Аутентификация компьютера 802.1x с использованием имени хоста вместо сертификата

Моя конфигурация включает: Cisco ACS в качестве сервера RADIUS, MS AD, MS PKI, коммутаторы Cisco 2960G. На рабочих станциях 95% XP Pro SP3 полностью пропатчены, некоторые 7 pro полностью исправлены.
Автоматическая регистрация сертификатов компьютера включена и работает.

GPO для

Итоговые настройки NIC из GPO на рабочей станции:

Конфигурация портов на коммутаторах следующая:
коммутатор доступа vlan 56
доступ в режиме Switchport
контроль-направление аутентификации в
событие аутентификации сбой действие авторизация vlan 66
сервер событий аутентификации мертвое действие повторно инициализировать vlan 56
событие аутентификации действие без ответа авторизовать vlan 66
сервер событий аутентификации живое действие повторная инициализация
аутентификация в режиме хоста с несколькими аутентификациями
автоматическое управление портами аутентификации
защита от нарушения аутентификации
маб
аутентификатор dot1x pae
связующее дерево Portfast

Проблема, с которой я сталкиваюсь, заключается в том, что при загрузке машины они пытаются аутентифицироваться с помощью своего имени хоста, а не сертификата. Это не удается, но через минуту они используют сертификат компьютера и аутентификация проходит успешно. Конфигурация работает (в основном), но время от времени я получаю компьютер (на данный момент около 250 настроек для dot1x), который пытается аутентифицироваться со своим именем хоста, который терпит неудачу, а затем останавливается. Если я перезапускаю проводную службу автоконфигурации, она отлично аутентифицируется, но при перезагрузке проблема снова возникает.


Также очень раздражает то, что эти ошибки появляются в журналах, потому что их частота не позволяет мне настроить оповещения, чтобы уведомить меня, когда к сети был подключен неавторизованный компьютер. т.е. слишком много ложных срабатываний.

У меня вопрос: почему рабочая станция сначала пытается аутентифицироваться со своим именем хоста, когда я настроил ее на использование сертификата компьютера?

С беспроводной связью все работает отлично. Точки доступа Cisco и WLC.

ИЗМЕНИТЬ * Я нашел исправление KB957931, которое указывает, что XP SP3 будет игнорировать трафик dot1x в течение 20 минут после получения сообщения об ошибке аутентификации. Исправление позволяет создать раздел реестра для изменения этого ранее жестко заданного параметра. Я применил патч к рабочей станции и изменил время блокировки на 1 минуту (минимум), и теперь, через минуту рабочая станция аутентифицируется, но не обновляет свой IP. Одноминутное ожидание не является идеальным и не связано с обновлением IP-адреса, поэтому я все еще хорошо разбираюсь в исходном вопросе: почему ящик предпочитает идентифицировать себя по имени, а не по сертификату?

ОБНОВЛЕНИЕ * 11.01.12 Сегодня я снова столкнулся с этой проблемой и немного покопался в клиенте. Я заметил, что на вкладке аутентификации при подключении к локальной сети настройки больше не были выделены серым цветом и были изменены для использования паролей, а не сертификатов. Я знаю, что локальная групповая политика применяется при загрузке независимо от того, принадлежит ли компьютер к домену или нет, и я знаю, что мой домен GPO переопределяет все, что установлено локально. Когда ПК не может пройти аутентификацию по какой-либо причине (в данном случае сбой питания сетевого оборудования), он больше не применяет политики домена, и, очевидно, все мои настройки изменяются. Я не уверен, почему они меняются, поскольку локальные объекты групповой политики никогда не настраивались.

Итак, помимо желания узнать, почему ПК идентифицируют себя по имени хоста перед использованием сертификата, у меня теперь есть второй вопрос.

Как мне создать локальную групповую политику на рабочих станциях XP с настройками dot1x (они отсутствуют в доступных шаблонах по умолчанию) и как я могу распространить их на все мои рабочие станции? Я пытался использовать шаблоны безопасности, но они не содержат нужных мне настроек. Мне нужно применить настройки из Computer Config -> Policies -> Windows Settings -> Security Settings -> System Services. Этот последний бит отсутствует как в локальных объектах групповой политики в XP, так и в оснастке SCA.

Следует отметить, что у меня уже есть объект групповой политики домена, который отлично работает. Нет ли простого способа экспортировать это и применить как локальный объект групповой политики для каждой рабочей станции?

За ответ на любой вопрос будут начислены полные баллы.