Windows 10 设备无法连接到 802.1 X 环境

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3121002
症状
应用后到设备的 Windows 10 11 月更新,您无法连接到的 WPA-2 企业网络,则使用证书进行服务器端或相互身份验证 (EAP-TLS,PEAP TTLS)。
原因
在 Windows 中 10 11 月更新,EAP 被更新到支持 TLS 1.2。这意味着,如果服务器将支持 TLS 1.2 公布在 TLS 协商过程中,则将使用 TLS 1.2。

我们有一些 Radius 服务器实现经验与 TLS 1.2 bug 报告。此 bug 方案中,EAP 身份验证成功,但 MPPE 键计算将失败,因为使用不正确的 PRF (伪随机函数)。

受影响的 radius 服务器
注意:此信息基于对研究和合作伙伴的报告。我们将添加为我们获取更多数据的更多详细信息。

服务器其他信息可用的修复
免费的半径 2。x2.2.6 的所有 TLS 基于方法,2.2.6-为 TTLS 2.2.8
免费的半径 3。x3.0.7 的所有 TLS 基于 TTL 的 3.0.7-3.0.9 的方法
暖气装置当使用与 Net::SSLeay 1.52 或更早版本的 4.14
阿鲁巴岛 ClearPass 策略管理器6.5.1
脉冲策略安全https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089在测试下修复
Cisco 标识服务引擎 2。x2.0.0.306 修补程序 1在测试下修复

解决方案

建议的修复

使用您的 IT 管理员来更新为包含修补程序的适当版本的 Radius 服务器。

对于应用了 11 月更新的基于 Windows 的计算机的临时解决办法

注意:Microsoft 建议使用 EAP 身份验证的 TLS 1.2,它支持的任何地方。尽管在 TLS 1.0 的所有已知的问题有可用的修补程序,但我们认为 TLS 1.0 是旧标准,已被证实很容易。

若要配置默认 EAP 使用 TLS 版本,必须添加一个 DWORD 值,提名TlsVersion到下面的注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

此注册表项的值可以是 0xC0,0x300 或 0xC00。

备注:
  • 此注册表项将仅适用于 EAP-TLS 和 PEAP;它不影响 TTLS 行为。
  • 如果 EAP 端和 EAP 服务器配置不正确,以便有无常见配置 TLS 版本、 身份验证将失败,和用户可能会丢失网络连接。因此,我们建议只有 IT 管理员应用这些设置并在部署之前测试这些设置。但是,用户可以手动配置 TLS 版本编号,如果服务器支持相应的 TLS 版本。

重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

322756 如何在 Windows 中备份和还原注册表


若要添加这些注册表值,请执行以下步骤:
  1. 单击开始,单击运行,在打开框中,键入注册表编辑器,然后单击确定
  2. 找到并单击以下注册表子项中:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
  3. 编辑菜单上,指向新建,然后单击DWORD 值
  4. 键入 TlsVersion 名称的 DWORD 值,然后按 Enter。
  5. TlsVersion,用鼠标右键单击,然后单击修改
  6. 数值数据框中,TLS,各种版本使用以下值,然后单击确定

    TLS 版本双字节值
    TLS 1.00xC0
    TLS 1.10x300
    TLS 1.2 0xC00
  7. 退出注册表编辑器,然后重新启动计算机或重新启动 EapHost 服务。
更多信息
相关的文档:

Microsoft 安全通报: 更新为允许使用 TLS 的 Microsoft EAP 实施: 2014,10 月 14
https://support.microsoft.com/en-us/kb/2977292

警告:本文已自动翻译

属性

文章 ID:3121002 - 上次审阅时间:12/07/2015 19:29:00 - 修订版本: 2.0

Windows 10

  • kbexpertiseadvanced kbtshoot kbsurveynew kbmt KB3121002 KbMtzh
反馈