Я использую 2008 r2 dc, который также выполняет Radius (NPS), у меня также есть центр сертификации 2008 r2, который выдает сертификаты. Компьютеры получают сертификат, и когда пользователь входит в устройство (которое ранее вошло в систему), оно попадает в правильную VLAN (в соответствии с доступом пользователя). Однако я не могу заставить компьютеры подключиться к беспроводной сети до входа в систему, чтобы они могли войти в систему со своими учетными записями домена и пройти аутентификацию через беспроводную сеть. Базовая настройка: компьютер получает групповую политику, которая сообщает ему получить сертификат, а затем компьютер имеет отдельный vlan для присоединения так же, как учетная запись компьютера, однако беспроводной компьютер не будет подключаться через этот vlan. (этот vlan позволяет получить информацию для входа только тогда, когда учетные данные пользователей проверены, он помещает их в другую VLAN).
Итак, я пытаюсь понять, почему ноутбук не подключается автоматически к беспроводной сети как компьютер.
Спасибо
забыл упомянуть клиент Win 7 ent.
РЕДАКТИРОВАТЬ: Я заставил это работать, но у меня возникла проблема с тем, что если кто-то, у кого нет сертификата, например iphone, получит запрос, хотят ли они принять сертификат, после того, как вы выберете «Принять», вы сможете присоединиться к сети. Я пытался сделать так, чтобы ваше устройство входило в определенную группу, однако, когда это происходит, даже действительный компьютер, который находится в правильной группе, не может присоединиться. Кто-нибудь еще испытал это?
Если в ноутбуках есть карты Wi-Fi Intel Proset, вы можете использовать «Беспроводное предварительное подключение Intel Proset» через инструмент администрирования. Он позволяет создать исполняемый файл размером около 100 КБ, который применяет один или несколько профилей беспроводной связи, которые могут аутентифицироваться в WAP до входа в систему Windows. Я сделал это и продвинул это через групповую политику, чтобы я мог использовать VNC для рабочих станций Windows 7 до входа любого пользователя в систему. Я использовал предварительные общие ключи, но я помню, что видел инструкции по радиусу в руководстве.
Вы путаете WLAN и VLAN? Беспроводные клиенты обычно решают, какие WLAN они присоединяются (на основе SSID), но VLAN теги обычно не доступны для беспроводных клиентов. Обычно AP вместе с контроллером WLAN (если есть) и RADIUS (или другим AAA) сервером решают, какой идентификатор VLAN должен быть помечен для трафика этого клиента, когда AP соединяет его с проводом.
Поэтому, если клиенты не могут попытаться присоединиться к правому WLAN (SSID), это признак возможной ошибки конфигурации на клиенте. Но если их трафик помечен неправильным идентификатором VLAN, это, вероятно, проблема с сетевой инфраструктурой.
Конечно, если у вас есть сопоставление 1: 1 между SSID и VLAN, то моя точка зрения спорна.
Изменить: еще одна мысль: включена ли аутентификация EAP-TLS (также известная как «смарт-карта или другой сертификат») и работает ли на вашем сервере RADIUS? Потому что, если вы аутентифицируете своих пользователей через другой тип EAP (например, PEAP), возможно, вы просто еще не настроили EAP-TLS и еще не работает. Вы можете попробовать использовать сертификат пользователя для аутентификации в качестве пользователя, так же как и для проверки того, что у вас работает EAP-TLS.