我正在使用一个2008 r2 dc也执行半径(NPS),我也有一个2008 r2证书颁发机构颁发证书。 计算机正在获取证书,并且当用户login到设备(以前已经login)时,将被放在正确的VLAN(根据用户访问)。 但是我不能让计算机在login之前join无线networking,以便他们可以使用他们的域帐户login并通过无线进行身份validation。 基本的设置是计算机获取组策略,告诉它获得一个证书,然后计算机有一个单独的vlanjoin作为一个计算机帐户,但无线计算机将无法连接通过该vlan。 (这个vlan只允许login信息,一旦用户证书被validation,它将把它们放到另一个VLAN中)。
所以我正试图解决为什么笔记本电脑不会自动连接到无线networking作为一台计算机。
谢谢
忘了提及赢7客户端。
编辑:我得到了这个工作,但是我有这个问题,如果有人没有证书,例如iphone得到提示,他们是否要接受证书,一旦你select接受它可以让你joinnetworking。 我试图让你的设备必须成为某个组的一部分,但是当发生这种情况时,即使是在正确的组中的有效的计算机也无法join。 有没有人经历过这个?
如果笔记本电脑有英特尔前端无线网卡,则可以通过pipe理工具使用“英特尔无线预login连接”。 它允许您创build一个大约100KB的可执行文件,其中应用了一个或多个无线configuration文件,可以在Windowslogin之前向WAP进行身份validation。 我这样做,并通过组策略推出,所以我可以VNC到Windows 7工作站之前,任何用户login。 我使用预共享密钥,但我记得在手册中也看到了半径指示。
你困惑WLAN和VLAN吗? 无线客户端通常可以决定他们join哪个WLAN (基于SSID),但VLAN标记通常不会暴露给无线客户端。 通常由AP和WLAN控制器(如果有的话)以及RADIUS(或其他AAA)服务器共同决定哪个VLAN标识该客户端的stream量应该被标记,当AP将其桥接到线路上时。
所以如果客户端不能尝试join正确的无线局域网 (SSID),这可能是客户端configuration错误的一个标志。 但是如果他们的stream量被标记了错误的VLAN ID,这可能是networking基础设施的问题。
当然,如果你在SSID和VLAN之间有1:1映射,那么我的观点是没有意义的。
编辑:还有一个想法:你有EAP-TLS(又名“智能卡或其他证书”)身份validation启用,并在您的RADIUS服务器上工作? 因为如果您通过其他EAPtypes(例如PEAP)对用户进行身份validation,则可能是因为您尚未获得EAP-TLS并正在运行。 您可以尝试使用用户证书作为用户进行身份validation,就像检查您是否具有EAP-TLS一样。