Windows-maskiner kan ikke fuldføre EAP-TLS-godkendelse med ISE

Under EAP-TLS-godkendelsesprocessen med ISE stødte vi på en fejl, der indikerer, at godkendelsen var mislykket. På grund af dette undlader vi at implementere en netværksadgangsløsning for organisationen, da den er afhængig af Cisco ISE til det samme. I dette indlæg skal vi se, hvad vi skal gøre, se hvad du skal hvornårWindows-maskiner kan ikke fuldføre EAP-TLS-godkendelse med ISE.

Event 5400-godkendelse mislykkedes.

Hvis Windows-maskiner ikke kan fuldføre EAP-TLS-godkendelse med ISE, med Event 5400 Authentication failed-fejl, skal du følge nedenstående løsninger.

1. Slet genindtastninger
2. Opdater din certifikatvalideringsadfærd
3. Kontakt Microsoft Support

Lad os diskutere dem i detaljer.

Fix Event 5400 Authentication failed fejl

1] Slet poster i registreringsdatabasen

Normalt er dette problem et resultat af, at din gruppepolitik ikke vælger rod- og mellemcertifikater. For at løse problemet er vi forpligtet til at slette nogle få poster i registreringsdatabasen. Men før du gør det, bør du tage en. Når du er færdig, skal du åbneKommandopromptsom administrator og kør derefter følgende forespørgsler.

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies" /f

reg delete "HKCU\Software\Microsoft\WindowsSelfHost" /f

reg delete "HKCU\Software\Policies" /f

reg delete "HKLM\Software\Microsoft\Policies" /f

reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies" /f

reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate" /f

reg delete "HKLM\Software\Microsoft\WindowsSelfHost" /f

reg delete "HKLM\Software\Policies" /f

reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies" /f

reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies" /f

reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate" /f

Note: Du får muligvis et par beskeder, der siger "” – ignorer dem bare.

Når du har gjort dette, skal du genstarte computeren. Efter en genstart skal du vælge rod- og mellemcertifikaterne.

2] Opdater din certifikatvalideringsadfærd

I tidligere versioner af Windows, inklusive Windows 10, var servercertifikatets valideringslogik forskellig på tværs af forskellige EAP-metoder. I Windows 11 har Microsoft standardiseret denne logik for at sikre ensartet og forudsigelig adfærd, der stemmer overens med WPA3-Enterprise-specifikationen. Denne nye tilgang gælder for alle EAP-godkendelsesmetoder leveret af Windows, inklusive dem, der bruges til Wi-Fi, Ethernet og VPN-forbindelser. Da vi oplever problemer med EAP-TLS og TLS 1.3, skal vi sikre, atRADIUS-serveren er patchet og opdateret, eller vi bør overvejedeaktivering af TLS 1.3på serveren. Sørg desuden for, at rod- og mellemcertifikaterne, der bruges af ISE-serveren, er tillid til af Windows 11-klienten

3] Kontakt Microsoft Support

Hvis alt andet fejler, anbefaler vi dig. For dette kan du gå tilsupport.microsoft.com, og log derefter ind på din konto. Derefter kan du rejse en billet, diskutere dit problem, og forhåbentlig vil du modtage en løsning.

Forhåbentlig kan du løse problemet ved hjælp af løsningerne nævnt i dette indlæg.

Læse:

Hvordan aktiverer jeg EAP TLS-sessionsgenoptagelse for ISE?

For at aktivere TLS Session Resume for EAP-TLS skal du gå tilAdministration > System > Indstillinger > Protokol > EAP-TLS.Nu skal du markere afkrydsningsfeltet, der sigerAktiver genoptagelse af EAP TLS-sessionog indtast derefter de påkrævede værdier i feltet for EAP TLS Session Timeout.

Læse:

Hvad er EAP i ISE?

I Cisco Identity Services Engine (ISE), giver EAP eller Extensible Authentication Protocol sikker godkendelse for enheder, der forsøger at oprette forbindelse til netværket. EAP er en ramme, der understøtter flere autentificeringsmetoder, hvilket giver fleksibilitet i, hvordan enheder og brugere godkendes.

Læse:.