Solución de errores de autenticación EAP-TLS en equipos Windows con ISE
Al intentar la autenticación EAP-TLS a través de Cisco ISE, se encontró un error que indicaba una falla de autenticación. Este problema impidió nuestra capacidad de implementar una solución de acceso a la red que dependa de Cisco ISE. En este artículo, exploraremos métodos efectivos para abordar el problema de las máquinas Windows que no completan la autenticación EAP-TLS con ISE .
Evento 5400: Error de autenticación.
Solución de problemas de autenticación EAP-TLS en Windows 11
En los casos en que los sistemas Windows no pueden finalizar la autenticación EAP-TLS con ISE y muestran el error de Evento 5400, considere implementar las siguientes soluciones:
- Eliminar entradas de reintento.
- Ajuste la configuración de validación de su certificado.
- Comuníquese con el soporte técnico de Microsoft.
Profundicemos en cada solución.
Resolución del error de autenticación del evento 5400
1] Eliminar entradas del registro
Este problema suele surgir cuando la directiva de grupo no selecciona correctamente los certificados raíz e intermedios. Para solucionarlo, deberá eliminar varias claves de registro. Antes de continuar, asegúrese de realizar una copia de seguridad de la información de registro. A continuación, inicie el símbolo del sistema como administrador y ejecute los siguientes comandos:
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKCU\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKCU\Software\Policies"/f
reg delete "HKLM\Software\Microsoft\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
reg delete "HKLM\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKLM\Software\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
Nota: Es posible que reciba mensajes que indiquen “ ERROR: El sistema no pudo encontrar la clave o el valor de registro especificado ”, lo cual puede ignorar.
Una vez que complete este paso, reinicie su computadora y seleccione los certificados raíz e intermedios apropiados.
2] Modificar la configuración de validación del certificado
Las versiones anteriores de Windows, como Windows 10, tenían diferentes lógicas de validación para los certificados de servidor según varios métodos EAP. Con Windows 11, Microsoft ha unificado esta lógica para alinearla con la especificación WPA3-Enterprise, lo que garantiza una experiencia consistente y confiable. Si enfrenta desafíos con EAP-TLS y TLS 1.3, asegúrese de que su servidor RADIUS esté actualizado y parcheado , o considere deshabilitar TLS 1.3 en el lado del servidor. Además, confirme que los certificados raíz e intermedios utilizados por el servidor ISE sean reconocidos como confiables por el cliente de Windows 11.
3] Comuníquese con el soporte técnico de Microsoft
Si ninguna de las soluciones anteriores resulta eficaz, puede resultar útil ponerse en contacto con el soporte técnico de Microsoft. Visite support.microsoft.com , inicie sesión en su cuenta y envíe un ticket en el que describa el problema para recibir asistencia.
Con un poco de suerte, las soluciones descritas en este artículo pueden ayudarle a resolver el problema de autenticación.
¿Cómo habilitar la reanudación de sesión EAP TLS para ISE?
Para activar la reanudación de sesión TLS para EAP-TLS, vaya a Administración > Sistema > Configuración > Protocolo > EAP-TLS. Marque la casilla Habilitar reanudación de sesión TLS EAP e ingrese los valores necesarios en el campo Tiempo de espera de sesión TLS EAP.
¿Qué es EAP en Cisco ISE?
Dentro de Cisco Identity Services Engine (ISE), el Protocolo de Autenticación Extensible (EAP) facilita la autenticación segura de los dispositivos que intentan conectarse a la red. EAP es un marco adaptable que permite varios métodos de autenticación, ofreciendo flexibilidad en los procesos de verificación de dispositivos y usuarios.
Deja una respuesta