目前遇到802.1x有关的问题,系统软件环境如下:
Client端:Windows XP、Windows 7
Server端:Windows 2003 SP2
使用的验证方法是:PEAP、EAP-MSCHAP v2,整合AD验证用户名和密码;
从其它电脑远程(RDP)登入该电脑,登入看到桌面几秒钟后就断网;
(大概07年XP SP3就有遇到了,基本可以排除Client端的问题,因为有遇到过新安装的系统也会这样。或许因为只有IT单位才经常用RDP,所以反映此问题的人相对前一问题较少)
关于这个问题,网上搜到一些说明(似乎是无解?想确认下):
http://technet.microsoft.com/en-us/network/dd727529.aspx
Q. Do Remote Desktop connections work to Windows wireless clients that use 802.1X authentication?
A. Not at this time. All 802.1X-based wireless connections are affected, including those using EAP-TLS or PEAP-MS-CHAP v2. Connections using a static WEP key or WPA-PSK are not affected. Microsoft has addressed this issue in Windows Vista and Windows Server 2008.
(这个说的似乎还有希望,说是Vista之后解决)
In Windows Vista, it is a known issue that RDP and 802.1x are not working together. 802.1x cannot determine the user’s identity when coming in via RDP. This design seems not change in Windows 7.
As a workaround, please use machine-only authentication.
(这个看来Windows7 还是存在这个问题。)
http://social.technet.microsoft.com/Forums/en/itproxpsp/thread/e8c52dc2-bd8f-45ea-b9f8-a2f810c30844
(这里说要改为计算机验证,但是目前我们的环境是验证AD帐号和密码)
(同样问题)
回答:就您的这个问题,我做了一下研究,我了解下来,在Vista之后的系统中,当用户RDP来登陆的时候,在802.1x连接中会使用计算机凭据来重新验证802.1x的链接。就您的这个情况,您可以禁用802.1x用户验证。详细信息,您可以参考下面这篇文档:
在 Windows XP Service Pack 3 中的设置更改为 802.1x 对基于有线的网络连接
http://support.microsoft.com/kb/949984/zh-cn
如何启用了 802.1x 对基于网络在 Windows Vista 中,在 Windows Server 2008,并在 Windows XP Service Pack 3 中的仅限计算机的身份验证
http://support.microsoft.com/kb/929847/zh-cn
根据KB949984所说的:
“在 Windows XP SP3 中身份验证模式,使用有线的网络连接的客户端的默认值为 1。在此设置值中客户端进行身份验证使用计算机和用户凭据的组合”
所以,我认为不必一定要禁用802.1x用户验证,但是由于用用户账号来验证会出现您说的这个问题(不是验证通过),因此就不会用客户端身份来验证了,所以我们要对有这个问题的客户端强制用客户端进行验证。
关于如何仅限用计算机身份来验证,我建议您看下面这篇文档:
http://support.microsoft.com/kb/929847/zh-cn
朱一峰 微软全球技术支持中心
802.1x的相关文章请参考
转载于:https://blog.51cto.com/gnaw0725/652582
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
