802.1x计算机身份验证使用主机名而不是cert

Question

我的配置包括: Cisco ACS作为RADIUS服务器，MS AD，MS PKI，Cisco 2960 G交换机。工作站是95% XP Pro SP3完全补丁，约7个专业完全补丁。

计算机证书自动注册已启用并正在工作。

GPO

在工作站上从GPO生成NIC设置：

交换机上的端口配置如下：

交换端口接入vlan 56

开关口模式存取

身份验证控制-方向

身份验证事件失败操作授权vlan 66

身份验证事件服务器死机动作重新初始化vlan 56

身份验证事件无响应操作授权vlan 66

身份验证事件服务器活动重新初始化

身份验证主机模式多auth

认证端口-控制自动

身份验证违规保护

mab

dot1x pae认证器

生成树端口

我遇到的问题是，当机器启动时，它们试图使用它们的主机名(而不是证书)进行身份验证。这是失败的，但一分钟后，他们使用计算机证书和身份验证是成功的。配置工作正常(主要是)，但每隔一段时间，我就会得到一台计算机(到目前为止，dot1x的设置大约有250个)，它试图使用其主机名进行身份验证，但是主机名会失败，然后停止。如果我重新启动有线自动配置服务，它将进行完美的身份验证，但是重新启动会造成问题。

这些错误出现在日志中也是非常恼人的，因为日志的频率使我无法在实际未经授权的计算机已连接到网络时设置警报通知我。也就是太多的假阳性。

我的问题是，当我将工作站配置为使用其计算机证书时，为什么工作站首先尝试使用其主机名进行身份验证？

在无线方面，一切都很完美。思科AP和WLC。

编辑*我找到了一个修补程序KB957931，它表明XP SP3会在收到身份验证失败消息后忽略dot1x流量20分钟。该修补程序允许您创建一个注册表项来修改此先前硬编码的设置。我将补丁应用于工作站，并将阻塞时间更改为1分钟(最低)，现在，一分钟后工作站进行身份验证，但不更新其IP。一分钟的等待是不理想的，也不是处理续订IP的问题，所以我仍然很好地回答原来的问题，那就是为什么这个盒子选择用它的名字而不是它的证书来标识自己？

更新* 1/11/12我今天再次遇到了这个问题，并在客户端周围穿插了一些。我注意到，在局域网连接的身份验证选项卡中，设置不再是灰色的，而是更改为使用密码而不是证书。我知道本地组策略是在引导时应用的，不管PC是否属于某个域，我也知道我的域GPO覆盖了本地设置的任何内容。当PC由于某种原因(在这种情况下是网络设备的电源故障)而无法进行身份验证时，它就不再应用域策略，显然，我的设置都被更改了。我不知道他们为什么要改变，因为没有本地的GPO配置过。

因此，除了想知道为什么PC在使用证书之前识别自己的主机名之外，我现在还有第二个问题。

如何使用dot1x设置在XP工作站上创建本地组策略(默认模板中缺少这些设置)，以及如何将它们推送到所有工作站？我已经研究过使用安全模板，但它们不包含我需要的设置。我需要应用计算机配置->策略-> Windows设置->安全设置->系统服务的设置。在XP上本地GPO和SCA插件中都缺少最后一点。

应该注意的是，我已经有一个领域的GPO完美地工作。难道没有一种简单的方法来导出它并将其应用于每个工作站的本地GPO吗？

任何一个问题的答案都会得到满分的奖励。

Answer 1

我不确定这是解决方案，但我认为在重新启动过程中，机器正在尝试“太快”登录，而不是其他支持使用证书而不是主机名的服务。也许尝试将Netlogon服务设置为“自动(延迟启动)”？