que un certificado está requerido al conneect a mi SSID y entrar en contacto con a mi administrador.  Me nunca presentan con una opción para escoger un certificate.

I he intentado usar el trazo fijado los ras del netsh * permitido durante atttemtps de la conexión asir una cierta información de registración adicional.   De acuerdo con el repaso de los ficheros de diario, el que está con la información más relevante (que puedo determinar) es el %systemroot% \ trazado \ svchost_RASTLS.log que he incluido la última salida del certificado de below.

The desmenuza en el registro corresponde a los certificados publicados en el almacenaje informático.   Tan está encontrando eso pero no usar clase de them.

I realmente de stumped, y no seguro donde estoy fallando - tipo incorrecto de certificado, la política mis de NPS configurada o cliente misconfigured.    ¡Siento que puesto que el cliente ve la red y me me dice necesitar un certificado válido, yo estoy muy cercano y tengo algo mis-configured.

I puede elabortate fomentar en configuraciones unas de los si es necesario pero esperanzadamente el antedicho ha proporcionado bastante detalle para un resumen de las porciones relevantes de mi network.

Suggestions apreciado grandemente!

Mark L.
 class= > " claro " del
> del " codeSnippet " del class= del
class= " lineNumbers " del
class= del 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
class= " del id= " codeSnippet714577 del 
 [5112] 16:47 06-13: 42: 673: EAP-TLS usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673:  Los certificados firmados del uno mismo no serán seleccionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PEAP aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PeapGetIdentity volvió la identidad como host/LAPTOPT
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: EAP-TLS usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673:  Los certificados firmados del uno mismo no serán seleccionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PEAP aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PeapReadConnectionData
[5112] 16:47 06-13: 42: 673: IsIdentityPrivacyInPeapConnPropValid
[5112] 16:47 06-13: 42: 673: PeapReadUserData
[5112] 16:47 06-13: 42: 673: Ningún Credentails pasajero
[5112] 16:47 06-13: 42: 673: RasEapGetInfo
[5112] 16:47 06-13: 42: 673: EAP-TLS usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673:  Los certificados firmados del uno mismo no serán seleccionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PEAP aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PeapReDoUserData
[5112] 16:47 06-13: 42: 673: EAP-TLS usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673:  Los certificados firmados del uno mismo no serán seleccionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PEAP aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: EapTlsInvokeIdentityUI
[5112] 16:47 06-13: 42: 673: Banderas de GetCertInfo: 0x100a2
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: De uso múltiple: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: El número de EKUs en el CERT es 1
[5112] 16:47 06-13: 42: 673: El CERT tiene CDP pero no tiene extensión de AIA OCSP
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: De uso múltiple: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: El número de EKUs en el CERT es 3
[5112] 16:47 06-13: 42: 673: El CERT tiene CDP pero no tiene extensión de AIA OCSP
[5112] 16:47 06-13: 42: 673: CERT encontrado de la máquina basado en el machinename, auth del cliente,
 validez del tiempo.
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert hecho.
[5112] 16:47 06-13: 42: 673: Consiguió el CERT de la máquina del defecto
[5112] 16:47 06-13: 42: 673: Certificado con éxito conseguido. El picadillo sigue
[5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z.
… C]. |
[5112] 16:47: 42: 673: EC 9A 45 1E 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........
...... |
[5112] 16:47 06-13: 42: 673: EAP-TLS usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673:  Los certificados firmados del uno mismo no serán seleccionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PEAP aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PeapGetIdentity volvió la identidad como host/LAPTOPT
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: EAP-TLS usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673:  Los certificados firmados del uno mismo no serán seleccionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceptará el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP usar el CERT de uso múltiple
[5112] 16:47 06-13: 42: 673: PEAP aceptará el CERT de uso múltiple
class= del

Respuesta : Autentificación sin hilos de configuración de la computadora con los certificados en Windows 7

Técnico no hay cosa tal como el autoenrollment del usuario. Pero hay aros que usted puede saltar a través para conseguir algo muy similar. En la mayoría de los casos sin embargo, encuentro que usted puede conseguir lejos sin los certificados del usuario en conjunto. Ver si esto trabaja:

En su servidor de NPS, tomar su política de la red y quitar a usuarios grupo de seguridad. Esa política *only* se aplicará a los sitios de trabajo.

Crear otra política que sea un duplicado de el arriba, pero agregar el *only* el grupo de seguridad del usuario. En la sección de la autentificación de PEAP, quitar las tarjetas inteligentes y agregar MS-CHAP v2. Eso permitirá la autentificación de contraseña para los usuarios.

finalmente, en los clientes, en los ajustes avanzados PEAP, permitir los certificados y MS-CHAP v2. Puesto que NPS no permitirá MS-CHAPv2 para las cuentas de la computadora (debido a la política de la red arriba) y NPS no permitirá la autentificación del certificado para las cuentas de usuario (debido a la nueva política que creamos) usted consigue el efecto neto de los dos esquemas del authenticaton que están mutuamente - exclusiva, aunque él ambos se selecciona en el cliente.

Si todo está trabajando suavemente, ése debe darle el efecto deseado sin requerir panoramas repugnantes de la gerencia de certificado.
Otras soluciones  
 
programming4us programming4us