Minha configuração inclui: Cisco ACS como servidor RADIUS, MS AD, MS PKI, switches Cisco 2960G. As estações de trabalho são 95% do XP Pro SP3 totalmente corrigidas, outras 7 totalmente atualizadas.
Auto-inscrição de certificados de computador habilitados e funcionando.
GPO para
ConfiguraçõesdeNICresultantesdoGPOnaestaçãodetrabalho:
A configuração de porta nos switches é a seguinte:
acesso switchport vlan 56
acesso ao modo switchport |
direção-controle de autenticação no
autenticação falha evento autorizar vlan 66
autenticação de servidores de eventos mortos ação reinicializar vlan 56
ação de não-resposta do evento de autenticação autorizar vlan 66
a ação ativa do servidor de eventos de autenticação reinicializar
autenticação de modo de host multi-auth
Autenticação de controle de porta automática |
violação de autenticação proteger
mab
dot1x pae authenticator
spanning-tree portfast
O problema que estou tendo é que, enquanto as máquinas estão sendo inicializadas, elas estão tentando autenticar com seu nome de host em vez de certificado. Isso falha, mas, um minuto depois, eles usam o certificado do computador e a autenticação é bem-sucedida. A configuração está funcionando (principalmente), mas de vez em quando eu recebo um computador (cerca de 250 setup para dot1x até agora) que tenta autenticar com seu nome de host que falha e, em seguida, pára. Se eu reiniciar o serviço autoconfig com fio, ele será autenticado perfeitamente, mas a reinicialização recria o problema.
Também é muito irritante que esses erros apareçam nos registros porque a frequência deles me impede de configurar alertas para me avisar quando um computador não autorizado real tiver sido conectado à rede. isto é, muitos falsos positivos.
Minha pergunta é por que a estação de trabalho tenta autenticar com seu nome de host primeiro quando eu o configurei para usar seu certificado de computador?
No lado sem fio, tudo está funcionando perfeitamente. Cisco AP e WLCs.
EDIT * Eu encontrei um hotfix KB957931 que indica que o XP SP3 irá ignorar o tráfego dot1x por 20 minutos após receber uma mensagem de falha de autenticação. O hotfix permite que você crie uma chave do Registro para modificar essa configuração anteriormente codificada. Apliquei o patch a uma estação de trabalho e mudei o tempo de bloqueio para 1 minuto (o mínimo) e agora, após um minuto, a estação de trabalho autentica, mas não renova seu IP. A espera de um minuto não é ideal nem está a tratar de renovar o IP, pelo que ainda sou bom com a questão original, razão pela qual a caixa escolhe identificar-se com o seu nome em vez do seu certificado?
UPDATE * 1/11/12 Encontrei esse problema novamente hoje e dei uma olhada no cliente. Notei que na guia de autenticação na conexão de rede local, as configurações não estavam mais esmaecidas e foram alteradas para usar senhas em vez de certificados. Eu sei que a política de grupo local é aplicada na inicialização, não importa se o PC pertence a um domínio ou não, e sei que meu GPO de domínio substitui o que está definido localmente. Quando o PC falha na autenticação por algum motivo (falha de energia do equipamento de rede neste caso) ele não mais aplica as políticas do domínio e aparentemente minhas configurações são alteradas. Não sei por que eles estão mudando, já que nenhum GPO local já foi configurado.
Então, além de querer saber porque o PC se identifica com seu nome de host antes de usar seu certificado, agora tenho uma segunda pergunta.
Como faço para criar uma política de grupo local em estações de trabalho XP com as configurações de dot1x (elas estão ausentes dos modelos padrão disponíveis) e como posso empurrá-las para todas as minhas estações de trabalho? Procurei usar modelos de segurança, mas eles não contêm as configurações de que preciso. Eu preciso aplicar as configurações do Computer Config - > Políticas - > Configurações do Windows - > Configurações de segurança - > Serviços do sistema. Esse último bit está ausente dos GPOs locais no XP e também do snap-in SCA.
Deve-se notar que eu já tenho um GPO de domínio que funciona perfeitamente. Existe uma maneira fácil de exportar isso e aplicá-lo como o GPO local para cada estação de trabalho?
Os pontos completos serão recompensados por uma resposta a qualquer pergunta.