一般常见问题

请求者是使用 EAPHost 进行身份验证的实体。 典型的请求者是 802.1X 客户端、802.3 客户端和路由和远程访问服务 (RRAS) 、点到点 (PPP) 客户端。

对等方是 EAP 身份验证的客户端。

请求方传输数据包，而对等方则不传输数据包。 尽管如此，“对等方”、“请求方”和“客户端”这三个术语在很大程度上是同义词。

验证器是无线接入点、网络访问服务器 (NAS) ，或网络访问设备 (对请求者进行身份验证的 NAD) 。 验证器也称为 EAP 服务器。

客户端上单个身份验证会话的生存期是 EapHostPeerBeginSession 和 EapHostPeerEndSession 函数之间发生的所有内容。 验证器端的生存期是 EapPeerBeginSession 和 EapPeerEndSession 函数之间发生的所有内容。

BLOB 是二进制大型对象。 XML 与二进制配置 BLOB 有一些优势。 存储在 XML 中的配置数据是人工可读、可编辑和跨平台的。

可以存储二进制 BLOB 或 XML BLOB，但在与运行时 API 一起使用之前，必须始终将 XML BLOB 转换回二进制 BLOB;运行时 API 不能接受 XML 目录。

本机 EAP 方法使用新的 EAPHost API。

旧版 EAP 方法在 可扩展身份验证协议参考中定义。 旧版 EAP 方法可用于 Windows Vista 和 Windows Server 2008。 这些方法可能不适用于操作系统的后续版本。

本机 API 更简单，功能较少。 所有新的 EAP 方法都应使用 EAPHost API 编写。

有关组策略的说明，请参阅 组策略 集合。

不，永远不。 如果正在使用组策略，则组策略设置将始终替代 EAPHost 配置设置。

802.1X 是第 2 层身份验证机制。 根据 SSO 配置，SSO 使用户能够在登录到 Windows 之前或登录 Windows 后立即使用 802.1X 身份验证对网络进行身份验证。 可以将 SSO 配置为使用 Windows 凭据进行网络身份验证 (在这种情况下，用户只需输入一次) 凭据，或者使用不同的凭据进行 Windows 和网络身份验证。 有关详细信息，请参阅 SSO 和 PLAP。

有关详细信息，请参阅 SSO 和 PLAP。

有关详细信息，请参阅 PEAP 和 关于可扩展身份验证协议。

会话恢复和重新身份验证通常在无线网络上漫游时发生。 Windows 数据保护 API (DPAPI) 提供了一种保护数据并将其绑定到用户和登录会话（可选）的方法。 调用方为 CryptProtectMemory 提供未加密的缓冲区，DPAPI 将就地加密内存。 稍后，调用方可以将加密的缓冲区传递到 CryptUnprotectMemory ，DPAPI 将再次解密内存。 有关详细信息，请参阅 TLS 内部应用程序扩展 (TSL/IA) 和 PEAP。

EAP-TLS 是客户端-服务器协议，其中不同的证书配置文件通常用于客户端和服务器。有关详细信息，请参阅 IETF RTC 2716。

使用 LsaCallAuthenticationPackage 函数实现密码更改。

跟踪日志包含调试信息， (仅提供英语) ，可帮助 Microsoft 开发人员和合作伙伴查找身份验证过程中遇到的任何问题的根本原因。 有关详细信息，请参阅 启用跟踪。

在 Winerror.h NTE_BAD_KEY_STATE (0x8009000BL) 定义为“在指定状态下无效的密钥”。 此错误通常在以下情况下返回。

• 尝试导出不可导出的私钥 BLOB 时
• 尝试使用 [CryptCreateHash] (/windows/desktop/api/wincrypt/nf-wincrypt-cryptcreatehash (PRF 生成伪随机函数时，) 哈希句柄)

采用键、标签和种子作为输入的函数，然后生成任意长度的输出。 有关详细信息，请参阅 完成 TLS 1.0 协议中的消息。

EAPHost 允许多个请求者同时运行，并且每个请求者可以绑定到多个网络适配器。 EAPHost 请求方提供与网络层的绑定并驱动身份验证过程。 请求者包含身份验证配置。 请求者还会保存状态并提供后续连接安全性。 由于 EAPHost 不直接绑定到任何网络机制，因此请求扩展性是可能的。

相关主题

EAPHost Supplicant 常见问题解答

EAPHost 方法常见问题解答

EAPHost 开发常见问题解答