声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com

一个客户在企业网络中做了802.1X身份验证,没有采用证书部分,问题在,当域账户密码过期时,客户端计算机无法收到更改密码的提示,后来采用的是,在策略的第一条上加上了验证条件为Domain Computers,问题是得到了解决,却出现了所有用户上班了,都会到Vlan1里面去获取一次地址,然后在获取不同地址。在该策略中并未配置Vlan号,是否这条策略默认会获取Vlan1的地址。

回答:根据您的描述我了解到,客户网络中部署了802.1X身份验证机制,然而当域账户密码过期时,客户端电脑没有收到更改密密码的提示,后来在策略的第一条上加上了验证条件为Domain Computers,问题是得到了解决,然而,用户电脑在开始时会首先从Vlan1里面获得一次IP地址,然后在从各自的网段获得不同的IP地址。

关于客户端无法收到密码过期提示的问题,根据我的经验来说,这个问题和是否启用Domain Computers的验证条件并没有实际的联系;问题可能是由于域中相应的组策略没有配置,或者没有生效所造成的。因此,请首先确认我们是否已经配置了密码过期提示的组策略,如果没有配置,请在以下GPO位置中对其进行配置:

计算机配置\Windows 设置\安全设置\本地策略\安全选项\交互式登录:在密码到期前提示用户更改密码

关于以上配置详情,请参考这篇文章:http://technet.microsoft.com/zh-cn/library/cc783344(WS.10).aspx

如果我们已经配置了以上的组策略,然而问题依然存在,那么,请在一台有问题的客户端电脑上运行这条命令: gpresult/v > C:\policy.txt , 并将生成的C:\policy.txt文件上传到以下的空间内,我将检查文件内容来确认相应的组策略是否已经生效。

关于启用Domain Computers的验证条件后,客户端电脑会先从Vlan1里面去获取一次地址这个问题,为了更清楚的了解问题的情况,有以下信息需要您来帮助我确认:

1. 不同Vlan之间是通过什么方式来获得IP地址的? 是通过Windows DHCP还是其它的方式?
2. 请对Vlan的划分情况进行下描述。
3. 客户端电脑在获得Vlan1的地址后,经过多长时间会重新获得新的正确的IP地址?

为了确认此问题是否与开启Domain Computers的验证条件有关,我建议我们可以临时关闭Domain Computers的验证条件,然后观察客户端电脑IP地址的获得情况是否正常。

我已经对Group Policy的文件进行了查看,在文件中我们有找到以下的组策略配置信息。因此就客户端无法收到密码过期提示这一问题来说,很可能是因为这个原因所造成的。因此我建议我们可以配置以下的组策略来解决这个问题。

· 计算机配置\Windows 设置\安全设置\本地策略\安全选项\交互式登录:在密码到期前提示用户更改密码

对于您回复中的第3个问题,我的理解是这样的: 如果用本地账户登录的话,客户端电脑将会获得Vlan1的IP地址;当注销本地账户后使用domain 账户登录客户端电脑会立刻或得正确Vlan的地址。

就这个问题我想了解下信息: 我们的网络中是否有开启802.1x强制功能? 如果有,那么请确认是否配置了受限制的Vlan ID

根据我们的经验来说,这个问题可能是由于802.1x强制中我们配置了受限制的Vlan ID 为Vlan 1,所造成的。当客户端电脑没有通过健康检测策略的情况下会被分配的受限制的Vlan (Vlan 1)中。

我们可以按照以下的步骤来检查是否配置了Vlan 1 为受限制的Vlan。

打开NPS 控制台,定位到:NPS(local)->Policies->Network Policies ->Noncompliant Policy(受限制的策略名称)。

双击Noncompliant Policy策略,在设置页面中选择“标准”,然后查看Tunnel-Pvt_Group-ID 是否为1。

如果为1,则证明我们已经配置了Vlan 1为这条策略的受限制Vlan。 如果我们不希望客户端获得Vlan1的地址的话,我们可以改用其它的值。 或者如果这条策略不需要的话,我们也可以将其删除。

关于802.1x强制的更多信息,请参考以下这篇文章:

Configure Policies for 802.1X Enforcement
http://technet.microsoft.com/zh-cn/library/dd314181(WS.10).aspx

Xiongfei Wu