H3C交换机dot1X+AD+IAS+CA配置实验五(解决用户尚未登录无法验证问题)

到这里,实验已经基本完成,可是有一个问题无法解决。就是我的客户机都是指定 Ip 地址了,而非 dhcp ,也就无法使用动态 vlan 了。这样就有一个问题,如果更换一个用户登录客户机,这个用户此前从未登录过这台客户机。那么就产生了首先 dot1x 没有认证通过,也就无法联系域控制器,更谈不上下载用户证书了,没有用户证书,就别想通过 dot1x 认证了。所以新用户登录时,总是提示域不可用。
 
Google 查询,发现也难倒了不少人。于是再查看 IAS 的日志,发现并不是想象的那样没有向 IAS 发送认证请求,这样事情就有转机了,再仔细查看日志,有如下信息 :
用户 host/ 客户机名. 域名 被拒绝访问。
Full-Qualified-User-Name = 域名/computers/ 主机名
……
Reason = 连接企图失败,因为用户帐户的远程访问许可被拒绝……
 
 
眼前顿时豁然开朗,呵呵,只要将 AD 中的 domain computers 组类属与远程访问策略被授权的用户组即可。测试 ok ,出现如下提示:
用户 host/ 客户机名. 域名 被授予了访问权。
 
总结:域内主机加入AD之后,首先申请得到一个计算机证书,然后用户登录之后再得到一个用户证书。而用户尚未登录时,客户机会传送主机证书,而主机证书的用户名所在群组属于AD中的domain computer 组。所以广义的将,AD内的计算机也可视为用户了。

你可能感兴趣的:(h3c,ad,活动目录,dot1x,IAS)