Pergunta : Autenticação sem fio configurando do computador com os certificados em Windows 7

Howdy tudo - o

I tem 10 portáteis funcionar o profissional que de Windows 7 eu preciso de se desdobrar. Os portáteis serão compartilhados por usuários e serão sem fio. Eu tenho os pontos de acesso de Cisco WAP4410N que suportam WPA2-Enterprise e o RAIO authentication.

I gostaria de usar certificados para autenticar os computadores à rede wireless antes do início de uma sessão dos usuários, valido o usuário que entra apenas como todo o outro computador que do domínio registrem em. Caso o computador for roubado ou perdido, eu quero revog os certificados emitidos ao computador de modo que não possa ser usado em minha rede wireless any more. Eu igualmente não quero o usuário de Joe Q poder trazer seu portátil do repouso e começ em nossa rede wireless da companhia. Basicamente se nós não os enviamos um dispositivo sem fios setup para a rede wireless da companhia, eu não os quero usar que algo wirelessly.

I têm floresta do diretório ativo de Windows uma única, um único domínio na floresta 2003 nativa e uns níveis funcionais do domínio. Eu tenho uma C.C. da edição R2 padrão de Windows 2008, uma C.C. da edição R2 padrão de Windows 2003 e uma C.C. da edição padrão de Windows 2003. Os papéis de FSMO são compartilhados nas 2 2003 C.C. atualmente, todos os 3 são catálogos globais. (duvidar que isto faça uma diferença para o problema mas a queira começ para fora os detalhes lá, nenhuma destes seja máquinas virtuais); atualmente eu não tenho nenhum problema do início de uma sessão do domínio em qualquer lugar em minha rede, réplica estou funcionando entre os 3 DCs.

I tenho uma máquina configurada como uma autoridade interna da certificação da empresa que seja a Edição Empresarial 2008 R2. O CA é autorizado no ANÚNCIO e sua chave pública de certificado assinado do auto é desdobrada com GPO à loja confiada do certificado da raiz em todas as máquinas juntadas domínio. Eu setup/permiti a auto introdução do certificado da autenticação V2 da estação de trabalho que quando eu a peço, parece trabalhar. A autoridade da certificação é o único serviço que funciona seu virtual, mas ele não deve fazer uma diferença) no

I do anfitrião (para setup um exemplo do padrão R2 do usuário 2008 de Windows com NPS e para ter usado o feiticeiro para começar a configuração para a autenticação 802.1x sem fio. Eu igualmente emiti o usuário de NPS um certificado do IAS/raio de meu CA interno. Eu configurei um dos pontos de acesso (único que eu setting-up até agora) como um cliente do raio e assegurado de que os fósforos secretos compartilhados no dispositivo e no usuário, o WAP tenham o IP apropriado da estática e reciprocamente para o
On do raio client.
de NPS minha política do pedido de conexão de NPS, eu tenho 2 réguas - conexões sem fio do
Secure - o @priority permitido 1 - o tipo portuário rádio do NAS - outro ou IEEE sem fio 802.11, o computador local como a autenticação do fornecedor e da ultrapassagem da autenticação é autenticação de disabled.
Use Windows para todos os usuários - tem alguns restructions do dia & do tempo que uma quantidade de 7 00:00 da semana do pwer dos dias - 24: 00 com o fornecedor da autenticação nas políticas locais da rede de computer.

Under lá são 4 réguas: o
1 - computadores do domínio - máquina agrupa: computadores do leepdc \ domínio, leepdc dos grupos de usuário \ usuários do domínio - concedendo o access
2 da rede - rádio seguro - o tipo portuário do NAS como o rádio outro ou IEEE sem fio 802.11, usuários do domínio dos grupos das janelas ou computadores do domínio, tipo do auth = PEAP, permitiu EAP: Smart card ou certificado do MS, ou smart card do MS PEAP- ou o outro CERT, grupo da máquina: computadores do domínio. No fósforo, as políticas sanitárias cheias da rede access.

No são definidos ou os usuários da remediação (eu apenas estou procurando o RAIO realmente, não a SESTA). o teste do

For/eliminação de erros, os guarda-fogos na caixa do CA e do NPS é incapacitou completamente. Eu assegurei uma comunicação entre os usuários do CA e do NPS além do que o WAP.

So agora que eu estou tentando configurar sem fio as janelas 7 máquinas à autenticação a nível da máquina/computador e permitir então que todo o usuário do domínio entre. Eu assegurei-me de que serviço dos config de WLAN o auto fosse começado e de funcionamento, mim criei um perfil sem fio da conexão com o nome de SSID em meu ponto de acesso (que é carcaça larga). As propriedades são como segue: o
- coneta automaticamente quando rede no range
connect mesmo se a rede não está transmitindo o tipo da segurança de SSID
-: Tipo da cifragem de WPA2-Enterprise
-: Método do authenticaiton da rede de AES
-: EAP protegidos MS (PEAP), recordam credenciais,
-- sob ajustes eu estou validando o certificado de usuário e verific meu certificado de CA interno. o método de autenticação é smart card ou o outro certificado using um certificado neste computador com seleção simples do certificado do uso e outra vez, selecionou meu CA interno na raiz confiada authorities.
- reconeta rapidamente é ajustes avançados/>Under do checked

Under 802.11, mim deixei os defeitos de permito o caching

Using da chave mestra do pairewise a pressão local dos certificados do MMC dentro, mim tenho um certificado da autenticação da estação de trabalho com propriedades para a autenticação de cliente na loja pessoal dos certificados sob o contexto do computador (e tentaram sob o contexto do usuário também), no caso deste portátil do teste, cada contexto tem o certificate.

When que eu tento conetar, eu começ um baloon estalo acima dizendo me que um certificado está exigido ao conneect a meu SSID e para contatar meu administrador. Eu sou apresentado nunca com uma opção para escolher um certificate.

I tentei usar o traçado ajustado ras do netsh * permitido durante atttemtps da conexão de agarrar alguma informação de registo extra. Baseado em rever as limas de registro, esse com a informação a mais relevante (que eu posso determinar) é %systemroot% \ seguir \ svchost_RASTLS.log que eu incluí a saída a mais atrasada do certificado de below.

The pica no registro corresponde aos certificados emitidos na loja de computador. Assim está encontrando aquele mas não using o tipo de them.

I am realmente do stumped, e nao certo onde eu estou falhando - tipo errado de certificado, política mis de NPS configurada ou cliente misconfigured. Eu sinto que desde que o cliente vê a rede e me me diz precisar um certificado válido, mim sou muito próximo e tenho algo mis-configured.

I pode elabortate promover em algumas das configurações se necessário mas esperançosamente o acima forneceu bastante detalhe para um sumário das parcelas relevantes de meu network.

Suggestions apreciado extremamente!

Mark L.
class= > " desobstruído " do

> do " codeSnippet " do class= do

class= " lineNumbers " do

class= do

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:

class= " do id= " codeSnippet714577 do

 [5112] 16:47 06-13: 42: 673: EAP-TLS using o CERT multifacetado
[5112] 16:47 06-13: 42: 673:  Os certificados assinados do auto não serão selecionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PEAP aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PeapGetIdentity retornou a identidade como host/LAPTOPT
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: EAP-TLS using o CERT multifacetado
[5112] 16:47 06-13: 42: 673:  Os certificados assinados do auto não serão selecionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PEAP aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PeapReadConnectionData
[5112] 16:47 06-13: 42: 673: IsIdentityPrivacyInPeapConnPropValid
[5112] 16:47 06-13: 42: 673: PeapReadUserData
[5112] 16:47 06-13: 42: 673: Nenhum Credentails passado
[5112] 16:47 06-13: 42: 673: RasEapGetInfo
[5112] 16:47 06-13: 42: 673: EAP-TLS using o CERT multifacetado
[5112] 16:47 06-13: 42: 673:  Os certificados assinados do auto não serão selecionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PEAP aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PeapReDoUserData
[5112] 16:47 06-13: 42: 673: EAP-TLS using o CERT multifacetado
[5112] 16:47 06-13: 42: 673:  Os certificados assinados do auto não serão selecionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PEAP aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: EapTlsInvokeIdentityUI
[5112] 16:47 06-13: 42: 673: Bandeiras de GetCertInfo: 0x100a2
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: Multifacetado: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: O número de EKUs no CERT é 1
[5112] 16:47 06-13: 42: 673: O CERT tem o CDP mas não tem a extensão de AIA OCSP
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: Multifacetado: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: O número de EKUs no CERT é 3
[5112] 16:47 06-13: 42: 673: O CERT tem o CDP mas não tem a extensão de AIA OCSP
[5112] 16:47 06-13: 42: 673: CERT encontrado da máquina baseado no machinename, auth do cliente,
 validez do tempo.
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert feito.
[5112] 16:47 06-13: 42: 673: Começ o CERT da máquina do defeito
[5112] 16:47 06-13: 42: 673: Certificado com sucesso começ. A mistura segue
[5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z.
… C]. |
[5112] 16:47: 42: 673: 9A 45 1E EC 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........
...... |
[5112] 16:47 06-13: 42: 673: EAP-TLS using o CERT multifacetado
[5112] 16:47 06-13: 42: 673:  Os certificados assinados do auto não serão selecionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PEAP aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PeapGetIdentity retornou a identidade como host/LAPTOPT
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: EAP-TLS using o CERT multifacetado
[5112] 16:47 06-13: 42: 673:  Os certificados assinados do auto não serão selecionados.
[5112] 16:47 06-13: 42: 673: EAP-TLS aceitará o CERT multifacetado
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using o CERT multifacetado
[5112] 16:47 06-13: 42: 673: PEAP aceitará o CERT multifacetado

class= do

Resposta : Autenticação sem fio configurando do computador com os certificados em Windows 7

Tècnica não há nenhuma coisa como o autoenrollment do usuário. Mas há aros que você pode saltar completamente para começ algo muito similar. Na maioria dos casos embora, eu encontro que você pode começ afastado sem certificados do usuário completamente. Ver se isto trabalha:
Em seu usuário de NPS, tomar sua política da rede e remover os usuários grupo de segurança. Essa política only aplicar-se-á às estações de trabalho.
Criar uma outra política que seja uma duplicata de essa acima, mas adicionar o only o grupo de segurança do usuário. Na seção da autenticação de PEAP, remover os smart card e adicionar MS-CHAP v2. Isso permitirá a autenticação de senha para usuários.
finalmente, nos clientes, nos ajustes avançados PEAP, permitir os certificados e o MS-CHAP v2. Desde que NPS não permitirá MS-CHAPv2 para clientes do computador (por causa da política da rede acima) e NPS não permitirá a autenticação do certificado para clientes de usuário (por causa da política que nova nós criamos) você começ o efeito líquido dos dois esquemas do authenticaton que são mutuamente - exclusive, mesmo que ambos seja selecionado no cliente.
Se tudo está trabalhando lisamente, aquele deve dar-lhe o efeito desejado sem exigir encenações desagradáveis da gerência de certificado.

Outras soluções

Perguntas da entrevista do certificado de Shell da festança

lima de .vmdk

Como encontrar a contagem da fileira em Oracle DataReader em ASP.NET?

Excitador do bluetooth BCM2045 do inspiron 1720 de Dell para o profissional de Windows Xp.

Como conseguir o lightbox mostrar sobre a bandeira instantânea?

Fora do escritório o assistente que não trabalha w/Forwarding configurou

Redistribuindo o RASGO em subnets non-contiguous do OSPF.

líquidos de corpo após a sessão da natação

SQL0952N

Criando um vbscript para a chave do registro - IRPStackSize