Questione : Autenticazione senza fili di configurazione del calcolatore con i certificati in Windows 7

Howdy tutti - il

I ha 10 computer portatili fare funzionare il professionista che di Windows 7 devo schierare.  I computer portatili saranno ripartiti dagli utenti e saranno senza fili.  Ho punti di accesso di Cisco WAP4410N che sostengono WPA2-Enterprise ed il RAGGIO authentication.

I vorrebbe usare i certificati per autenticare i calcolatori alla rete wireless prima dell'inizio attività degli utenti, convalido l'utente che entra appena come qualunque altro calcolatore che di dominio annoterebbero in.   Nel caso in cui il calcolatore sia rubato o perso, voglio revocare i certificati emessi al calcolatore in moda da non poterlo usare esso sulla mia rete wireless più.  Inoltre non voglio l'utente del Joe Q potere portare il suo computer portatile dalla casa ed ottenere sulla nostra rete wireless dell'azienda.     Basicamente se non li spediciamo un dispositivo wireless installato per la rete wireless dell'azienda, non li voglio usare che qualcosa wirelessly.

I hanno foresta dell'indice attivo di Windows una singola, un singolo dominio alla foresta natale 2003 ed i livelli funzionali di dominio.   Ho una CC dell'edizione standard R2 di Windows 2008, una CC dell'edizione standard R2 di Windows 2003 e una CC dell'edizione standard di Windows 2003.  I ruoli di FSMO sono ripartiti attualmente sulle 2 2003 CC, tutti e 3 le sono cataloghi globali.   (dubitare che questo fa una differenza per il problema ma vuole ottenere i particolari là, nessun di questi è macchine virtuali);  attualmente non ho problemi di inizio attività di dominio dovunque sulla mia rete, replica sto funzionando fra i 3 DCs.

I ho una macchina configurata come autorità interna di certificazione di impresa che è edizione aziendale 2008 R2.  Il CA è autorizzato in ANNUNCIO e la relativa chiave pubblica del certificato firmato di auto è schierata con GPO al deposito di fiducia del certificato della radice su tutte le macchine unite dominio.  Ho installato/permesso l'emissione auto del certificato di autenticazione V2 della stazione di lavoro che quando la chiedo, sembra funzionare.   L'autorità di certificazione è l'unico servizio che funziona sul

I esso ma, virtuale il relativo (ospite non dovrebbe fare una differenza) per installare un caso del campione R2 dell'assistente 2008 di Windows con NPS e per usare lo stregone per iniziare la configurazione per l'autenticazione senza fili 802.1x.   Inoltre ho pubblicato l'assistente di NPS un certificato raggio/dello IAS dal mio CA interno.  Ho configurato uno dei punti di accesso (quello che unico sto installando finora) come cliente del raggio ed accertato che i fiammiferi segreti comuni sul dispositivo e sull'assistente, il WAP abbia il IP adeguato di elettricità statica e viceversa per il
On del raggio client.
di NPS la mia politica di richiesta di collegamento di NPS, ho 2 regole - collegamenti senza fili del
Secure - @priority permesso a 1 - tipo port radio di NAS - altro o IEEE senza fili 802.11, il calcolatore locale come l'autenticazione del fornitore e della provvigione supplementare di autenticazione è l'autenticazione di disabled.
Use Windows per tutti gli utenti - ha alcuni restructions di ora & di giorno che una quantità di 7 00:00 di settimana del pwer di giorni - 24: 00 con il fornitore di autenticazione sulle politiche locali della rete di computer.




Under là sono le 4 regole: il
1 - calcolatori di dominio - macchina raggruppa:   calcolatori dominio \ del leepdc, leepdc dei gruppi di utenti \ utenti di dominio - assegnando il access
2 della rete - radio sicura - il tipo port di NAS come radio altra o IEEE senza fili 802.11, utenti di dominio dei gruppi delle finestre o calcolatori di dominio, tipo del auth = PEAP, ha permesso EAP:  Smart Card o certificato del ms, o Smart Card del ms PEAP- o l'altro CERT, gruppo della macchina:  calcolatori di dominio.   Sul fiammifero, le politiche sanitarie complete della rete access.

No sono definiti o gli assistenti di rimedio (sto cercando appena il RAGGIO realmente, non il PELO). la prova/ricerca degli errori, le pareti refrattarie del

For sulla scatola di NPS e di CA è completamente ha reso invalida.  Ho accertato la comunicazione fra gli assistenti di NPS e di CA oltre che il WAP.  


So ora sto provando a configurare le finestre 7 macchine all'autenticazione senza fili al livello calcolatore/della macchina ed allora a permettere che tutto l'utente di dominio entri.   Mi sono accertato che che il servizio auto di config di WLAN fosse iniziato e funzionante, io ho generato un profilo senza fili del collegamento con il nome di SSID sul mio punto di accesso (che è vasto pezzo fuso).  Le proprietà sono come segue: il
- si collega automaticamente quando rete nel range
connect anche se la rete non sta trasmettendo per radio il tipo di sicurezza di SSID
-:  Tipo di crittografia di WPA2-Enterprise
-:  Metodo del authenticaiton della rete di AES
-:  EAP protettivi ms (PEAP), ricordano le credenziali, il
-- nell'ambito delle regolazioni sto convalidando il certificato di assistente ed ho controllato il mio certificato di CA interno.   il metodo di autenticazione è Smart Card o l'altro certificato using un certificato su questo calcolatore con la selezione semplice del certificato di uso ed ancora, ha selezionato il mio CA interno nella radice di fiducia authorities.
- velocemente ricollega è le regolazioni avanzate/>Under del checked


Under 802.11, io ho lasciato i difetti di permetto al caching


Using di chiave della m/c del pairewise lo schiocco locale dei certificati di MMC dentro, io ho un certificato di autenticazione della stazione di lavoro con le proprietà per l'autenticazione di cliente nel deposito personale dei certificati sotto il contesto del calcolatore (ed hanno provato nell'ambito del contesto dell'utente pure), nel caso di questo computer portatile della prova, ogni contesto ha il certificate.

When che provo a collegarmi, ottengo un baloon schiocco in su dicendomi che un certificato è richiesto a conneect al mio SSID e mettermi in contatto con il mio coordinatore.  Non sono presentato mai con un'opzione per selezionare un certificate.

I ho provato a usando il tracciato regolato ras del netsh * permesso a durante i atttemtps del collegamento di afferrare alcune informazioni di registrazione supplementari.   Sulla base dell'esame delle lime di ceppo, quello con il dato più valido (che posso determinare) è %systemroot% \ seguire \ svchost_RASTLS.log che ho compreso l'ultima uscita del certificato di below.

The trita nel ceppo corrisponde ai certificati emessi nel deposito di calcolatore.   Così sta trovando quel ma non using il genere di them.

I realmente di stumped di e non sicuro dove sto venendo a mancare - tipo errato di certificato, la politica mis di NPS configurata o cliente misconfigured.    Ritengo che poiché il cliente vede la rete e me l'dice avere bisogno di un certificato valido, io sono molto vicino ed ho qualcosa mis-configured.

I possa elabortate avanzare su c'è ne delle configurazioni se necessario ma eventualmente quanto sopra abbia fornito abbastanza dato dettagliato per un sommario delle parti relative di mio network.

Suggestions notevolmente apprezzato!

Mark L.
class= > " libero " del
> " del codeSnippet " del class= del
class= " lineNumbers " del
class= del
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
class= " del id= " codeSnippet714577 del
 [5112] 16:47 06-13: 42: 673: EAP-TLS using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673:  I certificati firmati di auto non saranno selezionati.
[5112] 16:47 06-13: 42: 673: EAP-TLS accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PEAP accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PeapGetIdentity ha restituito l'identità come host/LAPTOPT
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: EAP-TLS using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673:  I certificati firmati di auto non saranno selezionati.
[5112] 16:47 06-13: 42: 673: EAP-TLS accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PEAP accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PeapReadConnectionData
[5112] 16:47 06-13: 42: 673: IsIdentityPrivacyInPeapConnPropValid
[5112] 16:47 06-13: 42: 673: PeapReadUserData
[5112] 16:47 06-13: 42: 673: Nessun Credentails passato
[5112] 16:47 06-13: 42: 673: RasEapGetInfo
[5112] 16:47 06-13: 42: 673: EAP-TLS using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673:  I certificati firmati di auto non saranno selezionati.
[5112] 16:47 06-13: 42: 673: EAP-TLS accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PEAP accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PeapReDoUserData
[5112] 16:47 06-13: 42: 673: EAP-TLS using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673:  I certificati firmati di auto non saranno selezionati.
[5112] 16:47 06-13: 42: 673: EAP-TLS accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PEAP accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: EapTlsInvokeIdentityUI
[5112] 16:47 06-13: 42: 673: Bandierine di GetCertInfo: 0x100a2
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: Per tutti gli usi: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: Il numero di EKUs sul CERT è 1
[5112] 16:47 06-13: 42: 673: Il CERT ha CDP ma non ha estensione di AIA OCSP
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: Per tutti gli usi: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: Il numero di EKUs sul CERT è 3
[5112] 16:47 06-13: 42: 673: Il CERT ha CDP ma non ha estensione di AIA OCSP
[5112] 16:47 06-13: 42: 673: CERT trovato della macchina basato su machinename, auth del cliente,
 validità di tempo.
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert fatto.
[5112] 16:47 06-13: 42: 673: Ha ottenuto il CERT della macchina di difetto
[5112] 16:47 06-13: 42: 673: Certificato con successo ottenuto. Il Hash segue
[5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z.
… C]. |
[5112] 16:47: 42: 673: 9A 45 1E EC 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........
...... |
[5112] 16:47 06-13: 42: 673: EAP-TLS using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673:  I certificati firmati di auto non saranno selezionati.
[5112] 16:47 06-13: 42: 673: EAP-TLS accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PEAP accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PeapGetIdentity ha restituito l'identità come host/LAPTOPT
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: EAP-TLS using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673:  I certificati firmati di auto non saranno selezionati.
[5112] 16:47 06-13: 42: 673: EAP-TLS accetterà il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using il CERT per tutti gli usi
[5112] 16:47 06-13: 42: 673: PEAP accetterà il CERT per tutti gli usi
class= del

Risposta : Autenticazione senza fili di configurazione del calcolatore con i certificati in Windows 7

Tecnicamente non ci è qualcosa come autoenrollment dell'utente. Ma ci sono cerchi che potete saltare attraverso per ottenere qualcosa molto simile. Nella maggior parte dei casi comunque, trovo che potete ottenere via senza certificati dell'utente complessivamente. Vedere se questo funziona:

Sul vostro assistente di NPS, prendere la vostra politica della rete e rimuovere gli utenti gruppo di sicurezza. Quella politica *only* si applicherà alle stazioni di lavoro.

Generare un'altra politica che è un duplicato di quello qui sopra, ma aggiungere il *only* il gruppo di sicurezza dell'utente. Nella sezione di autenticazione di PEAP, rimuovere gli Smart Card ed aggiungere MS-CHAP v2. Quello permetterà l'autenticazione di parola d'accesso per gli utenti.

per concludere, sui clienti, nelle regolazioni avanzate PEAP, permettere sia i certificati che MS-CHAP v2. Poiché NPS non permetterà MS-CHAPv2 per i clienti del calcolatore (a causa della politica della rete qui sopra) e NPS non permetterà l'autenticazione del certificato per i clienti di utente (a causa di nuova politica che abbiamo generato) ottenete l'effetto netto dei due schemi del authenticaton che sono reciprocamente - esclusiva, anche se entrambi sono selezionati sul cliente.

Se tutto stia funzionando senza difficoltà, quello dovrebbe dargli l'effetto voluto senza richiedere i cattivi piani d'azione dell'amministrazione di certificato.

Altre soluzioni  
 
programming4us programming4us