Question : Authentification sans fil de configuration d'ordinateur avec des certificats dans Windows 7

Allo tous - le

I ont 10 ordinateurs portables courir le professionnel de Windows 7 que je dois me déployer.  Des ordinateurs portables seront partagés par des utilisateurs et ils seront sans fil.  J'ai des points d'accès de Cisco WAP4410N qui soutiennent WPA2-Enterprise et le RAYON authentication.

I voudrait employer des certificats pour authentifier les ordinateurs au réseau sans fil avant ouverture d'utilisateurs, valide l'utilisateur ouvrant une session juste comme n'importe quel autre ordinateur de domaine qu'ils noteraient dans.   Au cas où l'ordinateur serait volé ou perdu, je veux retirer les certificats fournis à l'ordinateur de sorte qu'il ne puisse être employé sur mon réseau sans fil plus.  J'également ne veux pas que l'utilisateur de Joe Q puisse apporter son ordinateur portable de maison et obtenir sur notre réseau sans fil de compagnie.     Fondamentalement si nous ne les embarquons pas un appareil sans fil installé pour le réseau sans fil de compagnie, je ne veux pas qu'ils emploient que quelque chose wirelessly.

I ont une forêt simple d'annuaire actif de Windows, un domaine simple à la forêt 2003 indigène et des niveaux fonctionnels de domaine.   J'ai un C.C de l'édition R2 standard de Windows 2008, un C.C de l'édition R2 standard de Windows 2003 et un C.C d'édition standard de Windows 2003.  Des rôles de FSMO sont partagés sur les 2 2003 C.C actuellement, chacun des 3 sont les catalogues globaux.   (douter que ceci fasse une différence pour le problème mais veuille obtenir les détails dehors là, aucune de ces derniers soient les machines virtuelles) ;  actuellement je n'ai aucun problème d'ouverture de domaine n'importe où sur mon réseau, réplique fonctionne entre les 3 DCs.

I ai une machine configurée comme autorité interne de certification d'entreprise qui est édition d'entreprise 2008 R2.  Le CA est autorisé dans l'ANNONCE et sa clef publique de certificat signé d'individu est déployée par GPO au magasin de confiance de certificat de racine sur toutes les machines jointives par domaine.  J'ai installé/ai permis la délivrance automatique du certificat de l'authentification V2 de poste de travail qui quand je la demande, semble fonctionner.   L'autorité de certification est le seul service fonctionnant sur le

I de centre serveur (son virtuel, mais lui ne devrait pas faire une différence) pour avoir installé un exemple de la norme R2 du serveur 2008 de Windows avec NPS et pour avoir employé le magicien pour commencer la configuration pour l'authentification 802.1x sans fil.   J'ai également publié le serveur de NPS un certificat d'IAS/rayon de mon CA interne.  J'ai configuré un des points d'accès (les seuls que j'installe jusqu'ici) en tant que client de rayon et assuré que les allumettes secrètes partagées sur le dispositif et le serveur, le WAP a l'IP approprié de charge statique et vice versa pour le
On du rayon client.
de NPS ma politique de demande de raccordement de NPS, j'ai 2 règles - raccordements sans fil du
Secure - le @priority permis 1 - le type gauche radio de NAS - autre ou IEEE sans fil 802.11, l'ordinateur local comme authentification de fournisseur et de priorité d'authentification est authentification de disabled.
Use Windows pour tous les utilisateurs - a quelques restructions de jour et de temps qui quantité de 7 0h00 de semaine de pwer de jours - 24h00 avec le fournisseur d'authentification sur les politiques locales de réseau de computer.




Under il y a 4 règles : le
1 - ordinateurs de domaine - machine groupe :   ordinateurs de leepdc \ domaine, leepdc de Groupes d'utilisateurs \ utilisateurs de domaine - accordant le plein access
2 de réseau - radio bloquée - le type gauche de NAS comme radio autre ou IEEE sans fil 802.11, utilisateurs de domaine de groupes de fenêtres ou ordinateurs de domaine, type d'auth = PEAP, a permis EAP :  Carte à puce ou certificat de milliseconde, ou carte à puce de la milliseconde PEAP- ou tout autre CERT, groupe de machine :  ordinateurs de domaine.   Sur l'allumette, de pleines politiques sanitaires du réseau access.

No sont définis ou serveurs de remédiation (je recherche juste le RAYON vraiment, pas le SOMME). l'essai du

For/élimination des imperfections, les murs à l'épreuve du feu sur la boîte de CA et de NPS sont complètement handicapé.  J'ai assuré la communication entre les serveurs de CA et de NPS en plus du WAP.  


So maintenant que j'essaye de configurer les fenêtres 7 machines à l'authentification sans fil au niveau de machine/ordinateur et de permettre alors à n'importe quel utilisateur de domaine d'ouvrir une session.   Je me suis assuré que le service automatique de config de WLAN est commencé et courant, j'ai créé un profil sans fil de raccordement avec le nom de SSID sur mon point d'accès (qui est large bâti).  Les propriétés sont comme suit : le
- se relient automatiquement quand réseau dans le range
connect même si le réseau n'annonce pas le type de sécurité de SSID
- :  Type de chiffrage de WPA2-Enterprise
- :  Méthode d'authenticaiton de réseau d'AES
- :  EAP protégés par milliseconde (PEAP), se rappellent des qualifications, le
-- sous des arrangements je valide le certificat de serveur et ai vérifié mon certificat de CA interne.   la méthode d'authentification est carte à puce ou tout autre certificat using un certificat sur cet ordinateur avec le choix simple de certificat d'utilisation et encore, ont choisi mon CA interne dans la racine de confiance authorities.
- rebranchent rapidement est les arrangements avancés par/>Under du checked


Under 802.11, j'ai laissé les défauts de permets le caching


Using de clé machine de pairewise la rupture locale de certificats de MMC dedans, j'ai un certificat d'authentification de poste de travail avec des propriétés pour l'authentification de client dans le magasin personnel de certificats sous le contexte d'ordinateur (et ont essayé sous le contexte d'utilisateur aussi bien), dans le cas de cet ordinateur portable d'essai, chaque contexte a le certificate.

When que j'essaye de me relier, j'obtiens un baloon saute vers le haut me disant qu'un certificat est exigé au conneect à mon SSID et pour contacter mon administrateur.  Je ne suis jamais présenté avec une option pour sélectionner un certificate.

I ai essayé d'employer le traçage réglé par ras de netsh * permis pendant les atttemtps de raccordement de saisir de l'information de notation supplémentaire.   Basé sur passer en revue les fichiers de consignation, celui avec la plupart d'informations importantes (ces je peux déterminer) est %systemroot% \ découverte \ svchost_RASTLS.log que j'ai inclus le dernier rendement du certificat de below.

The hache dans la notation correspondent aux certificats délivrés dans la boutique informatique.   Ainsi il trouve ces mais pas using le genre de them.

I AM vraiment de stumped, et non sûr où j'échoue - type inapproprié de certificat, politique mis de NPS configurée ou client misconfigured.    J'estime que puisque le client voit le réseau et me me dit avoir besoin d'un certificat valide, je suis très étroit et ai quelque chose mis-configured.

I peut elabortate promouvoir sur des configurations l'unes des si nécessaire mais si tout va bien ce qui précède a fourni assez de détail pour un résumé des parties appropriées de mon network.

Suggestions considérablement apprécié !

Mark L.
class= > " clair " de

> de " codeSnippet " de class= de

class= " lineNumbers " de

class= de

1 : 2 : 3 : 4 : 5 : 6 : 7 : 8 : 9 : 10 : 11 : 12 : 13 : 14 : 15 : 16 : 17 : 18 : 19 : 20 : 21 : 22 : 23 : 24 : 25 : 26 : 27 : 28 : 29 : 30 : 31 : 32 : 33 : 34 : 35 : 36 : 37 : 38 : 39 : 40 : 41 : 42 : 43 : 44 : 45 : 46 : 47 : 48 : 49 : 50 : 51 : 52 : 53 : 54 : 55 : 56 : 57 : 58 : 59 : 60 : 61 : 62 :

class= " de l'id= " codeSnippet714577 de [5112] 16h47 06-13 : 42 : 673 : EAP-TLS using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : Des certificats signés d'individu ne seront pas choisis. [5112] 16h47 06-13 : 42 : 673 : EAP-TLS acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : EapTlsInitialize2 : PEAP using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PEAP acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PeapGetIdentity a renvoyé l'identité comme host/LAPTOPT EST.lmfj.com [5112] 16h47 06-13 : 42 : 673 : EAP-TLS using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : Des certificats signés d'individu ne seront pas choisis. [5112] 16h47 06-13 : 42 : 673 : EAP-TLS acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : EapTlsInitialize2 : PEAP using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PEAP acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PeapReadConnectionData [5112] 16h47 06-13 : 42 : 673 : IsIdentityPrivacyInPeapConnPropValid [5112] 16h47 06-13 : 42 : 673 : PeapReadUserData [5112] 16h47 06-13 : 42 : 673 : Aucun Credentails passé [5112] 16h47 06-13 : 42 : 673 : RasEapGetInfo [5112] 16h47 06-13 : 42 : 673 : EAP-TLS using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : Des certificats signés d'individu ne seront pas choisis. [5112] 16h47 06-13 : 42 : 673 : EAP-TLS acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : EapTlsInitialize2 : PEAP using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PEAP acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PeapReDoUserData [5112] 16h47 06-13 : 42 : 673 : EAP-TLS using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : Des certificats signés d'individu ne seront pas choisis. [5112] 16h47 06-13 : 42 : 673 : EAP-TLS acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : EapTlsInitialize2 : PEAP using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PEAP acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : EapTlsInvokeIdentityUI [5112] 16h47 06-13 : 42 : 673 : Drapeaux de GetCertInfo : 0x100a2 [5112] 16h47 06-13 : 42 : 673 : GetDefaultClientMachineCert [5112] 16h47 06-13 : 42 : 673 : FCheckTimeValidity [5112] 16h47 06-13 : 42 : 673 : FCheckUsage : Polyvalent : 1 [5112] 16h47 06-13 : 42 : 673 : DwGetEKUUsage [5112] 16h47 06-13 : 42 : 673 : Le nombre d'EKUs sur le CERT sont 1 [5112] 16h47 06-13 : 42 : 673 : Le CERT ont le pdc mais n'ont pas la prolongation d'AIA OCSP [5112] 16h47 06-13 : 42 : 673 : FCheckTimeValidity [5112] 16h47 06-13 : 42 : 673 : FCheckUsage : Polyvalent : 1 [5112] 16h47 06-13 : 42 : 673 : DwGetEKUUsage [5112] 16h47 06-13 : 42 : 673 : Le nombre d'EKUs sur le CERT sont 3 [5112] 16h47 06-13 : 42 : 673 : Le CERT ont le pdc mais n'ont pas la prolongation d'AIA OCSP [5112] 16h47 06-13 : 42 : 673 : CERT trouvé de machine basé sur le machinename, auth de client, validité de temps. [5112] 16h47 06-13 : 42 : 673 : GetDefaultClientMachineCert fait. [5112] 16h47 06-13 : 42 : 673 : A obtenu le CERT de machine de défaut [5112] 16h47 06-13 : 42 : 673 : Certificat avec succès obtenu. Le gâchis suit [5112] 16h47 : 42 : 673 : D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z. … C]. | [5112] 16h47 : 42 : 673 : 9A 45 1E l'EC 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........ ...... | [5112] 16h47 06-13 : 42 : 673 : EAP-TLS using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : Des certificats signés d'individu ne seront pas choisis. [5112] 16h47 06-13 : 42 : 673 : EAP-TLS acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : EapTlsInitialize2 : PEAP using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PEAP acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PeapGetIdentity a renvoyé l'identité comme host/LAPTOPT EST.lmfj.com [5112] 16h47 06-13 : 42 : 673 : EAP-TLS using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : Des certificats signés d'individu ne seront pas choisis. [5112] 16h47 06-13 : 42 : 673 : EAP-TLS acceptera le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : EapTlsInitialize2 : PEAP using le CERT polyvalent [5112] 16h47 06-13 : 42 : 673 : PEAP acceptera le CERT polyvalent

class= de

Réponse : Authentification sans fil de configuration d'ordinateur avec des certificats dans Windows 7

Techniquement il n'y a aucune une telle chose comme l'autoenrollment d'utilisateur. Mais il y a des cercles que vous pouvez sauter à travers pour obtenir quelque chose très semblable. Dans la plupart des cas cependant, je constate que vous pouvez partir sans certificats d'utilisateur tout à fait. Voir si ceci fonctionne :

Sur votre serveur de NPS, prendre votre politique de réseau et enlever les utilisateurs groupe de sécurité. Cette politique *only* s'appliquera aux postes de travail.

Créer une autre politique qui est une reproduction de celle ci-dessus, mais ajouter le *only* le groupe de sécurité d'utilisateur. Dans la section d'authentification de PEAP, enlever les cartes à puce et ajouter MS-CHAP v2. Cela permettra l'authentification de mot de passe pour des utilisateurs.

en conclusion, sur les clients, dans les arrangements avancés par PEAP, permettre les certificats et le MS-CHAP v2. Puisque NPS ne permettra pas MS-CHAPv2 pour des comptes d'ordinateur (en raison de la politique de réseau ci-dessus) et NPS l'authentification ne permettra pas certificat pour des comptes d'utilisateur (en raison de la nouvelle politique que nous avons créée) vous obtenez l'effet net des deux arrangements d'authenticaton étant mutuellement - exclusivité, quoiqu'ils tous les deux soient choisis sur le client.

Si tout fonctionne facilement, cela devrait te donner l'effet désiré sans exiger les scénarios méchants de gestion de certificat.