none
公司网络开启802.1x认证后,一切正常,但是在Windows 登录账户界面,连接无线却无法正常通过认证,域控并报错。 RRS feed

  • 问题

  • xx-00209796是公司已加域的电脑主机名,认证时不知为什么多了$此符号,导致在windows系统登录界面,无法连接开启802.1x的无线,在登录界面,手动输入域账户和密码,还是认证失败,无法连接开启802.1x的无线,登录系统进入桌面后,就能正常,直接连接开启802.1x认证的无线。

    所有电脑都有此问题。

    域控报错信息

    网络策略服务器已拒绝向某个用户授予访问权限。

    有关详细信息,请与网络策略服务器管理员联系。

    用户:
    安全 ID: JTEXPRESS\xx-00209796$
    帐户名称: JTEXPRESS\xx-00209796$
    帐户域: JTEXPRESS
    完全限定的帐户名称: JTEXPRESS\xx-00209796$

    客户端计算机:
    安全 ID: NULL SID
    帐户名称: -
    完全限定的帐户名称: -
    被调用站标识符: 1C-20-DB-47-E5-20:WiFi_OFFICE
    调用站标识符: 8cc6-818c-1a86

    NAS:
    NAS IPv4 地址: 10.128.200.30
    NAS IPv6 地址: -
    NAS 标识符: SH_HQ-090001-32U-AC-HW6003-01
    NAS 端口类型: 无线 - IEEE 802.11
    NAS 端口: 185

    RADIUS 客户端:
    客户端友好名称: 无线ac
    客户端 IP 地址: 10.128.200.30

    身份验证详细信息:
    连接请求策略名称: 连接1
    网络策略名称: 连接1
    身份验证提供程序: Windows
    身份验证服务器: PAD.xxx.com
    身份验证类型: PEAP
    EAP 类型: Microsoft: 安全密码(EAP-MSCHAP v2)
    帐户会话标识符: 53485F48512D30303030303030303030303031383532303237303530313030303436
    日志记录结果: 将记帐信息写入本地日志文件。
    原因代码: 16
    原因: 由于用户凭据不匹配,身份验证失败。提供的用户名未映射到现有用户帐户或密码错误。

    2021年1月4日 7:41

答案

  • Hello ,

    为了更好的了解您的问题,请帮忙收集以下的信息:

    请问您的客户端是什么操作系统? windows 7还是windows 10? 如果是windows 10的话,具体到windows 10的什么系统版本? 1909 还是2004 或者其他版本? 还是和系统无关,不同的系统都会出现这样的问题?

    请问下图中指定的身份验证模式,选择的是什么模式?user authentication 还是 computer authentication 还是user or computer authentication?

    如果改成Computer authentication,看下问题是否还会出现。这个问题似乎之前已经有讨论了,或许您可以看下以下的链接是否对您有所帮助:

    Windows using domain\machinename$ during Computer Authentication

    注意:此回复中包含第三方链接,我们提供此链接旨在于方便参考, Microsoft 不能保证此链接中的任何信息和内容的有效性。

    请注意jsolb所说:

    domain\machinname$ is only used when the computer is setup with EAP-PEAP and authentication method = "user or computer authentication". In "Computer authentication" auth mode the correct host/machinname.fqdn is used and authentication works correctly.

    请注意cbjohns所说:

    This is specific to profile set as "User or computer authentication" with native Windows Supplicant on a 802.1x WPA2Enterprise - PEAP-MSCHAPv2 SSID. If a user interactively brings up the Wi-Fi taskbar on the logon screen, selects the corporate ssid, and clicks "Connect" manually - then the laptop will attempt to authentcate as "Domain\MachineName$". If the Wi-Fi is "toggled" or it attempts to automatically connect (connect automatically setting) without user-interaction of the "Connect" button - the laptop will attempt to authenticate as "host\FQDN-MachineName".

    如果配置的是EAP-PEAP+EAP-MSCHAP v2+User or computer authentication的验证方式,在登陆界面上,手动连接wifi就会出现使用Domain \ MachineName $验证并且验证失败的情况。

    作为workaround的方式,尝试使用仅计算机验证或者使用自动连接无线(不手动连接),看下问题是否可以解决。

    如果依旧无法解决的话,请谅解,由于我们实验环境的security的限制,我们无法重现此问题,另外如果要深入研究此问题的根本原因的话,需要进行抓包,但是作为论坛的工程师,log分析已经超出了我们的支持范围,而且由于论坛是公共开放的,我们没有隐私渠道来收集用户的log信息。因此建议联系微软客户服务代表,他们会帮你向微软开启电话或者是邮件case,这样可以保证隐私信息的情况下,通过1对1的方式进行技术支持。

    以下是微软开case的链接:

    https://support.microsoft.com/en-us/gp/customer-service-phone-numbers

    如果回复对您有所帮助的话,请您把回复标记为答复,方便论坛中其他有相同问题的用户快速找到有帮助的回复。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   


    2021年1月5日 2:06

全部回复

  • Hello ,

    为了更好的了解您的问题,请帮忙收集以下的信息:

    请问您的客户端是什么操作系统? windows 7还是windows 10? 如果是windows 10的话,具体到windows 10的什么系统版本? 1909 还是2004 或者其他版本? 还是和系统无关,不同的系统都会出现这样的问题?

    请问下图中指定的身份验证模式,选择的是什么模式?user authentication 还是 computer authentication 还是user or computer authentication?

    如果改成Computer authentication,看下问题是否还会出现。这个问题似乎之前已经有讨论了,或许您可以看下以下的链接是否对您有所帮助:

    Windows using domain\machinename$ during Computer Authentication

    注意:此回复中包含第三方链接,我们提供此链接旨在于方便参考, Microsoft 不能保证此链接中的任何信息和内容的有效性。

    请注意jsolb所说:

    domain\machinname$ is only used when the computer is setup with EAP-PEAP and authentication method = "user or computer authentication". In "Computer authentication" auth mode the correct host/machinname.fqdn is used and authentication works correctly.

    请注意cbjohns所说:

    This is specific to profile set as "User or computer authentication" with native Windows Supplicant on a 802.1x WPA2Enterprise - PEAP-MSCHAPv2 SSID. If a user interactively brings up the Wi-Fi taskbar on the logon screen, selects the corporate ssid, and clicks "Connect" manually - then the laptop will attempt to authentcate as "Domain\MachineName$". If the Wi-Fi is "toggled" or it attempts to automatically connect (connect automatically setting) without user-interaction of the "Connect" button - the laptop will attempt to authenticate as "host\FQDN-MachineName".

    如果配置的是EAP-PEAP+EAP-MSCHAP v2+User or computer authentication的验证方式,在登陆界面上,手动连接wifi就会出现使用Domain \ MachineName $验证并且验证失败的情况。

    作为workaround的方式,尝试使用仅计算机验证或者使用自动连接无线(不手动连接),看下问题是否可以解决。

    如果依旧无法解决的话,请谅解,由于我们实验环境的security的限制,我们无法重现此问题,另外如果要深入研究此问题的根本原因的话,需要进行抓包,但是作为论坛的工程师,log分析已经超出了我们的支持范围,而且由于论坛是公共开放的,我们没有隐私渠道来收集用户的log信息。因此建议联系微软客户服务代表,他们会帮你向微软开启电话或者是邮件case,这样可以保证隐私信息的情况下,通过1对1的方式进行技术支持。

    以下是微软开case的链接:

    https://support.microsoft.com/en-us/gp/customer-service-phone-numbers

    如果回复对您有所帮助的话,请您把回复标记为答复,方便论坛中其他有相同问题的用户快速找到有帮助的回复。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   


    2021年1月5日 2:06
  • Hello,

    请问目前问题进展如何?请随时让我了解最新的情况。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2021年1月6日 2:15
  • 懂了,十分感谢,问题完美解决。
    2021年1月6日 2:21
  • 懂了,十分感谢,问题完美解决。
    2021年1月6日 2:22
  • 很高兴您的问题已经解决,后续如果有任何其他问题,欢迎随时来论坛发帖咨询~ 

    祝您工作愉快!


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2021年1月6日 2:24