Rozwiązywanie problemów z uwierzytelnianiem EAP-TLS na komputerach z systemem Windows przy użyciu ISE
Podczas próby uwierzytelnienia EAP-TLS przez Cisco ISE napotkano błąd wskazujący na niepowodzenie uwierzytelnienia. Ten problem utrudnił nam wdrożenie rozwiązania dostępu sieciowego zależnego od Cisco ISE. W tym artykule przyjrzymy się skutecznym metodom rozwiązania problemu komputerów z systemem Windows, które nie kończą uwierzytelniania EAP-TLS za pomocą ISE .
Zdarzenie 5400: Błąd uwierzytelniania.
Rozwiązywanie problemów z uwierzytelnianiem EAP-TLS w systemie Windows 11
W przypadku gdy systemy Windows nie mogą sfinalizować uwierzytelniania EAP-TLS za pomocą ISE i wyświetlają błąd zdarzenia 5400, należy rozważyć wdrożenie następujących rozwiązań:
- Usuń wpisy ponawiania prób.
- Dostosuj ustawienia weryfikacji certyfikatu.
- Skontaktuj się z pomocą techniczną firmy Microsoft.
Przyjrzyjmy się bliżej każdemu rozwiązaniu.
Rozwiązywanie problemu z zdarzeniem 5400 Błąd uwierzytelniania
1] Usuń wpisy rejestru
Ten problem zazwyczaj pojawia się, gdy zasady grupy nie wybierają odpowiednio certyfikatów głównych i pośrednich. Aby to naprawić, musisz usunąć kilka kluczy rejestru. Przed kontynuowaniem upewnij się, że wykonałeś kopię zapasową informacji rejestru. Następnie uruchom wiersz polecenia jako administrator i wykonaj następujące polecenia:
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKCU\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKCU\Software\Policies"/f
reg delete "HKLM\Software\Microsoft\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
reg delete "HKLM\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKLM\Software\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
Uwaga: Mogą pojawić się komunikaty wskazujące: „ BŁĄD: System nie mógł odnaleźć określonego klucza rejestru lub wartości. ”, które można zignorować.
Po wykonaniu tego kroku uruchom ponownie komputer i wybierz odpowiedni certyfikat główny i pośredniczący.
2] Modyfikuj ustawienia walidacji certyfikatu
Poprzednie wersje systemu Windows, takie jak Windows 10, miały różne logiki walidacji dla certyfikatów serwera oparte na różnych metodach EAP. W systemie Windows 11 firma Microsoft ujednoliciła tę logikę, aby dostosować ją do specyfikacji WPA3-Enterprise, zapewniając spójne i niezawodne działanie. Jeśli masz problemy z EAP-TLS i TLS 1.3, upewnij się, że serwer RADIUS jest zaktualizowany i poprawiony lub rozważ wyłączenie TLS 1.3 po stronie serwera. Ponadto potwierdź, że certyfikaty główne i pośrednie wykorzystywane przez serwer ISE są rozpoznawane jako godne zaufania przez klienta systemu Windows 11.
3] Skontaktuj się z pomocą techniczną firmy Microsoft
Jeśli żadne z poprzednich rozwiązań nie okaże się skuteczne, pomocne może być skontaktowanie się z pomocą techniczną firmy Microsoft. Odwiedź witrynę support.microsoft.com , zaloguj się na swoje konto i prześlij zgłoszenie opisujące problem, aby uzyskać pomoc.
Mamy nadzieję, że rozwiązania opisane w tym artykule pomogą Ci rozwiązać problem z uwierzytelnianiem.
Jak włączyć wznawianie sesji EAP TLS dla ISE?
Aby aktywować TLS Session Resume dla EAP-TLS, przejdź do Administracja > System > Ustawienia > Protokół > EAP-TLS. Zaznacz pole wyboru Włącz EAP TLS Session Resume i wprowadź wymagane wartości w polu EAP TLS Session Timeout.
Czym jest EAP w Cisco ISE?
W ramach Cisco Identity Services Engine (ISE) protokół Extensible Authentication Protocol (EAP) ułatwia bezpieczne uwierzytelnianie urządzeń próbujących połączyć się z siecią. EAP to adaptowalna struktura, która umożliwia różne metody uwierzytelniania, oferując elastyczność w procesach weryfikacji urządzeń i użytkowników.
Dodaj komentarz