Назад | Перейти на главную страницу

Проводной 802.1x в Windows 10 1803 не использует кеш

Итак, я уже довольно давно пытался решить проблемы с аутентификацией в проводной сети 802.1x с ограниченным успехом. Среда основана на Server 2012, Enterasys NAC с использованием EAP-TLS1.2 с относительно простой инфраструктурой PKI. У нас Windows 10 и Windows 7, Windows 7 каждый раз проходит проверку подлинности. По какой-то причине компьютеры с Windows 10 не всегда проходят аутентификацию должным образом.

Поскольку у нас строгая политика 802.1x, мы не позволяем трафику LDAP или HTTP покидать порты, которые не прошли проверку подлинности, что мне кажется разумным. Проблема в том, что клиенты либо не кэшируют результаты CRL / OCSP, либо процесс lsass игнорирует локальный кеш и переходит прямо к серверам CDP.

Все это должно работать нормально, но периодически аутентифицируется. Я посмотрел на захват пакетов, и как только коммутатор отправит последнюю часть своего сертификата, происходит поиск на сервере pki. Я просмотрел журналы систем, безопасности, eaphost, ndis, capi2, eapmethods-rastls, lsa, сетевого профиля, nlasvc, wired-autoconfig и приложений. Ни в одной из ошибок нет упоминания об использовании.

Кроме того, трафик от компьютера, который аутентифицируется, и компьютера, который не аутентифицируется, выглядит точно так же, за исключением поиска OCSP на компьютере, который не работает. Все они работают под управлением одного и того же образа Windows 10 Pro и влияют на различные типы оборудования и производителей. Также это происходит, даже если я устанавливаю из ISO 1803 Pro от Microsoft. Как только я присоединяюсь к домену и переключаюсь на принудительную сеть 802.1x, аутентификация не проходит из-за проверки CRL.

Также стоит отметить, что 802.1x EAP-TLS1.2 отлично работает с WiFi, поскольку не выполняет проверку отзыва.

Любая помощь будет оценена по достоинству!