Pytanie : Konfigurowanie Bezprzewodowy Komputerowy Uwierzytelnienie z Świadectwo w Windows 7

Howdy Potrzebować -

I mieć 10 laptop Windows 7 Profesjonalista I potrzebować. Laptop dzielić użytkownik i być bezprzewodowy. I mieć Cisco WAP4410N dojazdowy punkt che wspierać WPA2-Enterprise i PROMIENIOMIERZ authentication.

I polubić świadectwo the komputer the sieć bezprzewodowa przed użytkownik logon, potwierdzać the użytkownik wyróbka dalej właśnie jak jakaś inny domena komputer notować w. W przypadku gdy the komputer kraść lub gubić, I chcieć the świadectwo wydawać the komputer tak, że ono móc używać na mój sieć bezprzewodowa wcale sieć bezprzewodowa. I także chcieć Joe Q Użytkownik sprawnie jego laptop od dom i na nasz firma sieć bezprzewodowa. Podstawowy jeżeli my wysyłać urządzenie bezprzewodowe ustawianie dla the firma sieć bezprzewodowa, i chcieć chcieć wirelessly.

I mieć Windows Aktywny Książka telefoniczna pojedynczy las, pojedynczy domena przy 2003 Rodzimy las i domena czynnościowy poziom. I mieć Windows 2008 R2 standardowy wydanie DC, Windows 2003 R2 standardowy wydanie DC i Windows 2003 standardowy wydanie DC. FSMO rola dzielić na the 2 2003 DC obecnie, wszystkie 3 być globalny katalog. (wątpić to robić różnica dla the problem ale chcieć the szczegół to tam, nikt te być wirtualny maszyna); obecnie I mieć żadny domena logon problem gdziekolwiek na mój sieć, replikacja funkcjonować między the 3 DCs.

I mieć maszyna konfigurować jako wewnętrzny Przedsięwzięcie Certyfikat Władza che być 2008 R2 Przedsięwzięcie wydanie. The CA upoważniać w REKLAMA i swój jaźń podpisywać świadectwo jawny klucz rozmieszczać przez GPO the zaufany korzeniowy świadectwo sklep na wszystkie domena łączyć maszyna. I mieć ustawianie/pozwolić the auto zagadnienie the Stacja robocza Uwierzytelnienie V2 świadectwo che gdy I prosić ono, wydawać się. The Certyfikat Władza być the jedyny usługowy bieg na the gospodarz (swój wirtualny, ale ono musieć różnica)

I ustawianie przykład Windows Serwer 2008 R2 Standard z NPS i używać the czarownik the konfiguracja dla Bezprzewodowy 802.1x uwierzytelnienie. I także wydawać the NPS serwer IAS/Promieniomierz świadectwo od mój wewnętrzny CA. I konfigurować jeden the dojazdowy punkt (the jedyny jeden I być utworzenie do tej pory) jako promieniomierz klient i zapewniać ten the podzielony tajny dopasowanie na the przyrząd i the serwer, the WAP mieć the właściwy ładunek elektrostatyczny IP i wice versa dla the NPS promieniomierz client.

On mój NPS podłączeniowy prośba polisa, i mieć 2 reguła -
Secure Bezprzewodowy Związek - umożliwiać @priority (1) - NAS portowy typ radio - inny lub bezprzewodowy IEEE 802.11, lokalny komputer jako the uwierzytelnienie dostawca i override uwierzytelnienie być disabled.
Use Windows Uwierzytelnienie dla wszystkie użytkownik - mieć niektóre dzień & czas restructions który kwota 7 dzień pwer tydzień 00:00 -24: 00 z uwierzytelnienie dostawca na the miejscowy computer.

Under Sieć Polisa tam być 4 reguła:
1 - domena komputer - maszynowy grupa: leepdc \ domena komputer, użytkownik grupować leepdc \ domena użytkownik - użyczać pełny sieć access
2 - zabezpieczać radio - NAS portowy typ jako radio inny lub Bezprzewodowy IEEE 802.11, okno grupa domena użytkownik lub domena komputer, auth typ = PEAP, pozwolić EAP: MS Smart card lub świadectwo, lub MS PEAP- smart card lub inny pewnik, maszyna grupa: domena komputer. Na dopasowanie, pełny sieć access.

No polityka zdrowotna definiować lub remediation serwer (I właśnie patrzeć dla PROMIENIOMIERZ naprawdę, nie DRZEMKA).

For testowanie/debugging, the zapora na the CA i NPS pudełko całkowicie obezwładniać. I zapewniać komunikacja między the CA i NPS serwer w dodatku do the WAP.

So teraz I próbować the okno 7 maszyna uwierzytelnienie teraz przy the maszynowy/komputer poziom i wtedy jakaś domena użytkownik. I zapewniać że the WLAN auto config usługa być zaczynać i biegać, I tworzyć bezprzewodowy związek profil z the SSID imię na mój dojazdowy punkt (che być szeroki kasting). The własność być podążać:
- łączyć automatycznie gdy sieć w range
connect nawet jeśli the sieć transmitować SSID
- Ochrona typ: WPA2-Enterprise
- Utajnianie Typ: AES
- sieć authenticaiton metoda: MS Ochraniać EAP (PEAP), pamiętać referencje,
-- pod położenie I potwierdzać the serwer świadectwo i sprawdzać mój wewnętrzny CA świadectwo. uwierzytelnienie metoda być smart card lub inny świadectwo using świadectwo na ten komputer z use prosty świadectwo wybór i znowu, wybierać mój wewnętrzny CA w the zaufany korzeń authorities.
- Szybko ponownie się łączyć być checked

Under posuwać się naprzód położenie dla 802.1x I próbować komputerowy uwierzytelnienie i "użytkownik lub komputer uwierzytelnienie", gdy użytkownik wybierać, I próbować z umożliwiać SSO dla ten sieć, wykonywać natychmiast przed użytkownik logon.

Under 802.11 położenie, I opuszczać the brak umożliwiać pairewise mistrzowski klucz caching

Using the miejscowy MMC Świadectwo kłapnięcie wewnątrz, I mieć stacja robocza uwierzytelnienie świadectwo z własność dla klient uwierzytelnienie w the osobisty świadectwo sklep pod the komputerowy kontekst (i próbować pod the użytkownik kontekst także), w przypadku ten próbny laptop, próbny kontekst mieć the certificate.

When I próbować, I dostawać baloon strzelać próbny mówić że świadectwo wymagać conneect mój SSID i mój administrator. I nigdy przedstawiać z opcja certificate.

I próbować używać netsh ras ustawiać kalkowanie * umożliwiać podczas podłączeniowy atttemtps niektóre ekstra wyróbka informacja. Na the plik-dziennik, the jeden z the najwięcej ważna informacja (ten I móc) być %systemroot% \ kalkowanie \ svchost_RASTLS.log che I zawierać the opóźniony wydajność below.

The świadectwo hashes w the bela korespondować the wypuszczony świadectwo w the komputerowy sklep. W Ten Sposób ono być tamte ale nie using them.

I am naprawdę jakby zaklopotany, i pewny dokąd I nie udać się - mylny typ świadectwo, NPS polisa mis konfigurować lub klient konfigurować. I czuć móc ponieważ the klient widzieć the sieć i mówić I potrzebować ważny świadectwo, I być bardzo zamknięty i mieć być prawdziwy mały mis-configured.

I móc elabortate na jakikolwiek konfiguracja jeżeli potrzebny ale z nadzieją the above provided dosyć szczegół dla streszczenie the istotny porcja mój network.

Suggestions ogromnie doceniać!

Mark L.

(1):
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:



 [5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PeapGetIdentity wracać the tożsamość jako host/LAPTOPT
EST.lmfj.com
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PeapReadConnectionData
[5112] 06-13 16:47: 42: 673: IsIdentityPrivacyInPeapConnPropValid
[5112] 06-13 16:47: 42: 673: PeapReadUserData
[5112] 06-13 16:47: 42: 673: Żadny Credentails przechodzić
[5112] 06-13 16:47: 42: 673: RasEapGetInfo
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PeapReDoUserData
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInvokeIdentityUI
[5112] 06-13 16:47: 42: 673: GetCertInfo flaga: 0x100a2
[5112] 06-13 16:47: 42: 673: GetDefaultClientMachineCert
[5112] 06-13 16:47: 42: 673: FCheckTimeValidity
[5112] 06-13 16:47: 42: 673: FCheckUsage: Uniwersalny: (1)
[5112] 06-13 16:47: 42: 673: DwGetEKUUsage
[5112] 06-13 16:47: 42: 673: Liczba EKUs na the pewnik być (1)
[5112] 06-13 16:47: 42: 673: Pewnik mieć CDP ale mieć AIA OCSP rozszerzenie
[5112] 06-13 16:47: 42: 673: FCheckTimeValidity
[5112] 06-13 16:47: 42: 673: FCheckUsage: Uniwersalny: (1)
[5112] 06-13 16:47: 42: 673: DwGetEKUUsage
[5112] 06-13 16:47: 42: 673: Liczba EKUs na the pewnik być 3
[5112] 06-13 16:47: 42: 673: Pewnik mieć CDP ale mieć AIA OCSP rozszerzenie
[5112] 06-13 16:47: 42: 673: Znajdować Maszynowy Pewnik opierać się na machinename, klient auth,
 czas zasadność.
[5112] 06-13 16:47: 42: 673: GetDefaultClientMachineCert robić.
[5112] 06-13 16:47: 42: 673: Dostać the brak Maszyna Pewnik
[5112] 06-13 16:47: 42: 673: Pomyślnie dostawać świadectwo. Hash podążać
[5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z.
… C]. |
[5112] 16:47: 42: 673: 9A 45 1E EC 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........
...... |
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PeapGetIdentity wracać the tożsamość jako host/LAPTOPT
EST.lmfj.com
[5112] 06-13 16:47: 42: 673: EAP-TLS using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673:  Jaźń Podpisywać Świadectwo wybierać.
[5112] 06-13 16:47: 42: 673: EAP-TLS akceptować the Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: EapTlsInitialize2: PEAP using Uniwersalny pewnik
[5112] 06-13 16:47: 42: 673: PEAP akceptować the Uniwersalny pewnik

Odpowiedź : Konfigurowanie Bezprzewodowy Komputerowy Uwierzytelnienie z Świadectwo w Windows 7

Technicznie tam być żadny taki rzecz użytkownik autoenrollment. Ale tam być obręcz ty móc skakać prawdziwy jednakowy. W najwięcej skrzynka najwięcej, I znajdować że ty móc daleko od bez użytkownik świadectwo całkowicie. Widzieć jeżeli to pracować:
Na twój NPS serwer, brać twój sieć polisa i usuwać the użytkownik ochrona grupa. Ten polisa only stosować stacja robocza.
Tworzyć inny polisa który być duplikat the jeden jeden, ale dodawać only the użytkownik ochrona grupa. W the PEAP uwierzytelnienie sekcja, usuwać smart card i dodawać MS-CHAP v2. Użytkownik pozwolić hasło uwierzytelnienie dla użytkownik.
w końcu, na the klient, w the PEAP posuwać się naprzód położenie, pozwolić świadectwo i MS-CHAP v2. Ponieważ NPS pozwolić MS-CHAPv2 dla komputerowy konto (przez the sieć polisa komputerowy) i NPS pozwolić świadectwo uwierzytelnienie dla użytkownik konto (przez the nowy polisa my tworzyć) ty dostawać the netto skutek the dwa authenticaton kombinowanie wzajemnie - wyłączność na wywiad, nawet jeśli być wybierać na the klient.
Jeżeli scenariusz pracować bez przeszkód, pracować musieć ty the pragnąć skutek bez paskudny świadectwo zarządzanie scenariusz.

Inne rozwiązania

SUP7203B PFC niekompatybilność

system przywrócić punkt

IE8 Przedkładać Forma z [Wchodzić Do] Klucz, stosownie

zintegrowany wordpress w miejsce. blog pic doczepianie.

Łączyć XenServer wśród iPhone

Porzucony Windows 7 Instalacyjny odpowiedź kartoteka

SSH konsola: iść precyzować falcówka po nazwa użytkownika

Tworzyć Linux przygotowywać CD-R stylowy but dysk…

Dlaczego Sysinternals Wirusowy wyszukiwarka redirect?

MS Dojazdowy SQL Podział Dojazdowy obejście potrzebować