Вопрос : Устанавливая беспроволочное удостоверение подлинности компьютера с сертификатами в Windows 7

Howdy все -

I имеет 10 компьтер-книжек побежать профессионал Windows, котор 7 мне нужно раскрыть.  Компьтер-книжки будут поделены потребителями и они будут беспроволочны.  Я имею точки подхода Cisco WAP4410N поддерживают WPA2-Enterprise и РАДИУС authentication.

I хотел был бы использовать сертификаты для того чтобы authenticate компьютеры к беспроводной сети перед logon потребителей, утверждаю вносить в журнал потребителя дальше как раз как любой другой компьютер домена, котор они внесли бы в журнал в.   В случаеесли компьютер украден или потерянный, я хочу отменять сертификаты выданные к компьютеру так, что его нельзя использовать на моей беспроводной сети больше.  Я также не хочу потребителя Джо q мочь принести его компьтер-книжку от дома и получить на нашей беспроводной сети компании.     Основно если мы не грузим их беспроводное устройство setup для беспроводной сети, то компании, котор я не хочу их использовать что-то wirelessly.

I имеют пущу активно директории Windows одиночную, одиночный домен на родной пуще 2003 и уровни домена функциональные.   Я имею DC стандартного варианта R2 Windows 2008, DC стандартного варианта R2 Windows 2003 и DC стандартного варианта Windows 2003.  Ролями FSMO поделены на 2 2003 DC в настоящее время, все 3 будут глобальные каталоги.   (усомнитесь это вносит изменения для проблемы но хочет получить детали вне там, никакие из этих будет виртуальными машинами);  в настоящее время я не имею никакие проблемы logon домена везде на моей сети, репликации действую между 3 DCs.

I имею машину установленную как внутренне авторитетом аттестации предпринимательства который будет Издание для предприятий 2008 R2.  CA утвержен в ОБЪЯВЛЕНИИ и свой ключ подписанного сертификата собственной личности общественный раскрын через GPO к доверенному магазину сертификата корня на всех машинах соединенных доменом.  Я setup/позволил автоматический вопрос сертификата удостоверения подлинности V2 рабочего места когда я спрашиваю его, кажется, что работает.   Авторитетом аттестации будет единственное обслуживание на свое фактически, а его не должно внести изменения)

I хозяина (для того чтобы setup пример стандарта R2 сервера 2008 Windows с NPS и использовать чудодей для того чтобы начать конфигурацию для беспроволочного удостоверения подлинности 802.1x.   Я также выдал сервера NPS сертификат IAS/радиуса от моего внутренне CA.  Я устанавливал одну из точек подхода (единственное одного я буду созданием до тех пор) как клиент радиуса и после того как я обеспечен что, котор делят втихомолку спички на приспособлении и сервере, WAP имеют правильное и наоборот IP static для
On радиуса client.
NPS моя политика запроса соединения NPS, я имею 2 правила - беспроводные связи
Secure - позволенное @priority 1 - тип радиотелеграф NAS port - другое или беспроволочный IEEE 802.11, местный компьютер как удостоверение подлинности провайдера и преодоления автоматического действия удостоверения подлинности будет удостоверением подлинности disabled.
Use Windows для всех потребителей - имеет некоторые restructions дня & времени которые количество 7 00:00 недели pwer дней - 24: 00 с провайдером удостоверения подлинности на местных политиках сети computer.




Under там 4 правила:
1 - компьютеры домена - машина собирает:   компьютеры leepdc \ домена, leepdc групп потребителя \ потребители домена - дарующ полное access
2 сети - безопасный радиотелеграф - тип NAS port как радиотелеграф другой или беспроволочный IEEE 802.11, потребители домена групп окон или компьютеры домена, тип auth = PEAP, позволил EAP:  Смарт-карта или сертификат MS, или смарт-карта MS PEAP- или другой cert, группа машины:  компьютеры домена.   На спичке, определены полные политики здоровья сети access.

No или серверы remediation (я как раз ищу РАДИУС реально, не ВОРСИНА). испытание

For/доводка, брандмауэры на коробке CA и NPS вполне неработающее.  Я обеспечивал сообщение между серверами CA и NPS в дополнение к WAP.  


So теперь, котор я пытаюсь установить окна 7 машин к удостоверению подлинности беспроволочно на уровне машины/компьютера и после этого позволить любого потребителя домена logon.   Я обеспечивал что обслуживание config WLAN автоматическое начато и о, я создавал профиль беспроводной связи с именем SSID на моей точкой подхода (которая будет обширная отливка).  Свойства следующим образом:
- соединяется автоматически когда сеть в range
connect даже если сеть не передает тип обеспеченностью SSID
-:  Тип шифрования WPA2-Enterprise
-:  Метод authenticaiton сети AES
-:  EAP защищенные MS (PEAP), вспоминают документы,
-- под установками я утверждаю сертификат сервера и проверял мой внутренне сертификат CA.   методом удостоверения подлинности будет смарт-картой или другим сертификатом using сертификат на этом компьютере с выбором сертификата пользы просто и снова, выбрал мой внутренне CA в доверенном корне authorities.
- быстро заново соединяет будет установки checked

Under для 802.1x, котор я имею судимое и удостоверение подлинности компьютера и «удостоверение подлинности потребителя или компьютера», когда потребитель выбран, я имею судимо с включить SSO для этой сети, выполняю немедленно преждe установок потребителя logon.

Under 802.11, я вышел невыполнения обязательства включаю caching


Using ключ для всех замков pairewise местная кнопка сертификатов MMC внутри, я имею сертификат удостоверения подлинности рабочего места с свойствами для удостоверения подлинности клиента в личном магазине сертификатов под смысл компьютера (и имейте судимое под смыслом потребителя также), в случае этой компьтер-книжки испытания, каждый смысл имеет certificate.

When, котор я пытаюсь соединиться, я получаю baloon хлопаю вверх говорящ мне что сертификат необходим к conneect к моему SSID и связаться мой администратор.  Я никогда не приведен с вариантом для того чтобы выбрать certificate.

I имею судимое using вычерчивание netsh установленное ras * позволенное во время atttemtps соединения схватить некоторую экстренную внося в журнал информацию.   Я основано на рассматривать архивы журнала, одно с релевантной информацией (что я могу обусловить) %systemroot% \ трассировать \ svchost_RASTLS.log которому я вклюал самый последний выход сертификата below.

The hashes в журнале соответствует к выданным сертификатам в компьжтерном магазине.   Так оно считает тем но не using вид them.

I am реально после того как оно stumped, и уверенн где я терплю неудачу - неправильный тип сертификата, установленная политика mis NPS или misconfigured клиент.    Я чувствую что в виду того что клиент видит сеть и говорит мне меня нужен действительный сертификат, я очень близок и имею что-то очень малое, котор mis-configured.

I может elabortate продвинуть на любых конфигурациях если необходимо но многообещающий вышеуказанное обеспечило достаточную деталь для сводки уместных частей моего больш оцененного network.

Suggestions!

Mark L.
class= " ясное " >

> " codeSnippet " class=

class= " lineNumbers "

class=

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15: 16: 17: 18: 19: 20: 21: 22: 23: 24: 25: 26: 27: 28: 29: 30: 31: 32: 33: 34: 35: 36: 37: 38: 39: 40: 41: 42: 43: 44: 45: 46: 47: 48: 49: 50: 51: 52: 53: 54: 55: 56: 57: 58: 59: 60: 61: 62:

class= " id= " codeSnippet714577 [5112] 16:47 06-13: 42: 673: EAP-TLS using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: Сертификаты собственной личности подписанные не будут выбраны. [5112] 16:47 06-13: 42: 673: EAP-TLS примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PEAP примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PeapGetIdentity возвратило тождественность как host/LAPTOPT EST.lmfj.com [5112] 16:47 06-13: 42: 673: EAP-TLS using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: Сертификаты собственной личности подписанные не будут выбраны. [5112] 16:47 06-13: 42: 673: EAP-TLS примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PEAP примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PeapReadConnectionData [5112] 16:47 06-13: 42: 673: IsIdentityPrivacyInPeapConnPropValid [5112] 16:47 06-13: 42: 673: PeapReadUserData [5112] 16:47 06-13: 42: 673: Отсутствие ого Credentails [5112] 16:47 06-13: 42: 673: RasEapGetInfo [5112] 16:47 06-13: 42: 673: EAP-TLS using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: Сертификаты собственной личности подписанные не будут выбраны. [5112] 16:47 06-13: 42: 673: EAP-TLS примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PEAP примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PeapReDoUserData [5112] 16:47 06-13: 42: 673: EAP-TLS using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: Сертификаты собственной личности подписанные не будут выбраны. [5112] 16:47 06-13: 42: 673: EAP-TLS примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PEAP примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: EapTlsInvokeIdentityUI [5112] 16:47 06-13: 42: 673: Флаги GetCertInfo: 0x100a2 [5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert [5112] 16:47 06-13: 42: 673: FCheckTimeValidity [5112] 16:47 06-13: 42: 673: FCheckUsage: Универсальноо-применим: 1 [5112] 16:47 06-13: 42: 673: DwGetEKUUsage [5112] 16:47 06-13: 42: 673: Номер EKUs на cert 1 [5112] 16:47 06-13: 42: 673: Cert имеет CDP но не имеет выдвижение AIA OCSP [5112] 16:47 06-13: 42: 673: FCheckTimeValidity [5112] 16:47 06-13: 42: 673: FCheckUsage: Универсальноо-применим: 1 [5112] 16:47 06-13: 42: 673: DwGetEKUUsage [5112] 16:47 06-13: 42: 673: Номер EKUs на cert 3 [5112] 16:47 06-13: 42: 673: Cert имеет CDP но не имеет выдвижение AIA OCSP [5112] 16:47 06-13: 42: 673: Ый Cert машины основанный на machinename, auth клиента, ценностьь времени. [5112] 16:47 06-13: 42: 673: Сделанное GetDefaultClientMachineCert. [5112] 16:47 06-13: 42: 673: Получил Cert машины невыполнения обязательства [5112] 16:47 06-13: 42: 673: Успешно полученный сертификат. Хэш следует за [5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z. … C]. | [5112] 16:47: 42: 673: 9A 45 1E EC 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........ ...... | [5112] 16:47 06-13: 42: 673: EAP-TLS using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: Сертификаты собственной личности подписанные не будут выбраны. [5112] 16:47 06-13: 42: 673: EAP-TLS примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PEAP примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PeapGetIdentity возвратило тождественность как host/LAPTOPT EST.lmfj.com [5112] 16:47 06-13: 42: 673: EAP-TLS using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: Сертификаты собственной личности подписанные не будут выбраны. [5112] 16:47 06-13: 42: 673: EAP-TLS примет универсальноый-применим cert [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using универсальноый-применим cert [5112] 16:47 06-13: 42: 673: PEAP примет универсальноый-применим cert

class=

Ответ : Устанавливая беспроволочное удостоверение подлинности компьютера с сертификатами в Windows 7

Технически не будет такой вещи как autoenrollment потребителя. Но будут обручи, котор вы можете поскакать до конца для того чтобы получить что-то очень подобным. В большинств случаи однако, я нахожу что вы можете получить прочь без сертификатов потребителя вполне. См. если это работает:, то

На вашем сервере NPS, примите вашу политику сети и извлекайте потребителей группа обеспеченностью. Та политика *only* применится к рабочим местам.

Создайте другой политикой будет дубликат одного выше, но добавьте *only* группа обеспеченностью потребителя. В разделе удостоверения подлинности PEAP, извлекайте смарт-карты и добавьте MS-CHAP v2. То позволит удостоверение подлинности пароля для потребителей.

окончательно, на клиентах, в установках выдвинутых PEAP, позвольте и сертификаты и MS-CHAP v2. В виду того что NPS не позволит MS-CHAPv2 для учета компьютера (из-за политики сети выше) и NPS не позволит удостоверение подлинности сертификат для учета потребителя (из-за нового курса, котор мы создались) вы получаете результирующее влияние 2 схем authenticaton взаимно - исключение, даже если они оба выбраны на клиенте.

Если все работает ровно, то то должно дать вам желательный результат без требовать гадких сценариев управления сертификата.