web-dev-qa-db-ja.com

802.1xおよびWindows10ドメイン認証

私たちのサイトは1年以上この問題を抱えています...(オフとオン)。

ネットワークMAB認証を介してコンピューターをPXEイメージングした後、イメージは正常に終了しますが、イメージング中に作成されたコンピューターアカウントを介してドメインに到達すると、ドメインへの認証を停止します。

コンピューターをイメージする方法は次のとおりです。

(1.)コンピューターはイメージ(または再イメージ)のためにサービスデスクに運ばれ、コンピューターのMACアドレスを使用してActiveDirectoryにMABを作成します。

(2.)MABアカウントがADのベースラインVLANセキュリティグループに追加されるため、コンピューターがPXEで起動しようとすると、正しいMABを介して認証され、DHCPを介してIPを取得します。 、など。

(3.)PXE&SCCMイメージプロセスが完了すると、コンピューターをドメインに追加するためだけに作成されたサービスアカウントを介して、コンプがドメインに追加されます。資格情報はイメージに組み込まれます。プロセス(どういうわけか)。

次に、イメージングプロセスが終了してドメインに追加された直後に、何かがNPSをトリガーしてコンピューターアカウントを認証しません。これは、802.1xと関係がある可能性があります。

これは、compアカウント認証が失敗したNPSサーバーログのスニペットです...

ユーザー:

   Security ID:              NULL SID
   Account Name:             Host/[hostname given during image].domain.com

クライアントマシン:

   Security ID:              NULL SID

NAS

   [blah blah, switch info]

RADIUSクライアント:

   [more switch & VLAN info...which is correct]

認証の詳細:

   Connection Request Policy Name: Wired Connection
   ...[leaving a lot of things blank to avoid verbosity]...
   Reason Code: 7
   Reason: The specified domain does not exist.

これが私の質問です:

-802.1xに関連するかどうかをどのように絞り込むことができますか?ポリシーは、最初に802.1xを介して認証するように、NPSとポート内で設定され、失敗した場合はMABを試行します。

-その理由コードは、そのホスト名に関連付けられたアカウントの検索でNPSサーバーが失敗したことを示していますか?コンピューターが正しい資格情報をNPSに渡していないことを示していますか?

1
Eric Gibson

いくつかの成功:

Ciscoスイッチの802.1x/MABへの認証のフェイルオーバーメカニズムが、テストしたポートの1つで適切に設定されていないことがわかりました。これは、NPSログがMABの認証を繰り返し示したのに、802.1xが成功しなかった理由です。

案の定、スイッチに入り、スイッチを変更し、スイッチの認証順序を「dot1x MAB」に設定しました...それ以来、完全に機能しています。これが解決策であることを確認するために他のコンピューターのテストを続けていますが、問題はないようです。

ありがとう!

1
Eric Gibson