In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Konfiguration des Secure Client Network Analysis Module (NAM) unter Windows beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
In diesem Dokument wird beschrieben, wie Secure Client NAM unter Windows konfiguriert wird. Es werden die Option "Pre-deploy" und der Profil-Editor für die dot1x-Authentifizierung verwendet. Außerdem werden einige Beispiele dafür gegeben, wie dies erreicht wird.
Im Netzwerk ist ein Supplicant eine Einheit an einem Ende eines Punkt-zu-Punkt-LAN-Segments, die durch einen Authentifikator authentifiziert werden soll, der mit dem anderen Ende dieser Verbindung verbunden ist. Der IEEE 802.1X-Standard verwendet den Begriff "Supplicant" für Hardware oder Software. In der Praxis ist eine Komponente eine Softwareanwendung, die auf einem Endbenutzercomputer installiert ist. Der Benutzer ruft die Komponente auf und sendet Anmeldeinformationen, um den Computer mit einem sicheren Netzwerk zu verbinden. Wenn die Authentifizierung erfolgreich ist, ermöglicht der Authentifizierer dem Computer in der Regel, eine Verbindung mit dem Netzwerk herzustellen.
Informationen zu Network Access Manager
Network Access Manager ist eine Client-Software, die ein sicheres Layer-2-Netzwerk im Einklang mit den entsprechenden Richtlinien bereitstellt. Es erkennt und wählt das optimale Layer-2-Zugriffsnetzwerk aus und führt eine Geräteauthentifizierung für den Zugriff auf kabelgebundene und Wireless-Netzwerke durch. Network Access Manager verwaltet die Identität von Benutzern und Geräten sowie die für den sicheren Zugriff erforderlichen Netzwerkzugriffsprotokolle. Die Lösung verhindert auf intelligente Weise, dass Endbenutzer Verbindungen herstellen, die gegen vom Administrator definierte Richtlinien verstoßen.
Der Network Access Manager ist Single-Homed-fähig und ermöglicht jeweils nur eine Netzwerkverbindung. Kabelgebundene Verbindungen haben zudem eine höhere Priorität als drahtlose Verbindungen. Wenn Sie also über eine Kabelverbindung mit dem Netzwerk verbunden sind, wird der Wireless-Adapter ohne IP-Adresse deaktiviert.
Es ist wichtig zu verstehen, dass für dot1x-Authentifizierungen drei Teile erforderlich sind: die Komponente, die dot1x ausführen kann, der Authentifizierer, der auch als NAS/NAD bezeichnet wird und als Proxy dient, der den dot1x-Datenverkehr innerhalb von RADIUS kapselt, und der Authentifizierungsserver.
In diesem Beispiel wird die Komponente auf unterschiedliche Weise installiert und konfiguriert. Später wird ein Szenario mit der Konfiguration des Netzwerkgeräts und dem Authentifizierungsserver angezeigt.
Cisco Software-Download
Geben Sie in der Suchleiste des Produktnamens "Secure Client 5" ein.
Downloads Startseite > Sicherheit > VPN- und Endpunkt-Sicherheits-Clients > Sicherer Client (einschließlich AnyConnect) > Sicherer Client 5 > AnyConnect VPN-Client-Software.
In diesem Konfigurationsbeispiel wird Version 5.1.2.42 verwendet.
Es gibt mehrere Möglichkeiten, Secure Client auf Windows-Geräten bereitzustellen: über SCCM, die Identity Service Engine und das VPN-Headend. In diesem Artikel wird jedoch als Installationsmethode die Pre-Deploy-Methode verwendet.
Suchen Sie auf der Seite nach der Datei Cisco Secure Client Headend Deployment Package (Windows).
Klicken Sie nach dem Herunterladen und Entpacken auf Setup.
Installieren Sie die Module Network Access Manager und Diagnostics and Reporting Tool.
Warnung: Wenn Sie den Cisco Secure Client Wizard verwenden, wird das VPN-Modul automatisch installiert und in der GUI ausgeblendet. NAM funktioniert nicht, wenn das VPN-Modul nicht installiert ist. Wenn Sie einzelne MSI-Dateien oder eine andere Installationsmethode verwenden, stellen Sie sicher, dass Sie das VPN-Modul installieren.
Klicken Sie auf Install Selected (Ausgewählte installieren).
Akzeptieren Sie die EULA.
Nach der NAM-Installation ist ein Neustart erforderlich.
Nach der Installation kann es gefunden und von der Windows-Suchleiste geöffnet werden.
Der Profil-Editor des Cisco Network Access Manager ist erforderlich, um die Dot1x-Voreinstellungen zu konfigurieren.
Die Option "Profil-Editor" befindet sich auf der Seite, auf der auch der sichere Client heruntergeladen wird.
In diesem Beispiel wird die Option mit Version 5.1.2.42 verwendet.
Fahren Sie nach dem Herunterladen mit der Installation fort.
Führen Sie die msi-Datei aus.
Verwenden Sie die Option Typisch.
Klicken Sie auf Beenden.
Öffnen Sie nach der Installation den Network Access Manager Profile Editor in der Suchleiste.
Die Installation von Network Access Manager und Profile Editor ist abgeschlossen.
Alle in diesem Artikel vorgestellten Szenarien enthalten Konfigurationen für:
Navigieren Sie zum Abschnitt Netzwerke.
Das standardmäßige Netzwerkprofil kann gelöscht werden.
Klicken Sie auf Hinzufügen.
Nennen Sie das Netzwerkprofil.
Wählen Sie Global als Gruppenmitgliedschaft aus. Wählen Sie Kabelgebundene Netzwerkmedien aus.
Klicken Sie auf Next (Weiter).
Wählen Sie Authenticating Network aus, und verwenden Sie die Standardeinstellung für die restlichen Optionen im Abschnitt Security Level (Sicherheitsstufe).
Klicken Sie auf Weiter, um mit dem Abschnitt Verbindungstyp fortzufahren.
Wählen Sie den Verbindungstyp Benutzerverbindung aus.
Klicken Sie auf Weiter, um mit dem jetzt verfügbaren Abschnitt Benutzerauthentifizierung fortzufahren.
Wählen Sie PEAP als allgemeine EAP-Methode aus.
Ändern Sie nicht die Standardwerte in den EAP-PEAP-Einstellungen.
Fahren Sie mit dem Abschnitt Interne Methoden auf Basis der Anmeldeinformationsquelle fort.
Wählen Sie unter den verschiedenen internen Methoden für EAP-PEAP die Option Authenticate using a Password (Mit Kennwort authentifizieren) und dann EAP-MSCHAPv2 aus.
Klicken Sie auf Weiter, um mit dem Abschnitt Zertifikat fortzufahren.
Hinweis: Der Zertifikatabschnitt wird angezeigt, da die Option Serveridentität in den EAP-PEAP-Einstellungen validieren ausgewählt ist. Bei EAP PEAP erfolgt die Kapselung mithilfe des Serverzertifikats.
Im Abschnitt Zertifikate wird in Regeln für vertrauenswürdige Server für Zertifikate die Regel Common Name end mit c.com verwendet. Dieser Konfigurationsabschnitt bezieht sich auf das Zertifikat, das der Server während des EAP-PEAP-Datenflusses verwendet. Wenn Identity Service Engine (ISE) in Ihrer Umgebung verwendet wird, können Sie den allgemeinen Namen des Policy Server Node EAP-Zertifikats verwenden.
In der vertrauenswürdigen Zertifizierungsstelle für Zertifikate können zwei Optionen ausgewählt werden. In diesem Szenario wird anstelle des Hinzufügens eines spezifischen Zertifizierungsstellenzertifikats, das das RADIUS-EAP-Zertifikat signiert hat, die Option Auf dem Betriebssystem installierte Stammzertifizierungsstelle vertrauen verwendet.
Mit dieser Option vertraut das Windows-Gerät allen EAP-Zertifikaten, die von einem Zertifikat signiert wurden, das unter Benutzerzertifikate verwalten - Aktueller Benutzer > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate enthalten ist.
Klicken Sie auf Next (Weiter).
Im Abschnitt Anmeldedaten wird nur der Abschnitt Benutzeranmeldedaten geändert.
Die Option Prompt for Credentials > Never Remember ist aktiviert. Bei jeder Authentifizierung muss der Benutzer, der die Authentifizierung vornimmt, seine Anmeldeinformationen eingeben.
Klicken Sie auf Done (Fertig).
Speichern Sie das Profil des Secure Client Network Access Manager als configuration.xml mit der Option Datei > Speichern unter.
Um Secure Client Network Access Manager zur Verwendung des gerade erstellten Profils zu veranlassen, ersetzen Sie die Datei configuration.xml im nächsten Verzeichnis durch das neue:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Hinweis: Die Datei muss den Namen configuration.xml haben, sonst funktioniert sie nicht.
Öffnen Sie den NAM Profile Editor, und navigieren Sie zum Abschnitt Netzwerke.
Klicken Sie auf Hinzufügen.
Geben Sie einen Namen in das Netzwerkprofil ein.
Wählen Sie Global als Gruppenmitgliedschaft aus. Wählen Sie WiredNetwork Media.
Klicken Sie auf Next (Weiter).
Wählen Sie Authenticating Network aus, und ändern Sie die Standardwerte für die restlichen Optionen in diesem Abschnitt nicht.
Klicken Sie auf Weiter, um mit dem Abschnitt Verbindungstyp fortzufahren.
Konfigurieren Sie die Benutzer- und Computerauthentifizierung gleichzeitig, indem Sie die dritte Option auswählen.
Klicken Sie auf Next (Weiter).
Wählen Sie im Abschnitt Computerauthentifizierung EAP-FAST als EAP-Methode aus. Ändern Sie nicht die Standardwerte der EAP FAST-Einstellungen. Wählen Sie für den Abschnitt Innere Methoden auf Basis der Anmeldeinformationsquelle die Option Authentifizieren mit einem Kennwort und EAP-MSCHAPv2 als Methode aus. Wählen Sie dann die Option PACs verwenden.
Klicken Sie auf Next (Weiter).
Im Abschnitt Zertifikate endet in Regeln für vertrauenswürdige Server für Zertifikate der allgemeine Regelname mit c.com. Dieser Abschnitt bezieht sich auf das Zertifikat, das der Server während des EAP-PEAP-Flusses verwendet. Wenn die Identity Service Engine (ISE) in Ihrer Umgebung verwendet wird, kann der allgemeine Name des Policy Server Node EAP-Zertifikats verwendet werden.
In der vertrauenswürdigen Zertifizierungsstelle für Zertifikate können zwei Optionen ausgewählt werden. Verwenden Sie in diesem Szenario anstelle eines spezifischen Zertifizierungsstellenzertifikats, das das RADIUS-EAP-Zertifikat signiert hat, die Option Auf dem Betriebssystem installierte Stammzertifizierungsstelle vertrauen.
Mit dieser Option vertraut Windows jedem EAP-Zertifikat, das von einem Zertifikat signiert wird, das im Programm Benutzerzertifikate verwalten enthalten ist (Aktueller Benutzer > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate).
Klicken Sie auf Next (Weiter).
Wählen Sie im Abschnitt Computeranmeldeinformationen die Option Computeranmeldeinformationen verwenden aus.
Klicken Sie auf Next (Weiter).
Wählen Sie als Benutzerauthentifizierung EAP-FAST als EAP-Methode aus.
Ändern Sie nicht die Standardwerte im Abschnitt EAP-FAST-Einstellungen.
Wählen Sie für den Quellabschnitt "Interne Methode auf Basis von Anmeldeinformationen" die Option Authentifizieren mit einem Kennwort und EAP-MSCHAPv2 als Methode aus.
Wählen Sie PACs verwenden aus.
Klicken Sie auf Next (Weiter).
Im Abschnitt Zertifikate unter Regeln für vertrauenswürdige Zertifikatserver ist die Regel Common Name endet mit c.com. Diese Konfigurationen gelten für das Zertifikat, das der Server während des EAP-PEAP-Flows verwendet. Wenn ISE in Ihrer Umgebung verwendet wird, kann der allgemeine Name des Policy Server Node EAP-Zertifikats verwendet werden.
In der vertrauenswürdigen Zertifizierungsstelle für Zertifikate können zwei Optionen ausgewählt werden. In diesem Szenario wird anstelle des Hinzufügens eines spezifischen Zertifizierungsstellenzertifikats, das das RADIUS-EAP-Zertifikat signiert hat, die Option Auf dem Betriebssystem installierte Stammzertifizierungsstelle vertrauen verwendet.
Klicken Sie auf Next (Weiter).
Im Abschnitt "Anmeldedaten" wird nur der Abschnitt "Benutzeranmeldedaten" geändert.
Die Option Prompt for Credentials > Never Remember ist aktiviert. Bei jeder Authentifizierung muss der authentifizierende Benutzer also seine Anmeldeinformationen eingeben.
Klicken Sie auf die Schaltfläche Fertig.
Wählen Sie Datei > Speichern unter aus, und speichern Sie das Profil des Secure Client Network Access Manager unter configuration.xml.
Wenn Sie möchten, dass der Secure Client Network Access Manager das soeben erstellte Profil verwendet, ersetzen Sie die Datei configuration.xml im nächsten Verzeichnis durch das neue:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Hinweis: Die Datei muss den Namen configuration.xml haben, sonst funktioniert sie nicht.
Öffnen Sie den NAM Profile Editor, und navigieren Sie zum Abschnitt Netzwerke.
Klicken Sie auf Hinzufügen.
Nennen Sie das Netzwerkprofil. In diesem Fall wird das Profil mit dem für dieses Szenario verwendeten EAP-Protokoll benannt.
Wählen Sie Global als Gruppenmitgliedschaft aus. und kabelgebundene Netzwerkmedien.
Klicken Sie auf Next (Weiter).
Wählen Sie Authentifizierendes Netzwerk aus, und ändern Sie die Standardwerte für die übrigen Optionen im Abschnitt Sicherheitsstufe nicht.
Dieses Szenario bezieht sich auf die Benutzerauthentifizierung mit einem Zertifikat. Aus diesem Grund wird die Option User Connection verwendet.
Konfigurieren Sie EAP-TLS als EAP-Methode. Ändern Sie nicht die Standardwerte im Abschnitt EAP-TLS-Einstellungen.
Erstellen Sie für den Abschnitt "Zertifikate" eine Regel, die mit dem AAA-EAP-TLS-Zertifikat übereinstimmt. Wenn Sie die ISE verwenden, finden Sie diese Regel im Abschnitt Administration > System > Certificates (Verwaltung > System > Zertifikate).
Wählen Sie im Abschnitt Certificate Trusted Authority (Vertrauenswürdige Zertifizierungsstelle für Zertifikate) die Option Trust any Root Certificate Authority (Zertifizierungsstelle für Stammzertifikate) aus, die auf dem Betriebssystem installiert ist.
Klicken Sie auf Next (Weiter).
Ändern Sie im Abschnitt User Credentials (Benutzeranmeldeinformationen) nicht die Standardwerte im ersten Teil.
Es ist wichtig, eine Regel zu konfigurieren, die mit dem Identitätszertifikat übereinstimmt, das der Benutzer während des EAP-TLS-Prozesses sendet. Klicken Sie dazu auf das Kontrollkästchen neben Regel für die Zertifikatzuordnung verwenden (max. 10).
Klicken Sie auf Hinzufügen.
Ersetzen Sie die Zeichenfolge My Internal OR 3rd Party CA.com durch die CN des Benutzerzertifikats.
Klicken Sie auf Fertig, um die Konfiguration abzuschließen.
Wählen Sie Datei > Speichern unter, um das Profil des Secure Client Network Access Manager als configuration.xml zu speichern.
Wenn Sie möchten, dass der Secure Client Network Access Manager das soeben erstellte Profil verwendet, ersetzen Sie die Datei configuration.xml im nächsten Verzeichnis durch das neue:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Hinweis: Die Datei muss den Namen configuration.xml haben, sonst funktioniert sie nicht.
Konfigurieren Sie den ISR 1100 Router.
In diesem Abschnitt wird die grundlegende Konfiguration beschrieben, die für das NAD erforderlich ist, damit dot1x funktioniert.
Hinweis: Zeigen Sie bei ISE-Bereitstellungen mit mehreren Knoten auf einen beliebigen Knoten, auf dem die Rolle "Policy Server Node" aktiviert ist. Sie können dies überprüfen, indem Sie auf der Registerkarte Administration > System > Deployment zu ISE navigieren.
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
Identity Service Engine 3.2 konfigurieren
Konfigurieren des Netzwerkgeräts
Fügen Sie ISR NAD zu ISE Administration > Network Resources > Network Devices hinzu.
Klicken Sie auf Hinzufügen.
Weisen Sie dem von Ihnen erstellten NAD einen Namen zu. Fügen Sie die IP des Netzwerkgeräts hinzu.
Fügen Sie am unteren Rand der Seite den gleichen gemeinsamen geheimen Schlüssel hinzu, den Sie in der Konfiguration des Netzwerkgeräts verwendet haben.
Speichern Sie die Änderungen.
Konfigurieren Sie die Identität für die Authentifizierung des Endpunkts.
Die lokale ISE-Authentifizierung wird verwendet. Die externe ISE-Authentifizierung wird in diesem Artikel nicht erläutert.
Navigieren Sie zur Registerkarte Administration > Identity Management > Groups (Verwaltung > Identitätsverwaltung > Gruppen), und erstellen Sie die Gruppe, der der Benutzer angehört. Die für diese Demonstration erstellte Identitätsgruppe lautet iseUsers.
Klicken Sie auf Senden.
Navigieren Sie zu Administration > Identity Management > Identity Tab.
Klicken Sie auf Hinzufügen.
Als Teil der Pflichtfelder beginnen Sie mit dem Namen des Benutzers. Der Benutzername iseiscool wird in diesem Beispiel verwendet.
Weisen Sie dem Benutzer ein Kennwort zu. VainillaISE97 wird verwendet.
Weisen Sie den Benutzer der Gruppe iseUsers zu.
Konfigurieren Sie den Policy Set.
Navigieren Sie zu ISE Menu > Policy > Policy Sets.
Der standardmäßige Policy Set kann verwendet werden. Für dieses Beispiel wird jedoch eine mit dem Namen Wired erstellt.
Hinweis: Die Klassifizierung und Differenzierung der Richtliniensätze hilft bei der Fehlerbehebung,
Hinweis: Wenn das Symbol zum Hinzufügen oder Hinzufügen nicht angezeigt wird, kann auf das Zahnrad-Symbol eines Policy Sets geklickt werden, und dann Neue Zeile einfügen auswählen.
Die verwendete Bedingung lautet Wired 8021x. Ziehen Sie es, und klicken Sie dann auf Verwenden.
Wählen Sie im Abschnitt Zugelassene Protokolle die Option Standard-Netzwerkzugriff aus.
Klicken Sie auf Speichern.
2. Buchstabe d Konfigurieren der Authentifizierungs- und Autorisierungsrichtlinien
Klicken Sie auf das Symbol >.
Erweitern Sie den Abschnitt Authentifizierungsrichtlinie.
Klicken Sie auf das Symbol +.
Weisen Sie der Authentifizierungsrichtlinie einen Namen zu. In diesem Beispiel wird die interne Authentifizierung verwendet.
Klicken Sie in der Spalte "Bedingungen" für diese neue Authentifizierungsrichtlinie auf das Symbol +.
Die vorkonfigurierte Bedingung Wired Dot1x wird verwendet.
Wählen Sie abschließend in der Spalte Verwenden die Option Interne Benutzer aus.
Autorisierungsrichtlinie.
Der Abschnitt Autorisierungsrichtlinie befindet sich unten auf der Seite. Erweitern Sie das Fenster, und klicken Sie auf das Symbol +.
Nennen Sie die kürzlich erstellte Autorisierungsrichtlinie. In diesem Konfigurationsbeispiel wird der Name Internal ISE Users verwendet.
Um eine Bedingung für diese Autorisierungsrichtlinie zu erstellen, klicken Sie auf das +-Symbol in der Spalte Bedingungen.
Die Gruppe IseUsers wird verwendet.
Klicken Sie auf den Abschnitt Attribute.
Wählen Sie das Symbol IdentityGroup aus.
Wählen Sie aus dem Wörterbuch das InternalUser-Wörterbuch aus, das mit dem IdentityGroup-Attribut geliefert wird.
Wählen Sie den Operator Gleich.
Wählen Sie unter Benutzeridentitätsgruppen die Gruppe IseUsers aus.
Klicken Sie auf Verwenden.
Fügen Sie das Autorisierungsprofil für Ergebnisse hinzu.
Das vorkonfigurierte Profil Zugriffsberechtigung wird verwendet.
Hinweis: Beachten Sie, dass die Authentifizierungen, die an die ISE gesendet werden und diesen Wired Dot1x-Richtliniensatz treffen, der nicht Teil der Benutzeridentitätsgruppe ISEUsers ist, die Standard-Autorisierungsrichtlinie treffen, die das Ergebnis DenyAccess hat.
Klicken Sie auf Speichern.
Nach Abschluss der Konfiguration fragt Secure Client die Anmeldeinformationen ab und legt die Verwendung des PEAP MSCHAPv2-Profils fest.
Die zuvor erstellten Anmeldeinformationen werden eingegeben.
Wenn sich das Endgerät korrekt authentifiziert, NAM zeigt an, dass eine Verbindung besteht.
Wenn Sie auf das Informationssymbol klicken und zum Abschnitt Nachrichtenverlauf navigieren, werden die Details zu jedem Schritt angezeigt, den NAM durchgeführt hat.
Navigieren Sie von der ISE zu Operations > Radius LiveLogs, um die Details der Authentifizierung anzuzeigen. Wie im nächsten Bild zu sehen ist, wird der benutzte Benutzername angezeigt.
Weitere Details wie:
Da Sie sehen, dass die richtigen Richtlinien angewendet werden und das Ergebnis ein erfolgreicher Authentifizierungsstatus ist, wird der Schluss gezogen, dass die Konfiguration korrekt ist.
Wenn das neue Profil, das im Profil-Editor erstellt wurde, nicht von NAM verwendet wird, verwenden Sie die Option Network Repair für Secure Client.
Sie finden diese Option, indem Sie zur Windows-Leiste navigieren > auf das Zirkumflex-Symbol klicken > mit der rechten Maustaste auf das Symbol für sicheren Client klicken > auf Netzwerkreparatur klicken.
Öffnen Sie NAM, und klicken Sie auf das Zahnrad-Symbol.
Navigieren Sie zur Registerkarte Protokolleinstellungen. Aktivieren Sie das Kontrollkästchen "Erweiterte Protokollierung aktivieren".
Legen Sie die Größe der Paketerfassungsdatei auf 100 MB fest.
Wenn die erweiterte Protokollierung aktiviert ist, reproduzieren Sie das Problem mehrmals, um sicherzustellen, dass die Protokolle erstellt und der Datenverkehr erfasst wird.
Navigieren Sie in Windows zur Suchleiste, und geben Sie Cisco Secure Client Diagnostics and Reporting Tool ein.
Während des Installationsvorgangs haben Sie auch dieses Modul installiert. Dieses Tool hilft bei der Fehlerbehebung, indem es Protokolle und relevante dot1x-Sitzungsinformationen sammelt.
Klicken Sie im ersten Fenster auf Weiter.
Klicken Sie erneut auf Weiter, um das Protokollpaket auf dem Desktop zu speichern.
Aktivieren Sie ggf. das Kontrollkästchen Paketverschlüsselung aktivieren.
DART-Protokollsammlung wird gestartet.
Es kann 10 Minuten oder länger dauern, bis der Prozess abgeschlossen ist.
Die DART-Ergebnisdatei befindet sich im Desktop-Verzeichnis.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
29-Apr-2024 |
Erstveröffentlichung |