8021.x+AD域使用PEAP验证方案时，无法在客户端切换域用户的解决办法

 

很多人在我的论坛和本博客看过的我的文章后：
http://www.zhaofengcao.com/index.php/archives/67后，都能够成功的实施802.1x方案，但是此方案有很多反馈说，如果一个新用户或者管理员想登陆下面员工的电脑时，由于员工的电脑上没有新用户或者管理员帐户的缓存，会出现无法登陆的情况。具体显示为在登陆界面上显示：您所登陆的域不可用。其实究其原因，是由于员工电脑（客户端）在未登陆进去之前，没有验证成功，因此无法与域通讯造成的。IAS日志显示如下：
用户 host/xxxx.test.com 被拒绝访问。
 Fully-Qualified-User-Name = autonavi.com/Computers/XXXX
 Calling-Station-Identifier = 001c-2317-1a66
 Client-Friendly-Name = 192.168.0.8
 Client-IP-Address = 192.168.0.8
 NAS-Port-Type = Ethernet
 NAS-Port = 16793601
 Proxy-Policy-Name = 对所有用户使用
 Authentication-Provider = Windows
 Authentication-Server = <未确定>
 Policy-Name = 到其它访问服务器的连接
 Authentication-Type = EAP
 EAP-Type = <未确定>
 Reason-Code = 65
 Reason = 连接企图失败，因为用户帐户的远程访问许可被拒绝。要允许远程访问，请启用用户帐户的远程访问许可，或者，如果用户帐户指出访问被匹配的远程访问策略控制，就请启用那个远程访问策略的远程访问许可。
 

 

可以看到，其实在用户未登陆进系统之前，计算机与AD域已经已经进行了通讯，但是由于没有权限，因此端口被802.1x置于受限状态。因此，解决办法就是给计算机用户添加拨入权限吧：
就IAS中新建立一个远程访问策略，然后将域中所有计算机的默认组domain computers加进去，方面和上面的文章一样。如下图：

这样，就解决了上述问题。时间所限，不懂的大家跟贴吧。

本文出自 “define_myself” 博客，转载请与作者联系！