在使用 ISE 进行 EAP-TLS 身份验证过程中,我们遇到一条错误,指示身份验证失败。因此,我们无法为该组织部署网络访问解决方案,因为该解决方案依赖于思科 ISE。在这篇文章中,我们将了解该做什么以及何时做什么Windows 计算机无法使用 ISE 完成 EAP-TLS 身份验证。
事件 5400 身份验证失败。
修复 Windows 11 计算机无法使用 ISE 完成 EAP-TLS 身份验证
如果 Windows 计算机无法使用 ISE 完成 EAP-TLS 身份验证,并出现事件 5400 身份验证失败错误,请按照下面提到的解决方案进行操作。
- 删除重试条目
- 更新您的证书验证行为
- 联系微软支持
让我们详细讨论它们。
修复事件 5400 身份验证失败错误
1]删除注册表项
通常,此问题是由于您的组策略未选择根证书和中间证书造成的。为了解决该问题,我们需要删除一些注册表项。然而,在这样做之前,您应该采取。完成后,打开命令提示符作为管理员,然后运行以下查询。
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies" /f reg delete "HKCU\Software\Microsoft\WindowsSelfHost" /f reg delete "HKCU\Software\Policies" /f reg delete "HKLM\Software\Microsoft\Policies" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate" /f reg delete "HKLM\Software\Microsoft\WindowsSelfHost" /f reg delete "HKLM\Software\Policies" /f reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies" /f reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies" /f reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate" /f
注意:您可能会收到几条消息:“错误:系统无法找到指定的注册表项或值。”,忽略它们即可。
完成此操作后,重新启动计算机。重新启动后,选择根证书和中间证书。
2]更新您的证书验证行为
在早期版本的 Windows(包括 Windows 10)中,各种 EAP 方法的服务器证书验证逻辑有所不同。在 Windows 11 中,Microsoft 已标准化此逻辑,以确保符合 WPA3-Enterprise 规范的一致且可预测的行为。这种新方法适用于 Windows 提供的所有 EAP 身份验证方法,包括用于 Wi-Fi、以太网和 VPN 连接的方法。由于我们遇到了 EAP-TLS 和 TLS 1.3 的问题,因此我们需要确保RADIUS 服务器已打补丁并且是最新的,或者我们应该考虑禁用 TLS 1.3在服务器上。此外,请确保 ISE 服务器使用的根证书和中间证书受到 Windows 11 客户端的信任
3]联系微软支持
如果一切都失败了,我们建议您。为此,您可以访问支持.microsoft.com,然后登录您的帐户。然后,您可以提出请求,讨论您的问题,希望您能得到解决方案。
希望您可以使用本文中提到的解决方案解决该问题。
读:
如何为 ISE 启用 EAP TLS 会话恢复?
为了启用 EAP-TLS 的 TLS 会话恢复,您需要转至管理 > 系统 > 设置 > 协议 > EAP-TLS。现在,您需要勾选显示的复选框启用 EAP TLS 会话恢复然后在 EAP TLS 会话超时字段中输入所需的值。
读:
ISE 中的 EAP 是什么?
在思科身份服务引擎 (ISE) 中,EAP 或可扩展身份验证协议为尝试连接到网络的设备提供安全身份验证。 EAP 是一个支持多种身份验证方法的框架,允许灵活地对设备和用户进行身份验证。
读:。
