Uwierzytelnianie domeny w standardzie 802.1xi Windows 10


Ten problem występuje na naszej stronie od ponad roku ... (od czasu do czasu).
Po obrazowaniu maszyny PXE za pomocą uwierzytelniania sieciowego MAB obraz kończy się dobrze, ale gdy tylko wejdzie do domeny za pośrednictwem konta komputera utworzonego podczas tworzenia obrazu, przestaje być uwierzytelniany w domenie.
Oto jak myślimy o komputerach:

(1.) Komputer jest dostarczany do obsługi obrazowania (lub ponownego obrazowania) i tworzą MAB w Active Directory przy użyciu adresu MAC komputera.
(2.) Konto MAB jest dodawane do podstawowej grupy zabezpieczeń VLAN w usłudze AD, dzięki czemu komputer próbuje uruchomić komputer w środowisku PXE, uwierzytelniając się za pomocą prawidłowego MAB, uzyskuje adres IP przez DHCP i tak dalej.
(3.) Po zakończeniu procesu przetwarzania obrazów PXE i SCCM dodaje komputer do domeny za pośrednictwem konta usługi utworzonego wyłącznie w celu dodawania komputerów do domeny. Poświadczenia są osadzone w procesie obrazu (w jakiś sposób).

Następnie, wkrótce po zakończeniu procesu tworzenia obrazu i dodawania domeny, coś powoduje, że serwer NPS nie uwierzytelnia konta komputera i myślimy, że ma to coś wspólnego z 802.1x ... może.
Oto fragment dziennika serwera NPS, w którym uwierzytelnianie konta kończy się niepowodzeniem ...

Użytkownik:
>
  Security ID:              NULL SID
Account Name: host/[hostname given during image].domain.com


Maszyna klienta:
>
  Security ID:              NULL SID


NAS
>
  [blah blah, switch info]


Klient RADIUS:
>
  [more switch & VLAN info...which is correct]


Szczegóły uwierzytelnienia:
>
  Connection Request Policy Name: Wired Connection
...[leaving a lot of things blank to avoid verbosity]...
Reason Code: 7
Reason: The specified domain does not exist.

Oto moje pytania:

- Jak możemy zawęzić, czy jest to związane z 802.1x? Zasady są ustawione w serwerze NPS, a port musi najpierw uwierzytelnić się za pomocą protokołu 802.1x, a następnie wypróbować MAB, jeśli to się nie powiedzie.
- Czy ten kod przyczyny wskazuje, że serwer NPS nie mógł znaleźć konta skojarzonego z tą nazwą hosta? Czy to oznacza, że ​​komputer nie przekazuje poprawnych poświadczeń serwera NPS?

Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Pewien sukces:
Okazało się, że mechanizm przełączania awaryjnego uwierzytelniania 802.1x/MAB na przełączniku Cisco nie został poprawnie skonfigurowany na jednym z portów, na których testowaliśmy. Miałoby sens, dlaczego dzienniki serwera NPS wielokrotnie pokazywały, że MAB jest poprawnie uwierzytelniony, ale 802.1x nigdy nie działał.
Oczywiście weszliśmy do przełącznika, zmieniliśmy go i ustawiliśmy kolejność uwierzytelniania na przełączniku na „dot1x MAB”… i od tego czasu działa dobrze. Kontynuujemy testowanie innych komputerów, aby potwierdzić, że jest to rozwiązanie, ale wygląda na to, że wszystko w porządku.
Podziękować!

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się