802.1x e autenticação de domínio do Windows 10

Question

802.1x e autenticação de domínio do Windows 10

#1 resposta do (1 votos)

1

Nosso site tem esse problema há mais de um ano ... (desligado e ligado).

Após a criação de imagens PXE em um computador por meio da autenticação MAB da rede, a imagem é concluída com êxito, mas, depois de entrar no domínio por meio da conta de computador criada durante a criação de imagens, pára a autenticação no domínio.

Veja como nós imaginamos computadores:

(1.) A computer gets brought to the Service Desk for image (or re-image), and they create a MAB in Active Directory using the computer's MAC address.

(2.) The MAB account is added to a Baseline VLAN security group in AD, so that when the computer attempts to boot to PXE, it authenticates via the correct MAB, gets an IP through DHCP, etc.

(3.) Once the PXE & SCCM image processes are complete, it adds the comp to the domain via a service account solely created for adding computers to the domain. The credentials are built into the image process (somehow).

Em seguida, logo depois de concluir o processo de criação de imagens e ser adicionado ao domínio, algo aciona o NPS para não autenticar a conta do computador, e acreditamos que tenha algo a ver com o 802.1x ... possivelmente.

Aqui está um trecho do log do Servidor NPS, no qual a autenticação da conta comp falha ...

Usuário:

   Security ID:              NULL SID
   Account Name:             host/[hostname given during image].domain.com

Máquina do cliente:

   Security ID:              NULL SID

NAS

   [blah blah, switch info]

Cliente RADIUS:

   [more switch & VLAN info...which is correct]

Detalhes da autenticação:

   Connection Request Policy Name: Wired Connection
   ...[leaving a lot of things blank to avoid verbosity]...
   Reason Code: 7
   Reason: The specified domain does not exist.

Aqui estão minhas perguntas:

-How can we narrow down whether or not it's 802.1x related? The policies are set within NPS and the port to authenticate via 802.1x first, and then try a MAB if that fails.

-Is that reason code indicating a failure of the NPS server in finding an account associated with that hostname? Is it an indication that the computer is not passing the correct credentials to NPS?

windows-10 active-directory 802.1 pxe-boot nps

por Eric Gibson 27.05.2018 / 21:33

1 resposta

Tags windows-10 active-directory 802.1 pxe-boot nps

Como posso determinar por que o acesso db parece ser lento com um servidor de db, mas não com outro usando o mesmo site? ldapmodify erro 80 ao tentar adicionar o certificado ssl

score 1 · Answer 1

Algum sucesso:

Descobrimos que o mecanismo de failover para autenticação para 802.1x / MAB no comutador Cisco não foi configurado corretamente em uma das portas em que estávamos testando. Isso faria sentido porque os registros do NPS mostraram repetidamente o MAB autenticando corretamente, mas o 802.1x nunca teve êxito.

De fato, entramos no switch, alteramos e definimos a ordem de autenticação no switch para "dot1x MAB" ... e tem funcionado perfeitamente desde então. Continuamos a testar outros computadores para confirmar que esta é a solução, mas parece que estamos bem.

Obrigado!