Autentificarea prin 802.1X nu functioneaza daca parola contului de computer expira cand computerul nu este conectat la retea

Salut

In acest post voi aborda o problema de care s-ar putea sa va loviti intr-un mediu corporate.
In majoritatea companiilor accesul la retea, fie el wired sau wireless, presupune autentificare prin 802.1X.

Sa consideram urmatorul scenariu:

Pentru accesul la retea wired sau wireless se foloseste PEAP-MS-CHAP-v2 ca metoda de autentificare iar modul autentificarii este "Computer only" (cel mai des cand se foloseste Cisco ACS).
Daca parola contului de computer expira cand computerul nu este conectat la retea (si implicit nu are acces la un domain controller), autentificarea prin 802.1X nu mai functioneaza.

Eroarea este: unknown user name or bad password.

Calculatoarele membre intr-un domeniu au, la fel ca si userii, conturi in Active Directory. Aceste conturi au o parola asociata, care este schimbata de catre computer (serviciul Netlogon) *** o anumita perioada de timp, definita prin Group Policy. Valoarea implicita este de 30 de zile.

Politica este descrisa in technet:
Domain member: Maximum machine account password age
https://technet.microsoft.com/en-us/library/cc781050%28WS.10%29.aspx

Parola poate fi resetata manual prin urmatoarea comanda, dar calculatorul trebuie sa aiba acces la un domain controller:
NETDOM RESET <nume computer> /Domain:<nume domeniu> /Server:<nume dc> /UserO:<numele userului> /PasswordO:*

Solutiile posibile:

Acest comportament este descris in:

Authentication may not succeed when you use PEAP-MS-CHAP-v2 as the authentication method for an 802.1X connection in Windows Vista, Windows XP, Windows Server 2003, and Windows 2000
https://support.microsoft.com/kb/904943

Pentru a evita aparitia acestei probleme, trebuie modificata metoda de autentificare sau modulul autentificarii:

1.) Folositi User or Computer authentication.
In acest fel, chiar daca autentificarea computerului esueaza, autentificarea userului reuseste si creaza un user session catre DC permitand inoirea parolei computerului.

2.) Folositi autentificare bazata pe certificate: EAP-TLS/PEAP-TLS.

3.) Setati o valoare foarte mare pentru politica Domain member: Maximum machine account password age, astfel existand sanse mai mici ca parola sa expire intr-o perioada in care computerul nu are acces la retea.

--- George