H3C交换机dot1X+AD+IAS+CA配置实验五（解决用户尚未登录无法验证问题）

 

到这里，实验已经基本完成，可是有一个问题无法解决。就是我的客户机都是指定Ip地址了，而非dhcp，也就无法使用动态vlan了。这样就有一个问题，如果更换一个用户登录客户机，这个用户此前从未登录过这台客户机。那么就产生了首先dot1x没有认证通过，也就无法联系域控制器，更谈不上下载用户证书了，没有用户证书，就别想通过dot1x认证了。所以新用户登录时，总是提示域不可用。
 
Google查询，发现也难倒了不少人。于是再查看IAS的日志，发现并不是想象的那样没有向IAS发送认证请求，这样事情就有转机了，再仔细查看日志，有如下信息:
用户 host/客户机名.域名 被拒绝访问。
Full-Qualified-User-Name = 域名/computers/主机名
……
Reason = 连接企图失败，因为用户帐户的远程访问许可被拒绝……
 
 
眼前顿时豁然开朗，呵呵，只要将AD中的domain computers组类属与远程访问策略被授权的用户组即可。测试ok，出现如下提示：
用户 host/客户机名.域名 被授予了访问权。
 
总结：域内主机加入AD之后，首先申请得到一个计算机证书，然后用户登录之后再得到一个用户证书。而用户尚未登录时，客户机会传送主机证书，而主机证书的用户名所在群组属于AD中的domain computer 组。所以广义的将，AD内的计算机也可视为用户了。