На нашем сайте эта проблема возникает уже больше года ... (время от времени).
После создания образа компьютера PXE через сетевую аутентификацию MAB, изображение заканчивается нормально, но как только оно попадает в домен через учетную запись компьютера, созданную во время создания образа, оно перестает аутентифицироваться в домене.
Вот как мы представляем себе компьютеры:
(1.) Компьютер доставляется в службу поддержки для создания образа (или повторного образа), и они создают MAB в Active Directory, используя MAC-адрес компьютера.
(2.) Учетная запись MAB добавляется в группу безопасности базовой VLAN в AD, так что когда компьютер пытается загрузиться в PXE, он аутентифицируется через правильный MAB, получает IP-адрес через DHCP и т. Д.
(3.) После завершения процессов образов PXE и SCCM он добавляет компьютер в домен через служебную учетную запись, созданную исключительно для добавления компьютеров в домен. Учетные данные встроены в процесс изображения (каким-то образом).
Затем, вскоре после завершения процесса создания образов и добавления в домен, что-то заставляет NPS не аутентифицировать учетную запись компьютера, и мы считаем, что это как-то связано с 802.1x ... возможно.
Вот фрагмент журнала NPS-сервера, в котором не удается выполнить аутентификацию учетной записи ...
Security ID: NULL SID
Account Name: host/[hostname given during image].domain.com
Security ID: NULL SID
[blah blah, switch info]
[more switch & VLAN info...which is correct]
Connection Request Policy Name: Wired Connection
...[leaving a lot of things blank to avoid verbosity]...
Reason Code: 7
Reason: The specified domain does not exist.
Вот мои вопросы:
-Как мы можем сузить вопрос, связано ли это с 802.1x? Политики устанавливаются в NPS, и порт сначала должен пройти аутентификацию через 802.1x, а затем попробовать MAB, если это не удалось.
-Этот код причины указывает на то, что сервер NPS не смог найти учетную запись, связанную с этим именем хоста? Означает ли это, что компьютер не передает правильные учетные данные NPS?
Некоторый успех:
Мы обнаружили, что механизм переключения при отказе для аутентификации 802.1x / MAB на коммутаторе Cisco не был правильно настроен на одном из портов, на которых мы тестировали. Это имело бы смысл, почему журналы NPS неоднократно показывали, что MAB аутентифицируется правильно, но 802.1x никогда не работал.
Разумеется, мы вошли в коммутатор, изменили его и установили порядок аутентификации в коммутаторе на «dot1x MAB» ... и с тех пор он работает отлично. Мы продолжаем тестировать другие компьютеры, чтобы подтвердить, что это решение, но похоже, что у нас все в порядке.
Спасибо!