H3C交换机dot1X+AD+IAS+CA配置实验五（解决用户尚未登录无法验证问题）

 

到这里，实验已经基本完成，可是有一个问题无法解决。就是我的客户机都是指定 Ip 地址了，而非 dhcp ，也就无法使用动态 vlan 了。这样就有一个问题，如果更换一个用户登录客户机，这个用户此前从未登录过这台客户机。那么就产生了首先 dot1x 没有认证通过，也就无法联系域控制器，更谈不上下载用户证书了，没有用户证书，就别想通过 dot1x 认证了。所以新用户登录时，总是提示域不可用。

 

Google 查询，发现也难倒了不少人。于是再查看 IAS 的日志，发现并不是想象的那样没有向 IAS 发送认证请求，这样事情就有转机了，再仔细查看日志，有如下信息 :

用户 host/ 客户机名. 域名 被拒绝访问。

Full-Qualified-User-Name = 域名/computers/ 主机名

……

Reason = 连接企图失败，因为用户帐户的远程访问许可被拒绝……

 

 

眼前顿时豁然开朗，呵呵，只要将 AD 中的 domain computers 组类属与远程访问策略被授权的用户组即可。测试 ok ，出现如下提示：

用户 host/ 客户机名. 域名 被授予了访问权。

 

总结：域内主机加入AD之后，首先申请得到一个计算机证书，然后用户登录之后再得到一个用户证书。而用户尚未登录时，客户机会传送主机证书，而主机证书的用户名所在群组属于AD中的domain computer 组。所以广义的将，AD内的计算机也可视为用户了。

本文出自 “ 乱窜的猫真实可靠” 博客，请务必保留此出处 http://catcity.blog.51cto.com/310698/59946