我正在使用一个 2008 r2 dc,它也执行 Radius (NPS),我还有一个 2008 r2 证书颁发机构正在颁发证书。计算机正在获取证书,并且当用户登录到设备(之前已登录)时,将被放入正确的 VLAN(根据那里的用户访问)。但是,我无法让计算机在登录之前加入无线网络,以便他们可以使用其域帐户登录并通过无线进行身份验证。基本设置是计算机获取组策略,该策略告诉它获取证书,然后计算机有一个单独的 vlan 作为计算机帐户加入,但是无线计算机不会通过该 vlan 连接。(此 VLAN 仅在验证用户凭据后才允许登录信息,它会将它们放入另一个 VLAN)。
所以我想弄清楚为什么笔记本电脑不会像电脑一样自动连接到无线网络。
谢谢
忘了提Win 7 ent客户端。
编辑:我得到了这个工作但是我有一个问题,如果没有证书的人(例如 iphone)一旦你选择接受它就会提示他们是否要接受证书,它会让你加入网络。我试图让您的设备必须属于某个组,但是当这种情况发生时,即使是正确组中的有效计算机也无法加入。有没有其他人经历过这个?
如果笔记本电脑有英特尔 proset wifi 卡,则可以通过管理工具使用“英特尔 proset 无线登录前连接”。它允许您创建一个大约 100KB 的可执行文件,该文件应用一个或多个无线配置文件,这些配置文件可以在 Windows 登录之前对 WAP 进行身份验证。我这样做并通过组策略将其推出,因此我可以在任何用户登录之前 VNC 到 Windows 7 工作站。我使用的是预共享密钥,但我记得在手册中也看到了半径说明。
您是否混淆了 WLAN 和 VLAN?无线客户端通常可以决定他们加入哪个WLAN(基于 SSID),但VLAN标记通常不会暴露给无线客户端。通常由 AP 与 WLAN 控制器(如果有)和 RADIUS(或其他 AAA)服务器一起决定当 AP 将其桥接到线路上时,应该使用哪个 VLAN ID 来标记该客户端的流量。
因此,如果客户端未能尝试加入正确的WLAN (SSID),则表明客户端可能存在配置错误。但是,如果他们的流量被标记了错误的 VLAN ID,那可能是网络基础设施的问题。
当然,如果您在 SSID 和 VLAN 之间有 1:1 映射,那么我的观点是没有实际意义的。
编辑:再想一想:您是否启用了 EAP-TLS(又名“智能卡或其他证书”)身份验证并在您的 RADIUS 服务器上工作?因为如果您一直在通过另一种 EAP 类型(例如 PEAP)对用户进行身份验证,则可能是您还没有启动 EAP-TLS 并开始工作。您可以尝试使用用户证书作为用户进行身份验证,就像检查 EAP-TLS 是否正常工作一样。