У меня есть соискатель Windows 10, проверяющий подлинность на сервере NPS Windows 2012R2 (RADIUS). Клиенты проходят аутентификацию с помощью EAP-TLS без каких-либо проблем, поэтому я знаю, что это работает. В настройках клиента установлена проверка подлинности с помощью смарт-карты или сертификата Microsoft, с использованием проверки подлинности компьютера или пользователя.
Здесь возникает мой вопрос: когда настроены оба механизма аутентификации, какой из них будет использоваться, когда? Мне не удалось найти никакой информации об этом в документации Microsoft.
Мой текущий сценарий таков: ПК1 является членом группы «XPC». USRA является членом группы «Управление».
Когда компьютер загружается, он аутентифицируется в группе XPC и назначается динамической VLAN, назначенной группе. После входа в систему USRA пользователю назначается динамическая VLAN, настроенная в группе управления.
Когда USRB входит в систему (группа не назначена, кроме пользователя домена) аутентификация не выполняется. Я понимаю, почему проверка подлинности не выполняется, поскольку для группы пользователей домена не настроены политики NPS. Но в то же время соискатель больше не отправляет ответы EAP аутентификатору (коммутатору). Почему он больше не пытается аутентифицироваться с помощью сертификата компьютера? Фактически, он больше не пытается аутентифицироваться.