Ma configuration comprend : Cisco ACS comme serveur RADIUS, MS AD, MS PKI, commutateurs Cisco 2960G. Les postes de travail sont à 95% des XP Pro SP3 entièrement corrigés, certains 7 pro entièrement corrigés.
L'auto-inscription au certificat informatique est activée et fonctionne.
GPO pour 
Paramètres NIC résultants du GPO sur la station de travail : 
La configuration des ports sur les commutateurs est la suivante :
switchport access vlan 56
mode d'accès switchport
contrôle de l'authentification - direction dans
événement d'authentification serveur vivant action réinitialiser
authentification hôte-mode multi-auth
authentification violation protéger
mab
authentificateur dot1x pae
spanning-tree portfast
Le problème que je rencontre est que lorsque les machines démarrent, elles tentent de s'authentifier avec leur nom d'hôte plutôt qu'avec leur certificat. Cela échoue, mais une minute plus tard, elles utilisent le certificat de l'ordinateur et l'authentification est réussie. La configuration fonctionne (en grande partie) mais de temps en temps, un ordinateur (environ 250 configurés pour dot1x jusqu'à présent) tente de s'authentifier avec son nom d'hôte, ce qui échoue et s'arrête. Si je redémarre le service autoconfig câblé, il s'authentifie parfaitement mais le redémarrage recrée le problème.
Il est également très ennuyeux que ces erreurs apparaissent dans les journaux, car leur fréquence m'empêche de configurer des alertes pour me prévenir lorsqu'un ordinateur non autorisé s'est connecté au réseau, c'est-à-dire qu'il y a trop de faux positifs.
Ma question est la suivante : pourquoi la station de travail tente-t-elle d'abord de s'authentifier avec son nom d'hôte alors que je l'ai configurée pour utiliser son certificat d'ordinateur ?
Du côté du sans fil, tout fonctionne parfaitement. Des AP et des WLC Cisco.
EDIT* J'ai trouvé un hotfix KB957931 qui indique que XP SP3 ignorera le trafic dot1x pendant 20 minutes après avoir reçu un message d'échec d'authentification. Le correctif vous permet de créer une clé de registre pour modifier ce paramètre précédemment codé en dur. J'ai appliqué le correctif à une station de travail et modifié le temps de blocage à 1 minute (le minimum) et maintenant, après une minute, la station de travail s'authentifie mais ne renouvelle pas son IP. L'attente d'une minute n'est pas idéale, pas plus que le renouvellement de l'IP. Je reste donc sur ma question initiale, à savoir pourquoi le boîtier choisit-il de s'identifier avec son nom plutôt qu'avec son certificat ?
MISE À JOUR* 1/11/12 J'ai rencontré ce problème à nouveau aujourd'hui et j'ai fouillé un peu dans le client. J'ai remarqué que dans l'onglet d'authentification de la connexion au réseau local, les paramètres n'étaient plus grisés et avaient été modifiés pour utiliser des mots de passe plutôt que des certificats. Je sais que la stratégie de groupe locale est appliquée au démarrage, que le PC appartienne ou non à un domaine, et je sais que ma GPO de domaine a priorité sur tout ce qui est défini localement. Lorsque le PC ne parvient pas à s'authentifier pour une raison quelconque (dans ce cas, une panne de courant du matériel réseau), il n'applique plus les stratégies du domaine et, apparemment, tous mes paramètres sont modifiés. Je ne sais pas pourquoi ils changent puisqu'aucun GPO local n'a jamais été configuré.
Ainsi, en plus de vouloir savoir pourquoi les PC s'identifient avec leur nom d'hôte avant d'utiliser leur certificat, j'ai maintenant une deuxième question.
Comment puis-je créer une stratégie de groupe locale sur les postes de travail XP avec les paramètres dot1x (ils sont absents des modèles par défaut disponibles) et comment puis-je les pousser vers tous mes postes de travail ? J'ai cherché à utiliser des modèles de sécurité, mais ils ne contiennent pas les paramètres dont j'ai besoin. Je dois appliquer les paramètres à partir de Computer Config -> Policies -> Windows Settings -> Security Settings -> System Services. Cette dernière partie est absente des GPO locales sous XP et du snap-in SCA.
Il convient de noter que j'ai déjà une GPO de domaine qui fonctionne parfaitement. N'y a-t-il pas un moyen simple de l'exporter et de l'appliquer comme GPO locale pour chaque poste de travail ?
Une réponse à l'une ou l'autre de ces questions donnera lieu à l'attribution de points complets.
