Fråga : Konfigurera trådlös datorlegitimation med certifikat i Windows 7

Howdy alla -

I har 10 bärbar dator som yrkesmässiga rinnande Windows 7 mig behöver att utplacera.  Ska bärbar dator delas av användare, och de ska är trådlösa.  Jag har Cisco WAP4410N att ta fram pekar, som stöttar WPA2-Enterprise, och skulle något liknande för RADIEN authentication.

I som använder certifikat för att legitimera datorerna till radion, knyter kontakt för användare loggar in, validerar användaren som precis loggar in något liknande någon annan områdesdator som de skulle loggar in i.   I händelsen, att datoren är stulen eller borttappad, jag önskar att upphäva certifikaten som utfärdas till datoren, så att den inte kan användas på min radio knyter kontakt något mera.  Jag önskar också inte att den Joe Q användaren ska vara kompetent att komma med hans bärbar dator hemifrån, och att få på vår företagsradio knyta kontakt.     , om i stort vi inte sänder dem en trådlös apparat, ställa in för företaget som radion knyter kontakt, jag önskar inte att de ska använda något, wirelessly.

I har en skog för singel för Windows aktivarkiv, singelområde på 2003 infödda skog, och det funktionella området jämnar.   Jag har DC för den Windows 2008 en standard upplagan R2, DC för den Windows 2003 en standard upplagan R2 och en Windows 2003 standarda upplagaDC.  FSMO-roller delas på de 2 2003 DC'SNA för närvarande, alla 3na är globala kataloger.   (tvivla detta gör en skillnad för problemet men önskar att få specificerar ut där, inga av dessa är faktiskt bearbetar med maskin);  för närvarande jag har inga områdesinloggningsproblem någonstans på mitt att knyta kontakt, replicationen fungerar mellan de 3 DCs.
I har en bearbeta med maskin som konfigureras som en inre företagattesteringsmyndighet som är upplagan för företaget 2008 R2.  Caen bemyndigas i ANNONS, och dess själven nyckel- undertecknade certifikat allmänhet utplaceras till och med GPO till det betrott rotar certifikatlagret på allt sammanfogat område bearbetar med maskin.  Jag har att ställa in/som är tillåtet automatiskn, utfärdar av certifikat för arbetsstationslegitimation V2 som, när jag ber den, verkar för att fungera.   Attesteringsmyndigheten är det enda tjänste- springet på
I för vara värd (dess faktiskt, utan det inte bör göra en skillnad), att ha att ställa in en anföra som exempel av den Windows serveren 2008 R2 som är standard med NPS och, använde trollkarlen för att starta konfigurationen för trådlös legitimation 802.1x.   Jag utfärdade också NPS-serveren ett IAS-/radiecertifikat från min inre CA.  Jag har konfigurerat en av ta fram pekar (den enda en I-förmiddagen som ställer in - upp så långt) som en radiebeställare, och sett till, att de delade hemliga matcherna på apparaten och serveren, WAPEN har den riktiga statisk elektricitetIPEN och omvänt för On för NPS-radien client.
min politik för NPS-anslutningsförfråganen, jag har 2 härskar - trådlösa anslutningar för
Secure - möjliggjord @priority 1 - den annan radion för NAS-porttyp - eller trådlösa IEEE 802.11, lokaldator, som legitimationsfamiljeförsörjaren och åsidosättandelegitimationen är legitimation för disabled.
Use Windows för alla användare - har några dag- & tidrestructions som beloppet av 7 00:00 för dagpwervecka - 24: 00 med legitimationsfamiljeförsörjaren på lokalen computer.




Under knyter kontakt politik där är 4 härskar:
1 - områdesdatorer - bearbeta med maskin grupper:   leepdc- \ områdesdatorer, användare grupperar leepdc \ områdesanvändare - bevilja mycket knyta kontakt access
2 - säkrar radion - NAS-porttyp som den annan radion eller trådlösa IEEE 802.11, användare för fönstergruppområde eller områdesdatorer, authtyp = PEAP, tillåten EAP:  Kortet eller certifikat för ms det smart, eller ms PEAP- ilar kortet eller annan cert, bearbetar med maskin gruppen:  områdesdatorer.   Knyta kontakt mycket access.

No som vård- politik definieras eller remediationserveror (I-förmiddagen som precis egentligen, söker efter RADIEN för ATT INTE TA SIG EN TUPPLUR) på match. att testa för

For/feltestning, firewallsna på CAEN och NPS boxas är fullständigt handikappade personer.  Jag har sett till kommunikation mellan CA- och NPS-serverorna förutom WAPEN.  


So nu jag den pröva förmiddagen som konfigurerar fönstren 7, bearbetar med maskin till legitimation wirelessly på den jämna bearbeta med maskin/datoren och låter därefter någon områdesanvändare logga in.   Jag har sett till, att WLANEN tjänste- auto config är startad och rinnande, mig har skapat en trådlös anslutning profilerar med SSIDEN som är känd på mitt, tar fram pekar (som är bred rollbesättning).  Rekvisitan är som följer:
- förbinder automatiskt, när knyta kontakt i range
connect, om även knyta kontakt inte sänder SSID
- säkerhetstyp:  Krypteringtyp för WPA2-Enterprise
-:  AES
- knyter kontakt authenticaitonmetod:  Ms skyddade EAP (PEAP), minns vitsord,
-- under förmiddagen för inställningar som I validerar serveren, tilldela intyg och har kontrollerat mitt inre CA-certifikat.   legitimationsmetoden är det smart kortet eller annat certifikat using ett certifikat på denna dator med enkelt certifikatval för bruk och igen, har utvalt min inre CA i det betrott att rota authorities.
- fastar återinkopplar är avancerade inställningar för checked

Under för 802.1x som jag har försökt både datorlegitimation, och ”användare- eller datorlegitimation”, när användaren är utvald, har har jag försökt med möjliggör SSO för denna knyter kontakt, utför omgående för inställningar för användare logon.

Under 802.11, mig lämnat standarderna av för att möjliggöra pairewisehuvudnyckelcaching


Using de plötsliga lokalMMC-certifikaten in, mig har ett arbetsstationslegitimationscertifikat med rekvisita för beställarelegitimation i det personliga certifikatlagret under datorsammanhanget (och har försökt under användaresammanhanget som väl), i fallet av detta testar bärbar dator, varje sammanhang har försök för certificate.

When I att förbinda, jag får en baloonpop upp träffande mig, att ett certifikat krävs till conneect till min SSID och att kontakta min administratör.  Förmiddag som I framläggas aldrig med ett alternativ för att välja en certificate.

I, har försökt att använda spåring för netshrasuppsättningen * som möjliggöras under anslutningsatttemtps till hastigt grepp någon logga information om extrahjälp.   Baserat på att granska logga sparar, den med den mest relevant informationen (jag kan bestämma), är %systemroot% \ spåring \ svchost_RASTLS.log som jag har inklusive som tillverkas senast av certifikatpölsor för below.

The i logga för att motsvara till de utfärdade certifikaten i datorlagret.   Så det är att finna som är det men inte using sort för förmiddag för them.

I egentligen av förbryllat, och inte säkert var I-förmiddagen som missar - fel typ av certifikat, konfigurerad NPS-politik mis eller den misconfigured beställaren.    Känselförnimmelse I, som, sedan beställaren ser knyta kontakt och berättar mig att jag behöver ett giltigt certifikat, I-förmiddagen mycket tätt och har något mycket liten mis-configured.

I, kan elabortate främja på några av konfigurationerna, om nödvändigt men hopefully det ovannämnt har git, nog specificerar för ett summariskt av det relevant portionr av min network.

Suggestions som uppskattas väldeliga!

Mark L.
> för
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
" codeBody " " notpretty class= " för [5112] 16:47 06-13: 42: 673: EAP-TLS using All-purpose cert [5112] 16:47 06-13: 42: 673: Själven undertecknade certifikat som ska för att inte vara utvald. [5112] 16:47 06-13: 42: 673: Ska EAP-TLS accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using All-purpose cert [5112] 16:47 06-13: 42: 673: Ska PEAP accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: PeapGetIdentity gick identiteten tillbaka som host/LAPTOPT EST.lmfj.com [5112] 16:47 06-13: 42: 673: EAP-TLS using All-purpose cert [5112] 16:47 06-13: 42: 673: Själven undertecknade certifikat som ska för att inte vara utvald. [5112] 16:47 06-13: 42: 673: Ska EAP-TLS accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using All-purpose cert [5112] 16:47 06-13: 42: 673: Ska PEAP accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: PeapReadConnectionData [5112] 16:47 06-13: 42: 673: IsIdentityPrivacyInPeapConnPropValid [5112] 16:47 06-13: 42: 673: PeapReadUserData [5112] 16:47 06-13: 42: 673: Ingen Credentails passerade [5112] 16:47 06-13: 42: 673: RasEapGetInfo [5112] 16:47 06-13: 42: 673: EAP-TLS using All-purpose cert [5112] 16:47 06-13: 42: 673: Själven undertecknade certifikat som ska för att inte vara utvald. [5112] 16:47 06-13: 42: 673: Ska EAP-TLS accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using All-purpose cert [5112] 16:47 06-13: 42: 673: Ska PEAP accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: PeapReDoUserData [5112] 16:47 06-13: 42: 673: EAP-TLS using All-purpose cert [5112] 16:47 06-13: 42: 673: Själven undertecknade certifikat som ska för att inte vara utvald. [5112] 16:47 06-13: 42: 673: Ska EAP-TLS accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using All-purpose cert [5112] 16:47 06-13: 42: 673: Ska PEAP accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: EapTlsInvokeIdentityUI [5112] 16:47 06-13: 42: 673: GetCertInfo sjunker: 0x100a2 [5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert [5112] 16:47 06-13: 42: 673: FCheckTimeValidity [5112] 16:47 06-13: 42: 673: FCheckUsage: All-Purpose: 1 [5112] 16:47 06-13: 42: 673: DwGetEKUUsage [5112] 16:47 06-13: 42: 673: Numrera av EKUs på certen är 1 [5112] 16:47 06-13: 42: 673: Cert har CDP men har inte den AIA OCSP f8orlängningen [5112] 16:47 06-13: 42: 673: FCheckTimeValidity [5112] 16:47 06-13: 42: 673: FCheckUsage: All-Purpose: 1 [5112] 16:47 06-13: 42: 673: DwGetEKUUsage [5112] 16:47 06-13: 42: 673: Numrera av EKUs på certen är 3 [5112] 16:47 06-13: 42: 673: Cert har CDP men har inte den AIA OCSP f8orlängningen [5112] 16:47 06-13: 42: 673: Funnit bearbeta med maskin Cert som baseras på machinename, beställareauth, tajma giltighet. [5112] 16:47 06-13: 42: 673: Gjorda GetDefaultClientMachineCert. [5112] 16:47 06-13: 42: 673: Fick standarden bearbetar med maskin Cert [5112] 16:47 06-13: 42: 673: Lyckat fånget certifikat. Pölsa följer [5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z. … C]. | [5112] 16:47: 42: 673: 9A 45 1E EC 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........, ...... | [5112] 16:47 06-13: 42: 673: EAP-TLS using All-purpose cert [5112] 16:47 06-13: 42: 673: Själven undertecknade certifikat som ska för att inte vara utvald. [5112] 16:47 06-13: 42: 673: Ska EAP-TLS accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using All-purpose cert [5112] 16:47 06-13: 42: 673: Ska PEAP accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: PeapGetIdentity gick identiteten tillbaka som host/LAPTOPT EST.lmfj.com [5112] 16:47 06-13: 42: 673: EAP-TLS using All-purpose cert [5112] 16:47 06-13: 42: 673: Själven undertecknade certifikat som ska för att inte vara utvald. [5112] 16:47 06-13: 42: 673: Ska EAP-TLS accepterar den All-purpose certen [5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using All-purpose cert [5112] 16:47 06-13: 42: 673: Ska PEAP accepterar den All-purpose certen
" klar "

Svar : Konfigurera trådlös datorlegitimation med certifikat i Windows 7

Tekniskt det finns inte något sådan ting som användareautoenrollment. Men det finns beslag som du kan hoppa igenom för att få något mycket liknande. Ofta though, jag finner att du kan få bort utan användarecertifikat alldeles. Se, om detta fungerar:

Ta ditt knyter kontakt politik och tar bort användarena säkerhetsgruppen på din NPS-server. Den politik ska *only* applicerar till arbetsstationer.

Skapa en annan politik, som är ett dubblett av det över, men tillfoga *only* användaresäkerhetsgruppen. I PEAP-legitimationen dela upp, ta bort smart kort och tillfoga MS-CHAP v2. Ska det låter lösenordlegitimation för användare.

låt både certifikat och MS-CHAP v2, slutligen på beställarna, i de avancerade inställningarna för PEAP. Sedan NPS som ska för att inte låta MS-CHAPv2 för dator, redogör (på grund av knyta kontaktpolitiken över), och NPS som ska för att inte låta certifikatlegitimation för användareräkenskap (på grund av den nya politiken som vi skapade), du får det netto, verkställer av de två authenticatonintrigerna som ömsesidigt är - artikel med ensamrätt, även om de är båda utvalt på beställaren.

Om allt är funktionsdugligt slätt, det bör ge som dig, önskade verkställer, utan att kräva otäcka certifikatledningscenarion.

Andra lösningar  
 
programming4us programming4us