Configurei a autenticação do computador na conexão WiFi à rede da empresa, usando o servidor microsoft nps, registro automático de certificado de política de grupo e configuração wifi de política de grupo. Tem funcionado muito bem por vários anos.
Recentemente, meu laptop começou a mostrar este prompt a cada reinicialização/reconexão: "Continuar conectando? Se você espera encontrar X neste local, vá em frente e conecte"
Então, verifiquei a impressão digital do servidor nos certificados emitidos pela CA e ela corresponde à impressão digital do certificado atual e válido atribuído ao servidor NPS.
Além disso, este mesmo certificado (com mesma data de expiração) é configurado no servidor NPS como certificado a ser usado para comprovar a identidade:
Além disso, a autoridade de certificação raiz é configurada no GPO como raiz confiável para autenticação do NPS:
Além disso, o STL-SVRADMIN-CA é adicionado como uma CA raiz confiável no laptop, mostrando o prompt de ação necessária:
O mesmo certificado é usado para o servidor IIS no SVRADMIN, que é validado muito bem:
Então a pergunta: Por que este laptop está me pedindo para ir em frente? Parece que ele deve ser capaz de verificar a identidade do NPS pela CA configurada e pela impressão digital do servidor mostrada no prompt.
Tudo bem, então eu encontrei a solução, com alguma ajuda de @GregAskew por me apontar na direção certa.
Aparentemente, quando você insere o FQDN nas "Propriedades EAP protegidas", esse FQDN diferencia maiúsculas de minúsculas . (Você acredita nisso?)
Depois que mudei o sufixo de domínio de stl.local minúsculo para STL.local maiúsculo, em seguida, emiti um
gpupdate /force
e reiniciei meu laptop, tudo funcionou novamente como antes.