Протокол автентифікації IEEE 802.1X не підтримується в середовищі Windows Preinstall Environment (PE) 3.0

Вступ

Windows Preinstall Environment (PE) 3.0 не підтримує протокол автентифікації IEEE 802.X. Таким чином, клієнт Windows PE 3.0 не вдалося автентифікувати перемикач, який настроєно для доступу IEEE 802.X автентифікованих мережі.

Додаткові відомості

Після застосування цього виправлення, Windows PE 3.0 підтримує протокол автентифікації IEEE 802.X.

Примітка 802.1X автентифікація не підтримується під час запуску Windows PE з таких:

Розгортання операційної системи Microsoft System Center Configuration Manager 2007
Microsoft Deployment Toolkit

Відомості про виправлення

Від корпорації Майкрософт доступне підтримуване виправлення. Однак, це виправлення, призначено для виправлення, лише проблема, описана в цій статті. Застосуйте це виправлення лише до систем, у яких виникла проблема, описана в цій статті. Це виправлення може отримати додаткове тестування. Таким чином, якщо ви не серйозно постраждали від цієї проблеми, радимо дочекатися наступного оновлення програмного забезпечення, яке містить це виправлення.

Якщо виправлення доступне для завантаження, є розділ "Доступне завантаження виправлень" у верхній частині цієї статті бази знань. Якщо цей розділ не відображається, зверніться до служби підтримки клієнтів корпорації Майкрософт, щоб отримати виправлення.

Примітка. Якщо виникають додаткові проблеми або якщо потрібно виправити неполадки, можливо, доведеться створити окремий запит на обслуговування. Звичайні витрати на підтримку буде застосовуватися до додаткових питань і питань підтримки, які не мають права на це конкретне виправлення. Повний список номерів телефонів служби підтримки клієнтів і підтримки корпорації Майкрософт або створення окремого запиту на обслуговування відвідайте веб-сайт корпорації Майкрософт:

http://support.microsoft.com/contactus/?ws=supportПримітка Форма "Виправлення, завантаження доступний" відображає мови, для яких доступне виправлення. Якщо ваша мова не відображається, це тому, що виправлення недоступне для цієї мови.

Попередні вимоги

Немає передумов для інсталяції цього виправлення.

Внесення змін до реєстру

Щоб використовувати одне з поточних виправлень у цьому пакеті, не потрібно вносити зміни до реєстру.

Відомості про заміну виправлень

Це виправлення не замінює будь-які інші оновлення або виправлення.

Відомості про файл

Англійська версія цього виправлення, має атрибути файлу (або новіші атрибути файлів), перелічені в наведеній нижче таблиці. Дати й час для цих файлів перелічено за всесвітнім координованим часом (UTC). Коли ви переглядаєте відомості про файл, вони перетворюються на місцевий час. Щоб знайти різницю між UTC і місцевим часом, скористайтеся вкладкою Часовий пояс в елементі "Дата й час" у Панель керування.

Для всіх підтримуваних версій Windows PE 3.0 на базі x86-процесорів

Ім'я файлу	Версія файлу	Розмір файлу	Дата	Час	Платформа
Dot3cfg.dll	6.1.7600.20541	82,432	05 жовтня 2009 р.	05:51	x86
Dot3api.dll	6.1.7600.20541	91,136	05 жовтня 2009 р.	05:51	x86
Dot3dlg.dll	6.1.7600.20541	47,104	05 жовтня 2009 р.	05:51	x86
Dot3msm.dll	6.1.7600.20541	115,200	05 жовтня 2009 р.	05:51	x86
Dot3svc.dll	6.1.7600.20541	214,016	05 жовтня 2009 р.	05:51	x86
Report.system.netdiagframework.xml	Not Applicable	29,356	22 липня 2009 р.	23:04	Not Applicable
Report.system.wired.xml	Not Applicable	19,290	22 липня 2009 р.	23:04	Not Applicable
Rules.system.netdiagframework.xml	Not Applicable	57,286	22 липня 2009 р.	23:04	Not Applicable
Rules.system.wired.xml	Not Applicable	40,902	22 липня 2009 р.	23:04	Not Applicable
Onex.dll	6.1.7600.20541	199,168	05 жовтня 2009 р.	05:51	x86
Onexui.dll	6.1.7600.20541	1,111,552	05 жовтня 2009 р.	05:51	x86

Для всіх підтримуваних x64-процесорів версій Windows PE 3.0

Ім'я файлу	Версія файлу	Розмір файлу	Дата	Час	Платформа
Dot3cfg.dll	6.1.7600.20541	69,120	05 жовтня 2009 р.	06:41	x64-розрядна, x64-
Dot3api.dll	6.1.7600.20541	84,992	05 жовтня 2009 р.	06:41	x64-розрядна, x64-
Dot3dlg.dll	6.1.7600.20541	57,856	05 жовтня 2009 р.	06:41	x64-розрядна, x64-
Dot3msm.dll	6.1.7600.20541	103,936	05 жовтня 2009 р.	06:41	x64-розрядна, x64-
Dot3svc.dll	6.1.7600.20541	252,416	05 жовтня 2009 р.	06:41	x64-розрядна, x64-
Report.system.netdiagframework.xml	Not Applicable	29,356	22 липня 2009 р.	23:23	Not Applicable
Report.system.wired.xml	Not Applicable	19,290	22 липня 2009 р.	23:23	Not Applicable
Rules.system.netdiagframework.xml	Not Applicable	57,286	22 липня 2009 р.	23:23	Not Applicable
Rules.system.wired.xml	Not Applicable	40,902	22 липня 2009 р.	23:23	Not Applicable
Onex.dll	6.1.7600.20541	235,520	05 жовтня 2009 р.	06:41	x64-розрядна, x64-
Onexui.dll	6.1.7600.16385	1,080,320	14 липня 2009 р.	01:41	x64-розрядна, x64-
Dot3api.dll	6.1.7600.20541	91,136	05 жовтня 2009 р.	05:51	x86
Dot3dlg.dll	6.1.7600.16385	47,104	14 липня 2009 р.	01:15	x86
Dot3msm.dll	6.1.7600.20541	115,200	05 жовтня 2009 р.	05:51	x86
Onex.dll	6.1.7600.20541	199,168	05 жовтня 2009 р.	05:51	x86
Onexui.dll	6.1.7600.20541	1,111,552	05 жовтня 2009 р.	05:51	x86

Додавання оновлення до Windows PE 3.0

У наведених нижче інструкціях показано, як додати наведене нижче оновлення до Windows PE 3.0. Вона не охоплює жодної інтеграції з System Center Configuration Manager або з іншими продуктами.

972831 Протокол автентифікації IEEE 802.1X не підтримується в середовищі Windows Preinstall Environment (PE) 3.0. У вас мають бути доступні або інстальовані такі файли та обов'язкові компоненти:

Комп'ютер технічного спеціаліста, на якому інстальовано набір засобів автоматизованої інсталяції Windows (AIK) для Windows 7
394904_intl_i386_zip.exe або 394905_intl_x64_zip.exe залежно від архітектури зображення Windows PE
Наведений нижче сценарій VBS і два XML-файли. Вони містяться в розділі "Зразки сценаріїв":
- StartDot3.VBS
- USERDATA-EAP-TLS.xml
- Wired-WinPE-EAP-TLS.xml
Кореневий сертифікат, збережений як RootCert.cer
Будь-які підпорядковані сертифікати ЦС, збережені як SubCACert.cer
Сертифікат користувача pfx, збережений як Usercert.pfx
Версії x86 або x64 certutil.exe та certutil.exe.mui з комп'ютера на базі Windows 7 залежно від архітектури зображення Windows PE

Примітка. У наведеному нижче прикладі створюється версія x86 Windows PE.

На комп'ютері під керуванням Windows 7 Windows Server 2008 або Windows Server 2008 R2 інсталюйте Windows 7 AIK.

На комп'ютері технічного спеціаліста клацніть початковий екран, наведіть вказівник миші на пункт Усі програми, наведіть вказівник миші на Windows AIK, клацніть правою кнопкою миші командний рядок знарядь розгортання та виберіть команду Запустити з правами адміністратора.

Ярлик меню відкриває вікно командного рядка та автоматично встановлює змінні середовища, щоб вони вказував на всі необхідні інструменти. За замовчуванням усі засоби інстальовано в папці C:\Program Files\Windows AIK\Tools.
У командному рядку виконайте сценарій Copype.cmd. Для сценарію потрібні два аргументи: архітектура обладнання та місце призначення.

Наприклад, запустіть copype.cmd <архітектуру> <> призначення , де> архітектури <може бути x86, amd64 або ia64, а <цільовий> – шлях до локального каталогу.

Наприклад, виконайте таку команду:

сценарій copype.cmd x86 c:\winpe_x86The створює таку структуру каталогів і копіює всі необхідні файли для цієї архітектури:

\winpe_x86
\winpe_x86\ISO
\winpe_x86\підключення
Скопіюйте базове зображення (Windows PE.wim) до папки \Winpe_x86\ISO\sources і перейменуйте файл на boot.wim.
copy c:\winpe_x86\winpe.wim c:\winpe_x86\ISO\sources\boot.wim
Змонтувати базове зображення Windows PE. На цьому кроці потрібно підключити основне зображення до локального каталогу, щоб додати або видалити пакети.
Dism /Mount-Wim /WimFile:C:\winpe_x86\ISO\sources\boot.wim /index:1 /MountDir:C:\winpe_x86\mount

Додайте до зображення такі пакети. Пам'ятайте, що кожна команда має бути одним рядком, і команда не має переноситися.

Додати пакет WINPE-WMI

dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\winpe-wmi.cab"

dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\en-us\winpe-wmi_en-us.cab"

Додати пакет WINPE-Scripting

dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\winpe-scripting.cab"

dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\en-us\winpe-scripting_en-us.cab"

Додати пакет WINPE-HTA

dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\winpe-hta.cab"

dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"C:\Program Files\Windows AIK\Tools\PETools\x86\WinPE_FPs\en-us\winpe-hta_en-us.cab"

Видобути вміст 394904_intl_i386_zip.exe оновлення до папки c:\972831.

Додайте до зображення оновлення для підтримки 802.1X:

dism.exe /image:C:\winpe_x86\mount /add-package /packagepath:"c:\972831\Windows6.1-KB972831-86.cab"

Створіть папку, яка міститиме додаткові файли для підтримки 802.1X. Для цього виконайте таку команду:

md C:\winpe_x86\mount\winpe
Скопіюйте certutil.exe та certutil.exe.mui з комп'ютера Windows 7 до папки c:\winpe_x86\mount\winpe. Ці файли можна знайти в папці %windir%\system32.

Примітка. Потрібно скопіювати правильну версію цих файлів на основі архітектури зображення Windows PE.
Відредагуйте файл Wired-WinPE-EAP-TLS.xml і змініть наведений нижче рядок, щоб ввести відбиток або геш кореневого сертифіката ЦС для відповідного центру сертифікації:
<TrustedRootCA>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00</TrustedRootCA>
Скопіюйте профіль підключення до каталогу Windows PE за допомогою протоколу EAP-TLS:
Copy Wired-WinPE-EAP-TLS.xml C:\winpe_x86\mount\winpe
Відредагуйте USERDATA-EAP-TLS.xml файл і змініть такі рядки для імені користувача та UserCert:
<eapTls:Username>contoso\username</eapTls:Username> <eapTls:UserCert>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00</eapTls:UserCert>
Скопіюйте профіль підключення до каталогу Windows PE за допомогою протоколу EAP-TLS:
copy USERDATA-EAP-TLS.xml C:\winpe_x86\mount\winpe
Скопіюйте кореневий сертифікат і підпорядковані сертифікати ЦС до папки c:\winpe_x86\mount\winpe.
Скопіюйте свій сертифікат користувача до папки c:\winpe_x86\mount\winpe.
Відредагуйте StartDot3.vbs файл і змініть такий рядок:
certutil –user –p PASSWORD -importpfx \winpe\USERcert.pfx NOEXPORT,NOCHAIN
Примітка. У цьому рядку потрібно змінити пароль password, призначений сертифікату під час експорту.
Скопіюйте StartDot3.Vbs до папки c:\winpe_x86\mount\winpe.
Змініть startnet.cmd для автоматичного запуску StartDot3.vbs:
notepad C:\winpe_x86\mount\windows\system32\startnet.cmd
Додайте .\winpe\StartDot3.vbs після команди wpeinit, а потім збережіть файл startnet.cmd.

Unmount and commit changes to the . WiM:

Dism /Unmount-Wim /MountDir:C:\winpe_x86\mount /Commit

Створіть завантажувальний носій, виконавши кроки, описані у файлі довідки AIK Windows 7, описані нижче.
- "Для створення завантажувального компакт-диска"
- "Для створення завантажувального UFD"

Зразки сценаріїв

Корпорація Майкрософт надає приклади програмування лише для ілюстрації без гарантії, вираженої або неявної, зокрема, неявних гарантій придатності до продажу та/або придатності для певної мети. У цій статті припускається, що ви знайомі з мовою програмування, яка демонструється, і інструментами, що використовуються для створення та налагодження процедур. Спеціалісти служби підтримки Microsoft можуть допомогти пояснити функціональність певної процедури, але вони не змінюватимуть ці приклади, щоб надавати додаткові функції або конструювати процедури відповідно до ваших потреб.
Якщо у вас обмежений досвід програмування, зверніться до сертифікованого партнера Корпорації Майкрософт або до консультативних служб Microsoft. Докладні відомості див. на веб-сайтах корпорації Майкрософт:

Сертифіковані партнери корпорації Майкрософт – https://partner.microsoft.com/global/30000104

Консультативні служби Microsoft – http://support.microsoft.com/gp/advisoryservice

Щоб отримати додаткові відомості про доступні варіанти підтримки та про те, як зв'язатися з корпорацією Майкрософт, відвідайте веб-сайт корпорації Майкрософт: http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS

StartDot3.VBS

‘================================
‘StartDot3.VBS
‘================================
Dim WshShell
Set WshShell = CreateObject("WScript.Shell")

commandLine = "certutil -addstore Root \winpe\Rootcert.cer"
Return  = WshShell.Run(commandLine, 0, true)

commandLine = "certutil -addstore CA \winpe\SubCAcert.cer"
Return  = WshShell.Run(commandLine, 0, true)

commandLine = "certutil –user –p PASSWORD -importpfx \winpe\USERcert.pfx NOEXPORT,NOCHAIN"
Return  = WshShell.Run(commandLine, 0, true)

commandLine = "net start dot3svc"
Return  = WshShell.Run(commandLine, 0, true)

commandLine = "netsh lan add profile filename=\winpe\Wired-WinPE-EAP-TLS.xml"
Return  = WshShell.Run(commandLine, 0, true)

commandLine = "netsh lan set eapuserdata filename=\winpe\Wired-WinPE-UserData-EAP-TLS.xml allusers=yes interface=*"
Return  = WshShell.Run(commandLine, 0, true)

USERDATA-EAP-TLS.xml

<?xml version="1.0"?>
<EapHostUserCredentials xmlns="http://www.microsoft.com/provisioning/EapHostUserCredentials" xmlns:eapCommon="http://www.microsoft.com/provisioning/EapCommon" xmlns:baseEap="http://www.microsoft.com/provisioning/BaseEapMethodUserCredentials">
 <EapMethod>
  <eapCommon:Type>13</eapCommon:Type>
  <eapCommon:AuthorId>0</eapCommon:AuthorId>
 </EapMethod>
 <Credentials xmlns:eapUser="http://www.microsoft.com/provisioning/EapUserPropertiesV1" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:baseEap="http://www.microsoft.com/provisioning/BaseEapUserPropertiesV1" xmlns:eapTls="http://www.microsoft.com/provisioning/EapTlsUserPropertiesV1">
  <baseEap:Eap>
  <baseEap:Type>13</baseEap:Type>
   <eapTls:EapType>
    <eapTls:Username>contoso\username</eapTls:Username>
    <eapTls:UserCert>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00</eapTls:UserCert>
   </eapTls:EapType>
  </baseEap:Eap>
 </Credentials>
</EapHostUserCredentials>

Wired-WinPE-EAP-TLS.xml

<?xml version="1.0"?>
<LANProfile xmlns="http://www.microsoft.com/networking/LAN/profile/v1">
 <MSM>
  <security>
   <OneXEnforced>false</OneXEnforced>
   <OneXEnabled>true</OneXEnabled>
   <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
    <authMode>user</authMode>
    <EAPConfig><EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00</TrustedRootCA>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
</EapType>
</Eap>
</Config>
</EapHostConfig>
</EAPConfig>
   </OneX>
  </security>
 </MSM>
</LANProfile>

Посилання

Продукти, про які йдеться в цій статті, виготовлено сторонніми виробниками, що не залежать від корпорації Майкрософт. Корпорація Майкрософт не надає жодних гарантій, явних або неявних, стосовно якості чи надійності роботи таких продуктів.