到这里,实验已经基本完成,可是有一个问题无法解决。就是我的客户机都是指定Ip地址了,而非dhcp,也就无法使用动态vlan了。这样就有一个问题,如果更换一个用户登录客户机,这个用户此前从未登录过这台客户机。那么就产生了首先dot1x没有认证通过,也就无法联系域控制器,更谈不上下载用户证书了,没有用户证书,就别想通过dot1x认证了。所以新用户登录时,总是提示域不可用。
 
Google查询,发现也难倒了不少人。于是再查看IAS的日志,发现并不是想象的那样没有向IAS发送认证请求,这样事情就有转机了,再仔细查看日志,有如下信息:
用户 host/客户机名.域名 被拒绝访问。
Full-Qualified-User-Name = 域名/computers/主机名
……
Reason = 连接企图失败,因为用户帐户的远程访问许可被拒绝……
 
 
眼前顿时豁然开朗,呵呵,只要将AD中的domain computers组类属与远程访问策略被授权的用户组即可。测试ok,出现如下提示:
用户 host/客户机名.域名 被授予了访问权。
 
总结:域内主机加入AD之后,首先申请得到一个计算机证书,然后用户登录之后再得到一个用户证书。而用户尚未登录时,客户机会传送主机证书,而主机证书的用户名所在群组属于AD中的domain computer 组。所以广义的将,AD内的计算机也可视为用户了。
本文出自 “ 乱窜的猫真实可靠” 博客,请务必保留此出处 http://catcity.blog.51cto.com/310698/59946