Uwierzytelnianie metodą IEEE 802.1X i renegocjacja dhcp po autoryz
rama88
* Win XP SP3, aktualizowany na bieżąco.
* Serwer freeradius, metoda uwierzytelniania EAP-MSCHAP v2 na podstawie
loginu i hasła systemowego.
* Switch HP procurve 2650, ustawione 2 vlany, dla z autoryzowanych i dla gości
Opis problemu:
Uruchamiam komputer, ukazuje mi się okienko logowania. W tym momencie
Windows ma uruchomioną sieć, a jako ze jeszcze się nie zalogowałem to switch
przydziela sieć dla gości. Dlatego system pobiera adres IP z sieci dla gości.
Wpisuje login i hasło, po 1s następuje autoryzacja i widzę że momentalnie
switch przełącza mnie do otwartej sieci.
Niestety suplikant po z autoryzowaniu nie wymusza renegocjacji DHCP, przez
co w konfiguracji zostają błędne ustawienia sieci, ustawienia sieci dla
gości. System dopiero po ok 2 min orientuje się że coś nie działa i wymusza
renegocjacje DHCP, teraz dopiero wszystko działa.
Dodam że rezygnacja z sieci dla gości nie poprawia sytuacji ponieważ przed
zalogowaniem system przydziela domyślną konfigurację sieci, co stwarza takie
same problemy.
Pytanie:
*Czy można zrobić tak aby suplikant windowsowy po autoryzacji do serwera
radius wymuszał renegocjację DHCP?
*Jeżeli nie da się rozwiązać powyższego, to czy można zrobić ta aby przed
zalogowaniem nie pobierał błędnej konfiguracji sieci lub w przypadku braku
sieci dla gości nie ustawiał domyślnej konfiguracji. Żeby konfigurował sieć
dopiero po zalogowaniu.
Maciej Szczecinski
Przede wszystkikm proszę zapoznać się z informacjami w artykule:
You experience problems when you try to obtain Group Policy objects, roaming
profiles, and logon scripts from a Windows Server 2003-based domain
controller
http://support.microsoft.com/kb/935638
Why dynamic VLAN switching is not supported when it is used together with
802.1X authentication
The 802.1X authentication process and the Winlogon process are two distinct
processes that are not interrelated. Both these processes occur regardless
of the state of the other. In dynamic VLANs, the client computer is given a
valid IP address when the computer starts. When the user logs on to the
computer, the 802.1X authentication process and the Winlogon process occur
at the same time. First, the network connection is reauthenticated by using
the user credentials. If the authentication is successful, the dynamic VLAN
switch or the access point moves the client computer to a new VLAN. However,
exactly at the same time, the Winlogon process is validating a domain
controller. Additionally, the Winlogon process tries to obtain GPOs, logon
scripts, and roaming profiles from the domain controller. When VLANs are
switched, the Winlogon process is interrupted, and the process does not
restart.
Proponuję przetestować metodę z poniższego artykułu, czyli użyć polisy
“Always wait for the network at computer startup and logon”, być może okaże
się to wystarczającym obejściem problemu:
You experience problems when you try to obtain Group Policy objects, roaming
profiles, and logon scripts from a Windows Server 2003-based domain
controller
http://support.microsoft.com/?kbid=935638
Dodatkowo można też wykonać test z użyciem metod opisanych w poniższym
wątku:
802.1x dynamic VLAN - user logon script is broken while client VLAN is
changed
http://social.technet.microsoft.com/Forums/en-CA/winserverNAP/thread/a530d2e7-4860-4339-990b-696cbdbc43c7
Zalecam też instalację hotfixów:
A Windows XP Service Pack 3-based client computer cannot use the IEEE 802.1x
authentication when you use PEAP with PEAP-MSCHAPv2 in a domain
http://support.microsoft.com/kb/969111
A Windows XP-based, Windows Vista-based, or Windows Server 2008-based
computer does not respond to 802.1X authentication requests for 20 minutes
after a failed authentication
http://support.microsoft.com/kb/957931
oraz wykonanie poniższych procedur:
Fast Reconnect:
a). włączyc usługę "Automatyczna konfiguracja sieci przewodowej" (Wired
AutoConfig)
b). wyłączyć opcję Fast Reconnect we właściwościach używanego połączenia
sieciowego:
Właściwości połączenia > karta Uwierzytelnianie > Ustawienia > odznaczyć
pole "Włącz szybkie łączenie ponownie"
Utworzenie klucza rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\DhcpGlobalForceBroadcastFlag\0
W kluczu tym należy utworzyć dwie wartości typu DWORD o nazwach „0” (zero) i
„1” (jeden), a następnie ustawić obie na 1.
Pozdrawiam,
--
Maciej Szczecinski
Pomoc Techniczna Microsoft
http://support.microsoft.com
// Uprzejmie proszę o nie wysyłanie zapytań bezpośrednio na mój adres email.
Zapytania takie pozostaną bez odpowiedzi, gdyż adres ten nie jest
monitorowany. //
rama88
wcześniej nie mogłem. Mam kilka pytań odnośnie pana porad:
> Proponuję przetestować metodę z poniższego artykułu, czyli użyć polisy
> “Always wait for the network at computer startup and logon”, być może okaże
> się to wystarczającym obejściem problemu:
>
> You experience problems when you try to obtain Group Policy objects, roaming
> profiles, and logon scripts from a Windows Server 2003-based domain
> controller
> http://support.microsoft.com/?kbid=935638
W tym artykule nie widzę żadnej porady. Czy na pewno podany jest link do
poprawnego artykułu. Czy mógłby Pan wkleić tą część tego artykułu dotyczącą:
“Always wait for the network at computer startup and logon”. Czy tą opcję
należy włączyć, czy wyłączyć?
> Zalecam też instalację hotfixów:
>
> A Windows XP Service Pack 3-based client computer cannot use the IEEE 802.1x
> authentication when you use PEAP with PEAP-MSCHAPv2 in a domain
> http://support.microsoft.com/kb/969111
Nie widzę linka na tej stronie do tego hotfixa.