Risoluzione degli errori di autenticazione EAP-TLS su macchine Windows con ISE
Durante il tentativo di autenticazione EAP-TLS tramite Cisco ISE, si è verificato un errore che indicava un errore di autenticazione. Questo problema ha impedito la nostra capacità di implementare una soluzione di accesso alla rete dipendente da Cisco ISE. In questo articolo, esploreremo metodi efficaci per risolvere il problema delle macchine Windows che non completano l’autenticazione EAP-TLS con ISE .
Evento 5400: errore di autenticazione.
Risoluzione dei problemi di autenticazione EAP-TLS su Windows 11
Nei casi in cui i sistemi Windows non sono in grado di finalizzare l’autenticazione EAP-TLS con ISE e visualizzano l’errore Evento 5400, valutare l’implementazione delle seguenti soluzioni:
- Rimuovere le voci di nuovo tentativo.
- Modifica le impostazioni di convalida del certificato.
- Contatta il supporto Microsoft.
Analizziamo più nel dettaglio ciascuna soluzione.
Risoluzione dell’errore di autenticazione dell’evento 5400
1] Rimuovi voci di registro
Questo problema si verifica in genere quando Group Policy non seleziona correttamente i certificati Root e Intermediate. Per risolvere il problema, dovrai eliminare diverse chiavi del registro. Prima di procedere, assicurati di eseguire il backup delle informazioni del registro. Quindi, avvia il Prompt dei comandi come amministratore ed esegui i seguenti comandi:
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKCU\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKCU\Software\Policies"/f
reg delete "HKLM\Software\Microsoft\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
reg delete "HKLM\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKLM\Software\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
Nota: potresti ricevere messaggi che indicano ” ERRORE: il sistema non è riuscito a trovare la chiave o il valore del registro specificato. ” che possono essere ignorati.
Una volta completato questo passaggio, riavvia il computer e seleziona i certificati radice e intermedi appropriati.
2] Modificare le impostazioni di convalida del certificato
Le versioni precedenti di Windows, come Windows 10, avevano logiche di convalida diverse per i certificati server basati su vari metodi EAP. Con Windows 11, Microsoft ha unificato questa logica per allinearla alla specifica WPA3-Enterprise, garantendo un’esperienza coerente e affidabile. Se stai riscontrando problemi con EAP-TLS e TLS 1.3, assicurati che il tuo server RADIUS sia aggiornato e patchato , oppure prendi in considerazione la disattivazione di TLS 1.3 sul lato server. Inoltre, conferma che i certificati radice e intermedi utilizzati dal server ISE siano riconosciuti come affidabili dal client Windows 11.
3] Contatta il supporto Microsoft
Se nessuna delle soluzioni precedenti si rivela efficace, potrebbe essere utile contattare il Supporto Microsoft. Visita support.microsoft.com , accedi al tuo account e invia un ticket descrivendo il tuo problema per ricevere assistenza.
Con un po’ di fortuna, le soluzioni descritte in questo articolo possono aiutarti a risolvere il problema di autenticazione.
Come abilitare la ripresa della sessione EAP TLS per ISE?
Per attivare TLS Session Resume per EAP-TLS, vai su Administration > System > Settings > Protocol > EAP-TLS. Seleziona la casella etichettata Enable EAP TLS Session Resume e inserisci i valori necessari nel campo EAP TLS Session Timeout.
Che cos’è EAP in Cisco ISE?
All’interno del Cisco Identity Services Engine (ISE), l’Extensible Authentication Protocol (EAP) facilita l’autenticazione sicura per i dispositivi che tentano di connettersi alla rete. EAP è un framework adattabile che consente vari metodi di autenticazione, offrendo flessibilità nei processi di verifica dei dispositivi e degli utenti.
Lascia un commento