使用主机名而不是证书的 802.1x 计算机身份验证

Question

我的配置包括：Cisco ACS 作为 RADIUS 服务器、MS AD、MS PKI、Cisco 2960G 交换机。工作站 95% 的 XP Pro SP3 已完全修补，一些 7 pro 已完全修补。
计算机证书自动注册已启用并正常工作。

GPO 为

工作站上 GPO 的结果 NIC 设置：

交换机上的端口配置如下：
switchport access vlan 56
switchport mode access
authentication control-direction in
authentication event fail action authorize vlan 66
authentication event server dead action reinitialize vlan 56
authentication event no-response action authorize vlan 66
authentication event server alive重新初始化
验证主机模式多AUTH
认证端口控制自动
认证违反保护
人与生物圈
下dot1x PAE认证
生成树的PortFast

我遇到的问题是，当机器启动时，他们试图用他们的主机名而不是证书进行身份验证。这失败了，但一分钟后，他们使用计算机证书并且身份验证成功。配置正在工作（大部分），但每隔一段时间我都会得到一台计算机（到目前为止，dot1x 大约有 250 个设置）尝试使用其主机名进行身份验证，该主机名失败然后停止。如果我重新启动有线自动配置服务，它可以完美地进行身份验证，但重新启动会重新产生问题。


这些错误出现在日志中也很烦人，因为它们的频率使我无法设置警报以在实际未经授权的计算机连接到网络时通知我。即太多的误报。

我的问题是当我将工作站配置为使用其计算机证书时，为什么工作站首先尝试使用其主机名进行身份验证？

在无线方面，一切正常。Cisco AP 和 WLC。

编辑* 我发现了一个修补程序 KB957931，它表明 XP SP3 将在收到身份验证失败消息后 20 分钟内忽略 dot1x 流量。此修补程序允许您创建一个注册表项来修改此以前的硬编码设置。我将补丁应用到工作站并将阻塞时间更改为 1 分钟（最小值），现在，一分钟后工作站进行身份验证但不更新其 IP。一分钟的等待并不理想，也不适合更新 IP，所以我仍然对最初的问题很满意，即为什么该框选择用其名称而不是其证书来标识自己？

更新* 2012 年 1 月 11 日我今天再次遇到了这个问题，并在客户端周围闲逛了一些。我注意到在局域网连接的身份验证选项卡中，设置不再变灰并更改为使用密码而不是证书。我知道无论 PC 是否属于域，都会在启动时应用本地组策略，并且我知道我的域 GPO 会覆盖本地设置的任何内容。当 PC 由于某种原因（在这种情况下网络设备断电）无法进行身份验证时，它不再应用域策略，显然我的设置都被更改了。我不确定为什么它们会发生变化，因为从来没有配置过本地 GPO。

所以，除了想知道为什么 PC 在使用他们的证书之前用他们的主机名标识自己之外，我现在还有第二个问题。

如何使用 dot1x 设置在 XP 工作站上创建本地组策略（可用的默认模板中缺少它们）以及如何将它们推送到我的所有工作站？我已经研究过使用安全模板，但它们不包含我需要的设置。我需要从计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 系统服务应用设置。XP 上的本地 GPO 和 SCA 管理单元都缺少最后一点。

应该注意的是，我已经有一个完美运行的域 GPO。有没有一种简单的方法可以导出它并将其应用为每个工作站的本地 GPO？

回答任何一个问题都将获得满分。

Answer 1

我不确定这是否是解决方案，但我认为在重新启动过程中，机器尝试“太早”登录，然后其他允许支持使用证书而不是证书的服务主机名。也许尝试将 Netlogon 服务设置为“自动（延迟启动）”？