Pytanie : Konfigurowanie Bezprzewodowy Komputerowy Uwierzytelnienie z Świadectwo w Windows 7

Howdy Potrzebować -

I mieć 10 laptop Windows 7 Profesjonalista I potrzebować.  Laptop dzielić użytkownik i być bezprzewodowy.  I mieć Cisco WAP4410N dojazdowy punkt che wspierać WPA2-Enterprise i PROMIENIOMIERZ authentication.

I polubić świadectwo the komputer the sieć bezprzewodowa przed użytkownik logon, potwierdzać the użytkownik wyróbka dalej właśnie jak jakaś inny domena komputer notować w.   W przypadku gdy the komputer kraść lub gubić, I chcieć the świadectwo wydawać the komputer tak, że ono móc używać na mój sieć bezprzewodowa wcale sieć bezprzewodowa.  I także chcieć Joe Q Użytkownik sprawnie jego laptop od dom i na nasz firma sieć bezprzewodowa.     Podstawowy jeżeli my wysyłać urządzenie bezprzewodowe ustawianie dla the firma sieć bezprzewodowa, i chcieć chcieć wirelessly.

I mieć Windows Aktywny Książka telefoniczna pojedynczy las, pojedynczy domena przy 2003 Rodzimy las i domena czynnościowy poziom.   I mieć Windows 2008 R2 standardowy wydanie DC, Windows 2003 R2 standardowy wydanie DC i Windows 2003 standardowy wydanie DC.  FSMO rola dzielić na the 2 2003 DC obecnie, wszystkie 3 być globalny katalog.   (wątpić to robić różnica dla the problem ale chcieć the szczegół to tam, nikt te być wirtualny maszyna);  obecnie I mieć żadny domena logon problem gdziekolwiek na mój sieć, replikacja funkcjonować między the 3 DCs.

I mieć maszyna konfigurować jako wewnętrzny Przedsięwzięcie Certyfikat Władza che być 2008 R2 Przedsięwzięcie wydanie.  The CA upoważniać w REKLAMA i swój jaźń podpisywać świadectwo jawny klucz rozmieszczać przez GPO the zaufany korzeniowy świadectwo sklep na wszystkie domena łączyć maszyna.  I mieć ustawianie/pozwolić the auto zagadnienie the Stacja robocza Uwierzytelnienie V2 świadectwo che gdy I prosić ono, wydawać się.   The Certyfikat Władza być the jedyny usługowy bieg na the gospodarz (swój wirtualny, ale ono musieć różnica)

I ustawianie przykład Windows Serwer 2008 R2 Standard z NPS i używać the czarownik the konfiguracja dla Bezprzewodowy 802.1x uwierzytelnienie.   I także wydawać the NPS serwer IAS/Promieniomierz świadectwo od mój wewnętrzny CA.  I konfigurować jeden the dojazdowy punkt (the jedyny jeden I być utworzenie do tej pory) jako promieniomierz klient i zapewniać ten the podzielony tajny dopasowanie na the przyrząd i the serwer, the WAP mieć the właściwy ładunek elektrostatyczny IP i wice versa dla the NPS promieniomierz client.

On mój NPS podłączeniowy prośba polisa, i mieć 2 reguła -
Secure Bezprzewodowy Związek - umożliwiać @priority (1) - NAS portowy typ radio - inny lub bezprzewodowy IEEE 802.11, lokalny komputer jako the uwierzytelnienie dostawca i override uwierzytelnienie być disabled.
Use Windows Uwierzytelnienie dla wszystkie użytkownik - mieć niektóre dzień & czas restructions który kwota 7 dzień pwer tydzień 00:00 -24: 00 z uwierzytelnienie dostawca na the miejscowy computer.




Under Sieć Polisa tam  być 4 reguła:
1 - domena komputer - maszynowy grupa:   leepdc \ domena komputer, użytkownik grupować leepdc \ domena użytkownik - użyczać pełny sieć access
2 - zabezpieczać radio - NAS portowy typ jako radio inny lub Bezprzewodowy IEEE 802.11, okno grupa domena użytkownik lub domena komputer, auth typ = PEAP, pozwolić EAP:  MS Smart card lub świadectwo, lub MS PEAP- smart card lub inny pewnik, maszyna grupa:  domena komputer.   Na dopasowanie, pełny sieć access.

No polityka zdrowotna definiować lub remediation serwer (I właśnie patrzeć dla PROMIENIOMIERZ naprawdę, nie DRZEMKA).

For testowanie/debugging, the zapora na the CA i NPS pudełko całkowicie obezwładniać.  I zapewniać komunikacja między the CA i NPS serwer w dodatku do the WAP.  


So teraz I próbować the okno 7 maszyna uwierzytelnienie teraz przy the maszynowy/komputer poziom i wtedy jakaś domena użytkownik.   I zapewniać że the WLAN auto config usługa być zaczynać i biegać, I tworzyć bezprzewodowy związek profil z the SSID imię na mój dojazdowy punkt (che być szeroki kasting).  The własność być podążać:
- łączyć automatycznie gdy sieć w range
connect nawet jeśli the sieć transmitować SSID
- Ochrona typ:  WPA2-Enterprise
- Utajnianie Typ:  AES
- sieć authenticaiton metoda:  MS Ochraniać EAP (PEAP), pamiętać referencje,
-- pod położenie I potwierdzać the serwer świadectwo i sprawdzać mój wewnętrzny CA świadectwo.   uwierzytelnienie metoda być smart card lub inny świadectwo using świadectwo na ten komputer z use prosty świadectwo wybór i znowu, wybierać mój wewnętrzny CA w the zaufany korzeń authorities.
- Szybko ponownie się łączyć być checked

Under posuwać się naprzód położenie dla 802.1x I próbować komputerowy uwierzytelnienie i "użytkownik lub komputer uwierzytelnienie", gdy użytkownik wybierać, I próbować z umożliwiać SSO dla ten sieć, wykonywać natychmiast przed użytkownik logon.

Under 802.11 położenie, I opuszczać the brak umożliwiać pairewise mistrzowski klucz caching


Using the miejscowy MMC Świadectwo kłapnięcie wewnątrz, I mieć stacja robocza uwierzytelnienie świadectwo z własność dla klient uwierzytelnienie w the osobisty świadectwo sklep pod the komputerowy kontekst (i próbować pod the użytkownik kontekst także), w przypadku ten próbny laptop, próbny kontekst mieć the certificate.

When I próbować, I dostawać baloon strzelać próbny mówić że świadectwo wymagać conneect mój SSID i mój administrator.  I nigdy przedstawiać z opcja certificate.

I próbować używać netsh ras ustawiać kalkowanie * umożliwiać podczas podłączeniowy atttemtps niektóre ekstra wyróbka informacja.   Na the plik-dziennik, the jeden z the najwięcej ważna informacja (ten I móc) być %systemroot% \ kalkowanie \ svchost_RASTLS.log che I zawierać the opóźniony wydajność below.

The świadectwo hashes w the bela korespondować the wypuszczony świadectwo w the komputerowy sklep.   W Ten Sposób ono być tamte ale nie using them.

I am naprawdę jakby zaklopotany, i pewny dokąd I nie udać się - mylny typ świadectwo, NPS polisa mis konfigurować lub klient konfigurować.    I czuć móc ponieważ the klient widzieć the sieć i mówić I potrzebować ważny świadectwo, I być bardzo zamknięty i mieć być prawdziwy mały mis-configured.

I móc elabortate na jakikolwiek konfiguracja jeżeli potrzebny ale z nadzieją the above provided dosyć szczegół dla streszczenie the istotny porcja mój network.

Suggestions ogromnie doceniać!

Mark L.
(1):
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
 [5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PeapGetIdentity wracać the tożsamość jako host/LAPTOPT
EST.lmfj.com
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PeapReadConnectionData
[5112] 06-13 16:47: 42: 673: IsIdentityPrivacyInPeapConnPropValid
[5112] 06-13 16:47: 42: 673: PeapReadUserData
[5112] 06-13 16:47: 42: 673: Żadny Credentails przechodzić
[5112] 06-13 16:47: 42: 673: RasEapGetInfo
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PeapReDoUserData
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInvokeIdentityUI
[5112] 06-13 16:47: 42: 673: GetCertInfo flaga: 0x100a2
[5112] 06-13 16:47: 42: 673: GetDefaultClientMachineCert
[5112] 06-13 16:47: 42: 673: FCheckTimeValidity
[5112] 06-13 16:47: 42: 673: FCheckUsage: Uniwersalny: (1)
[5112] 06-13 16:47: 42: 673: DwGetEKUUsage
[5112] 06-13 16:47: 42: 673: Liczba EKUs na the pewnik być (1)
[5112] 06-13 16:47: 42: 673: Pewnik mieć CDP ale mieć AIA OCSP rozszerzenie
[5112] 06-13 16:47: 42: 673: FCheckTimeValidity
[5112] 06-13 16:47: 42: 673: FCheckUsage: Uniwersalny: (1)
[5112] 06-13 16:47: 42: 673: DwGetEKUUsage
[5112] 06-13 16:47: 42: 673: Liczba EKUs na the pewnik być 3
[5112] 06-13 16:47: 42: 673: Pewnik mieć CDP ale mieć AIA OCSP rozszerzenie
[5112] 06-13 16:47: 42: 673: Znajdować Maszynowy Pewnik opierać się na machinename, klient auth,
 czas zasadność.
[5112] 06-13 16:47: 42: 673: GetDefaultClientMachineCert robić.
[5112] 06-13 16:47: 42: 673: Dostać the brak Maszyna Pewnik
[5112] 06-13 16:47: 42: 673: Pomyślnie dostawać świadectwo. Hash podążać
[5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z.
… C]. |
[5112] 16:47: 42: 673: 9A 45 1E EC 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........
...... |
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PeapGetIdentity wracać the tożsamość jako host/LAPTOPT
EST.lmfj.com
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik

Odpowiedź : Konfigurowanie Bezprzewodowy Komputerowy Uwierzytelnienie z Świadectwo w Windows 7

Technicznie tam  być żadny taki rzecz użytkownik autoenrollment. Ale tam  być obręcz ty móc skakać prawdziwy jednakowy. W najwięcej skrzynka najwięcej, I znajdować że ty móc daleko od bez użytkownik świadectwo całkowicie. Widzieć jeżeli to pracować:

Na twój NPS serwer, brać twój sieć polisa i usuwać the użytkownik ochrona grupa. Ten polisa *only* stosować stacja robocza.

Tworzyć inny polisa który być duplikat the jeden jeden, ale dodawać *only* the użytkownik ochrona grupa. W the PEAP uwierzytelnienie sekcja, usuwać smart card i dodawać MS-CHAP v2. Użytkownik pozwolić hasło uwierzytelnienie dla użytkownik.

w końcu, na the klient, w the PEAP posuwać się naprzód położenie, pozwolić świadectwo i MS-CHAP v2. Ponieważ NPS pozwolić MS-CHAPv2 dla komputerowy konto (przez the sieć polisa komputerowy) i NPS pozwolić świadectwo uwierzytelnienie dla użytkownik konto (przez the nowy polisa my tworzyć) ty dostawać the netto skutek the dwa authenticaton kombinowanie wzajemnie - wyłączność na wywiad, nawet jeśli być wybierać na the klient.

Jeżeli scenariusz pracować bez przeszkód, pracować musieć ty the pragnąć skutek bez paskudny świadectwo zarządzanie scenariusz.

Inne rozwiązania  
 
programming4us programming4us