Resolução de falhas de autenticação EAP-TLS em máquinas Windows com ISE
Ao tentar autenticação EAP-TLS por meio do Cisco ISE, um erro foi encontrado indicando falha de autenticação. Esse problema impediu nossa capacidade de implementar uma solução de acesso à rede dependente do Cisco ISE. Neste artigo, exploraremos métodos eficazes para resolver o problema de máquinas Windows que não concluem a autenticação EAP-TLS com o ISE .
Evento 5400: Falha de autenticação.
Solução de problemas de falhas de autenticação EAP-TLS no Windows 11
Nos casos em que os sistemas Windows não conseguem finalizar a autenticação EAP-TLS com o ISE e exibem o erro Evento 5400, considere implementar as seguintes soluções:
- Remova entradas de nova tentativa.
- Ajuste suas configurações de validação de certificado.
- Entre em contato com o Suporte da Microsoft.
Vamos nos aprofundar em cada solução.
Resolvendo a falha de autenticação do evento 5400
1] Remover entradas do registro
Esse problema geralmente surge quando a Política de Grupo não seleciona adequadamente os certificados Raiz e Intermediário. Para corrigir isso, você precisará excluir várias chaves de registro. Antes de prosseguir, certifique-se de fazer backup das informações do registro. Em seguida, inicie o Prompt de Comando como administrador e execute os seguintes comandos:
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKCU\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKCU\Software\Policies"/f
reg delete "HKLM\Software\Microsoft\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
reg delete "HKLM\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKLM\Software\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
Observação: você pode receber mensagens indicando “ ERRO: O sistema não conseguiu encontrar a chave ou o valor do registro especificado ”, o que pode ser desconsiderado.
Após concluir esta etapa, reinicie o computador e selecione os certificados raiz e intermediários apropriados.
2] Modificar configurações de validação de certificado
Versões anteriores do Windows, como o Windows 10, tinham lógicas de validação diferentes para certificados de servidor com base em vários métodos EAP. Com o Windows 11, a Microsoft unificou essa lógica para se alinhar à especificação WPA3-Enterprise, garantindo uma experiência consistente e confiável. Se você estiver enfrentando desafios com EAP-TLS e TLS 1.3, certifique-se de que seu servidor RADIUS esteja atualizado e corrigido ou considere desabilitar o TLS 1.3 no lado do servidor. Além disso, confirme se os certificados raiz e intermediários utilizados pelo servidor ISE são reconhecidos como confiáveis pelo cliente Windows 11.
3] Entre em contato com o suporte da Microsoft
Se nenhuma das soluções anteriores for eficaz, pode ser útil entrar em contato com o Suporte da Microsoft. Visite support.microsoft.com , entre na sua conta e envie um tíquete descrevendo seu problema para receber assistência.
Com alguma sorte, as soluções descritas neste artigo podem ajudar você a resolver o problema de autenticação.
Como habilitar a retomada de sessão EAP TLS para ISE?
Para ativar o TLS Session Resume para EAP-TLS, navegue até Administration > System > Settings > Protocol > EAP-TLS. Marque a caixa chamada Enable EAP TLS Session Resume e insira os valores necessários no campo EAP TLS Session Timeout.
O que é EAP no Cisco ISE?
Dentro do Cisco Identity Services Engine (ISE), o Extensible Authentication Protocol (EAP) facilita a autenticação segura para dispositivos que tentam se conectar à rede. O EAP é uma estrutura adaptável que permite vários métodos de autenticação, oferecendo flexibilidade nos processos de verificação de dispositivos e usuários.
Deixe um comentário