使用主机名而不是证书的802.1x计算机身份validation

我的configuration包括：作为RADIUS服务器的Cisco ACS，MS AD，MS PKI，Cisco 2960G交换机。 工作站是95％的XP专业版SP3完全修补，一些7专业版完全修补。
计算机证书自动注册已启用并正在运行。

GPO为

从工作站上的GPO生成NIC设置：

交换机上的端口configuration如下：
交换机端口访问vlan 56
switchport模式访问
身份validation控制方向
身份validation事件失败操作授权vlan 66
身份validation事件服务器无效操作重新初始化vlan 56
身份validation事件无响应操作授权vlan 66
身份validation事件服务器活动重新初始化
validation主机模式多重validation
authentication端口控制自动
authentication违规保护
马伯
dot1x paeauthentication
生成树portfast

• 负载testing无线局域网
• Linux有线networking上的802.1x
• 桥和交换机有什么区别？
• 当消费者交换机接收到VLAN标记的以太网帧时会发生什么？

我遇到的问题是，当机器启动时，他们试图用主机名而不是证书进行validation。 这失败了，但是一分钟后，他们使用计算机证书并且authentication成功。 configuration正在工作（大部分），但每隔一段时间，我得到一台计算机（到目前为止dot1x约250设置），试图validation主机名失败，然后停止。 如果我重新启动有线自动configuration服务，它完全validation，但重新启动重新创build问题。

这也是非常烦人的，这些错误出现在日志中，因为它们的频率阻止我设置警报，以通知我实际未授权的计算机已连接到networking。 即太多的误报。

我的问题是为什么当我configuration它使用其计算机证书时，工作站首先尝试使用其主机名进行身份validation？

在无线方面，一切工作都很完美。 思科AP和WLC。

编辑*我发现一个修复程序KB957931，指示XP SP3将在接收到身份validation失败消息后20分钟忽略dot1x通信。 此修复程序允许您创build一个registry项来修改此硬编码的设置。 我将这个补丁应用到工作站，并将修补时间改为1分钟（最低限度），现在，工作站在一分钟后进行身份validation，但不更新其IP。 一分钟等待是不理想的，也不是处理更新IP，所以我仍然对原来的问题仍然很好，这是为什么盒子select自己的名字，而不是证书？

更新* 1/11/12我今天再次遇到这个问题，并探出一些客户。 我注意到，在局域网连接的身份validation选项卡上，设置不再变成灰色，而是更改为使用密码而不是证书。 我知道本地组策略在启动时应用，不pipePC是否属于某个域，我知道我的域GPO覆盖了本地设置的任何内容。 当电脑由于某种原因（networking设备的电源故障）无法validation时，不再适用域策略，显然我的设置全部改变了。 我不知道为什么他们改变，因为没有configuration本地GPO。

因此，除了想知道为什么个人电脑在使用他们的证书之前用自己的主机名识别自己，我现在还有第二个问题。

如何使用dot1x设置（缺less可用的默认模板）在XP工作站上创build本地组策略，以及如何将这些策略推送到所有工作站？ 我已经看过使用安全模板，但他们不包含我需要的设置。 我需要应用设置从计算机configuration – >策略 – > Windows设置 – >安全设置 – >系统服务。 在XP上的本地GPO和SCApipe理单元中都缺less最后一位。

应该指出，我已经有一个完美的域名GPO。 是不是有一个简单的方法来导出，并将其作为每个工作站的本地GPO？

对于任何一个问题，满分都会得到回报。