Здравствуйте!
Есть задача настроить 802.1x, чтобы доступ к интернету (VLAN1) получали пользователи, добавленные в специальную группу в Active Directory.
Собрал тестовый стенд, настроил аутентификацию 802.1x. При загрузке ПК и входе под пользователем, который принадлежит нужной группе, аутентификация не проходит, порт остается в статусе UnAuthorized, Windows пишет "Не удалось проверить подлинность...". Если отключить и подключить сетевой кабель, то аутентификация проходит: порт переключается в статус Authorized, на ПК появляется интернет. Аналогично работает, если в панели управления отключить и включить сетевое подключение.
Подробнее про стенд и настройки ниже.
Конфигурация тестового стенда:
- коммутатор D-Link DGS-1210-28/ME,
- сервер с Windows Server 2012 R2,
- ПК с Windows 10.
На DGS-1210 включил 802.1x, Port Based аутентификацию. Перевел Capability в Authenticator у тестовых портов 5-24. Включил Guest VLAN на портах 5-24.
Вложение:
1.jpg [ 397.58 KiB | Просмотров: 4104 ]
Вложение:
2.jpg [ 157.17 KiB | Просмотров: 4104 ]
Вложение:
3.jpg [ 155.94 KiB | Просмотров: 4104 ]
На сервере развернул Доменные службы Active Directory, Службы политики сети и доступа (только Сервер политики сети), Службы сертификатов Active Directory (только Центр сертификации). В домене создал отдельную группу testGroup. Администратора добавил в эту группу, тестового пользователя test - нет.
В сервере сетевых политик добавил RADIUS-клиента - коммутатор. В политики запросов на подключение добавил политику с единственным условием - Тип порта NAS - Ethernet.
В сетевые политики добавил политику для переключения в VLAN1 пользователей домена из группы testGroup.
На ПК включил проверку подлинности с помощью групповой политики. Скриншоты настроек на сервере и групповой политики в следующем сообщении.
Подскажите, в чем проблема?