Ich implementiere derzeit ein 802.1X-Netzwerkauthentifizierungssystem mit Cisco ISE für einen unserer Kunden.
Unsere Lösung erfordert, dass Benutzer (mit persönlichen Geräten) eine Verbindung zu einem offenen SSID-Netzwerk herstellen, HTTP zu unserem (https, intern signierten) Anmeldeportal umgeleitet werden und mit einem drahtlosen Profil ausgestattet werden.
Dies funktioniert im Allgemeinen gut, aber wir haben einen speziellen Fall mit OS X-Computern (bisher wurde es nur auf Mavericks gesehen), wo das Surfen zu einer Website und das Umleiten nicht funktioniert. Es passiert nur in Safari, in Firefox funktioniert es einwandfrei.
Wir haben Datenverkehr zu den OCSP- und CRL-Servern zugelassen, die in unserem HTTPS-Serverzertifikat angegeben sind, aber in einer Paketerfassung vom Mac kann ich sehen, dass er AAAA-DNS-Anforderungen für die OCSP- und CRL-Servernamen sendet (die fehlschlagen, weil IPv6 ist in diesem Netzwerk nicht konfiguriert/unterstützt), aber das Gerät scheint nicht auf IPv4 (A)-Anforderungen zurückzugreifen.
Andere DNS-Lookups (Safari sucht nach google.com.au) senden simultane AAAA- und A-Lookups.
Ist das ein bekannter Fehler? Gibt es etwas auf der Netzwerkseite, das wir tun können, um dieses Problem zu lösen?
Ich bin daran interessiert zu hören, ob es eine Konfigurationsänderung auf dem Mac gibt, die wir vornehmen können, um dies zu beheben, aber es ist keine Lösung, da wir so wenig wie möglich an den persönlichen Geräten des Benutzers ändern müssen.
Danke schön.
Also ... Es gab eine andere Sache, die dazu führte, dass mein Portal nicht geladen wurde (ACL umleiten). Das DNS war ein Ablenkungsmanöver, und der einzige Grund, warum wir AAAA- und keine A-Anfragen sahen, war, dass die Maschine die Antwort für den A-Eintrag bereits zwischengespeichert hatte.
Das herauszufinden, war demütigend ... was für ein dummer Fehler!
Wie auch immer, kein Problem mit dem Mac hier, aber wenn Sie ein ähnliches Verhalten sehen, leeren Sie Ihren DNS-Cache und versuchen Sie es erneut!