Windows 客戶端802.1x的一些設置

802.1x做爲網絡准入的驗證，天然有不少好處。可是在實施過程當中也遇到了些小問題。我在這裏記錄下來，但願對你們有幫助，遇到問題的時候能有個參考。
基於用戶驗證的方式，當用戶修改了密碼後，驗證失敗。此時應當彈框讓用戶輸入密碼，若是不彈框讓用戶輸入密碼辦？
解決方法是刪除系統存儲的用戶憑證。
無線存儲位置在
HKLM\SOFTWARE\Microsoft\WlanSvc\Profiles{GUID}\MSMUserData
有線存儲位置在
HKLM\SOFTWARE\Microsoft\dot3svc\Interfaces{GUID}\UserData\Profiles{GUID}\Wired

只要刪除MSMUserData或者Wired就能夠了。


若是看不到圖片，請點我。
其中以01 00 00 00開頭是明顯的特徵碼。若是是PEAP加密的驗證憑據，這裏面存儲的信息能夠經過一些方法解密。
將MSMUserData轉換成2進制文件dat，而後用工具解密。
PsExec.exe -s -i cmd /k crypt.exe file.dat
http://www.outerhost.com/www/upload/8t4l1q2g7549/Crypt.zip

解密後，會獲得相似這樣的信息。 Decrypted:AAAAAAAAAAAAAAAAAAAAAJAEAAAYAAAAAgAAAJAEAAAAAAAAaQQAACAAAAAAAAAAkAQAA
AAAAAABAAAAGQAAAAAAAAAAAAAAAAAAAAEAAABJBAAAIAAAABkAAAAAAAAAAAAAAAAAAAA1BAAAAgAAA
[...]
A== <<<>>>
在"Decrypted: " 和 " <<<>>>"之間的這些信息是base64編碼過的，再找個工具解開base64編碼就能夠了。
對於加入域的計算，這兩個鍵值會從HKLM下轉移到HKCU下。可是刪除對應的MSMUserData和Wired以後的效果是同樣的。

另外，附上簡單的腳本自動配置有線和無線的802.1x

sc config dot3svc start= auto
sc config wlansvc start= auto
net start dot3svc
net start wlanSvc
CERTUTIL -addstore -enterprise -f -v root "C:\yourrootcert.cer"
netsh wlan add profile filename="C:\wifiprofile.xml" user=all
netsh lan add profile filename="C:\wiredprofile.xml"

其中導入受信任的根證書能夠根據實際狀況來肯定是否須要導入。
xml格式的配置文件須要事先從另外一臺手動配置好的機器上導出。
導出命令是
netsh wlan show profile #查看無線配置文件
netsh wlan export profile name=yourSSID folder=c:\folder\
netsh lan export profile folder=c:\folder\
會自動在c:\foler目錄下生成xml文件。而後利用這些xml文件直接添加到目標計算機上就能夠了。