лол. Оказывается у меня недавно появилось 14 лет стажа по профессии. 3 Декабря, в возрасте 27 лет я принял могучее решение стать сетевиком и поступил на работу в ВУЗик эникейщиком. Это был явный путь к успеху.

Внедряли для мобильных клиентов, рабочие планшеты (у охраны и кладовщиков) + ноутбуки. Ubiquity + NPS. Прошло без проблем. Хотели ещё на телефоны сотрудников поставить, кто подключался к вафли для доступа в Интернет, но отказались от этой идеи и просто выделили им отдельный ssid+vlan. Для стационарных ПК чуть позже внедрили на d-link dgs-15xx + всё тот же NPS. Около 300 рабочих станций поэтапно. Опять без особых проблем всё заработало. Честно говоря, я тогда даже немного расстроился, столько мифов и слухов было вокруг этого .1х , а он взял и заработал почти, что сам)

На рабочие станции и ноутбуки настройки распространялись через политики AD, на планшеты руками ставили серты.

На это наступал кто?
https://habr.com/ru/post/138889/
Или все модные и по сертам?

там есть нюансы при переходе между точками не очень прозрачно это проходит. если сидеть на месте то все норм, но если шастать то можно заметить. и как я понял это не лечится

Если рабочая станция в домене, то первичная авторизация проводится по сертификату РС, во вторых, для неавторизованных устройств можно выделить отдельный влан, откуда им будет доступен AD, для обновления сертификатов/политик

отдельный вилан прозрачен для пользователя?

сервис должен работать максимально просто, а не так что для него нужен четырехтомник с инстврукциями.

Речь о неавторизованных устройствах?

А без серта у тебя политики не загрузятся до входа пользователя.

не знаю. обовсех

А комп же может и без серта регистрироваться.

Допустим при загрузке ПК почему то не смог пройти авторизацию по своему сертификату (например, протух). Он попадает в изолированный влан, откуда доступен AD. Пользователь авторизуется на ПК, в этот момент обновляется его серт и политики и ПК второй раз авторизуется на NPS, после чего попадает в правильный влан и сотрудник спокойно работает, ничего не заметив.

По факту сертификаты обновляются раньше, чем протухают и даже месячное отсутствие сотрудника не приводит к каким то проблемам

Может, но у вас же цель отделить свои ПК от не своих, а это проще сделать по серту (если у вас все рабочие станции в домене)

Я вот кстати над этим думал думал и так и не придумал. Насколько безопасно выставлять AD в недоверенную зону

От политики протухания зависит ;)

Или от админа)
Вообще наша сеть регулярно проходила аудит у делойта и у них не было претензий к настройкам политик на ад и к сети (в частности к  .1х)

Но AD занимался не я, у меня были права только NPS настраивать и всякое сетевое