使用 ISE 解決 Windows 電腦上的 EAP-TLS 驗證失敗問題

嘗試透過思科 ISE 進行 EAP-TLS 驗證時，遇到錯誤，指示驗證失敗。此問題阻礙了我們實施依賴思科 ISE 的網路存取解決方案的能力。在本文中，我們將探討有效的方法來解決Windows 電腦無法使用 ISE 完成 EAP-TLS 驗證的問題。

事件 5400：身份驗證失敗。

對 Windows 11 上的 EAP-TLS 驗證失敗進行故障排除

如果 Windows 系統無法透過 ISE 完成 EAP-TLS 驗證並顯示事件 5400 錯誤，請考慮實作下列解決方案：

1. 刪除重試條目。
2. 調整您的證書驗證設定。
3. 聯絡 Microsoft 支援。

讓我們更深入地研究每個解決方案。

解決事件 5400 身份驗證失敗

1]刪除註冊表項

當群組原則未正確選擇根憑證和中間憑證時，通常會出現此問題。要修正此問題，您需要刪除幾個註冊表項。在繼續之前，請確保備份您的註冊表資訊。接下來，以管理員身份啟動命令提示字元並執行以下命令：


reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKCU\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKCU\Software\Policies"/f
reg delete "HKLM\Software\Microsoft\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
reg delete "HKLM\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKLM\Software\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f


注意：您可能會收到指示「錯誤：系統無法找到指定的登錄項目或值。「這個可以忽略不計。

完成此步驟後，重新啟動電腦並選擇適當的根證書和中間證書。

2]修改證書驗證設定

先前的 Windows 版本（例如 Windows 10）是基於各種 EAP 方法對伺服器憑證具有不同的驗證邏輯。在 Windows 11 中，Microsoft 統一了此邏輯，以與 WPA3-Enterprise 規格保持一致，確保一致且可靠的體驗。如果您面臨 EAP-TLS 和 TLS 1.3 的挑戰，請確保您的RADIUS 伺服器已更新並修補，或考慮在伺服器端停用 TLS 1.3 。此外，確認 ISE 伺服器使用的根憑證和中間憑證被 Windows 11 用戶端辨識為可信任。

3]聯絡微軟支持

如果先前的解決方案都無效，聯絡 Microsoft 支援可能會有所幫助。請造訪support.microsoft.com，登入您的帳戶，然後提交概述您的問題的票證以取得協助。

如果幸運的話，本文中概述的解決方案可以幫助您解決身份驗證問題。

如何為 ISE 啟用 EAP TLS 會話復原？

若要啟動 EAP-TLS 的 TLS 會話恢復，請導覽至管理 > 系統 > 設定 > 協定 > EAP-TLS。選取標記為啟用 EAP TLS 會話復原的方塊，並在 EAP TLS 會話逾時欄位中輸入必要的值。

思科 ISE 中的 EAP 是什麼？

在思科身分服務引擎 (ISE) 中，可擴充身分驗證協定 (EAP) 有助於對嘗試連線到網路的裝置進行安全性驗證。 EAP 是一個適應性強的框架，允許使用各種身份驗證方法，為設備和使用者驗證流程提供靈活性。