私たちのサイトは1年以上この問題を抱えています...(オフとオン)。
ネットワークMAB認証を介してコンピューターをPXEイメージングした後、イメージは正常に終了しますが、イメージング中に作成されたコンピューターアカウントを介してドメインに到達すると、ドメインへの認証を停止します。
コンピューターをイメージする方法は次のとおりです。
(1.)コンピューターはイメージ(または再イメージ)のためにサービスデスクに運ばれ、コンピューターのMACアドレスを使用してActiveDirectoryにMABを作成します。
(2.)MABアカウントがADのベースラインVLANセキュリティグループに追加されるため、コンピューターがPXEで起動しようとすると、正しいMABを介して認証され、DHCPを介してIPを取得します。 、など。
(3.)PXE&SCCMイメージプロセスが完了すると、コンピューターをドメインに追加するためだけに作成されたサービスアカウントを介して、コンプがドメインに追加されます。資格情報はイメージに組み込まれます。プロセス(どういうわけか)。
次に、イメージングプロセスが終了してドメインに追加された直後に、何かがNPSをトリガーしてコンピューターアカウントを認証しません。これは、802.1xと関係がある可能性があります。
これは、compアカウント認証が失敗したNPSサーバーログのスニペットです...
Security ID: NULL SID
Account Name: Host/[hostname given during image].domain.com
Security ID: NULL SID
[blah blah, switch info]
[more switch & VLAN info...which is correct]
Connection Request Policy Name: Wired Connection
...[leaving a lot of things blank to avoid verbosity]...
Reason Code: 7
Reason: The specified domain does not exist.
これが私の質問です:
-802.1xに関連するかどうかをどのように絞り込むことができますか?ポリシーは、最初に802.1xを介して認証するように、NPSとポート内で設定され、失敗した場合はMABを試行します。
-その理由コードは、そのホスト名に関連付けられたアカウントの検索でNPSサーバーが失敗したことを示していますか?コンピューターが正しい資格情報をNPSに渡していないことを示していますか?
いくつかの成功:
Ciscoスイッチの802.1x/MABへの認証のフェイルオーバーメカニズムが、テストしたポートの1つで適切に設定されていないことがわかりました。これは、NPSログがMABの認証を繰り返し示したのに、802.1xが成功しなかった理由です。
案の定、スイッチに入り、スイッチを変更し、スイッチの認証順序を「dot1x MAB」に設定しました...それ以来、完全に機能しています。これが解決策であることを確認するために他のコンピューターのテストを続けていますが、問題はないようです。
ありがとう!