802.1X 認証の高度なトラブルシューティングAdvanced troubleshooting 802.1X authentication

概要Overview

これは、802.1 X wireless および有線クライアントの一般的なトラブルシューティングです。This is a general troubleshooting of 802.1X wireless and wired clients. 802.1 X とワイヤレスのトラブルシューティングでは、認証の流れを理解してから、中断されている箇所を確認することが重要です。With 802.1X and wireless troubleshooting, it's important to know how the flow of authentication works, and then figuring out where it's breaking. 多くのサードパーティ製のデバイスとソフトウェアが必要です。It involves a lot of third party devices and software. ほとんどの場合、問題のある場所を特定し、別のベンダーが問題を解決する必要があります。Most of the time, we have to identify where the problem is, and another vendor has to fix it. アクセスポイントやスイッチは作成されないため、エンドツーエンドの Microsoft ソリューションにはなりません。Since we don't make access points or switches, it won't be an end-to-end Microsoft solution.

シナリオScenarios

このトラブルシューティング方法は、802.1 X 認証を使用するワイヤレス接続または有線接続を試行して、確立に失敗した場合に適用されます。This troubleshooting technique applies to any scenario in which wireless or wired connections with 802.1X authentication is attempted and then fails to establish. このワークフローには、クライアント用の Windows 7-10 と、Windows Server 2008 R2-2012 R2 (NPS 用) が含まれています。The workflow covers Windows 7 - 10 for clients, and Windows Server 2008 R2 - 2012 R2 for NPS.

既知の問題Known Issues

なしNone

データの収集Data Collection

高度なトラブルシューティング 802.1 x 認証データ収集を参照してください。See Advanced troubleshooting 802.1X authentication data collection.

トラブルシューティングTroubleshooting

Windows セキュリティイベントログNPS 認証状態イベントの表示は、失敗した認証に関する情報を取得するための最も便利なトラブルシューティング方法の1つです。Viewing NPS authentication status events in the Windows Security event log is one of the most useful troubleshooting methods to obtain information about failed authentications.

NPS イベントログエントリには、接続試行に一致した接続要求ポリシーの名前や、接続の試行を承認または拒否したネットワークポリシーなどの接続試行に関する情報が含まれます。NPS event log entries contain information on the connection attempt, including the name of the connection request policy that matched the connection attempt and the network policy that accepted or rejected the connection attempt. 成功イベントと失敗イベントの両方が表示されない場合は、次の「 NPS 監査ポリシー」のセクションを参照してください。If you are not seeing both success and failure events, see the section below on NPS audit policy.

[拒否] (イベント id 6273) または [承諾済み (イベント id 6272) 接続の試行] に対応する nps イベントについては、Nps サーバーの Windows セキュリティイベントログを確認します。Check Windows Security Event log on the NPS Server for NPS events corresponding to rejected (event ID 6273) or accepted (event ID 6272) connection attempts.

イベントメッセージで、一番下までスクロールし、[理由コード] フィールドと関連付けられたテキストを確認します。In the event message, scroll to the very bottom, and check the Reason Code field and the text associated with it.

監査失敗の例 : イベント ID 6273 (監査エラー)example of an audit failure](images/auditfailure.png) Example: event ID 6273 (Audit Failure)

監査成功の例 : イベント ID 6272 (監査成功)example of an audit success Example: event ID 6272 (Audit Success)

WLAN AutoConfig の操作ログには、WLAN AutoConfig サービスで検出または報告された条件に基づいて、情報とエラーイベントが一覧表示されます。‎The WLAN AutoConfig operational log lists information and error events based on conditions detected by or reported to the WLAN AutoConfig service. 操作ログには、ワイヤレスネットワークアダプター、ワイヤレス接続プロファイルのプロパティ、指定されたネットワーク認証、および接続の問題が発生した場合のエラーの原因に関する情報が含まれています。The operational log contains information about the wireless network adapter, the properties of the wireless connection profile, the specified network authentication, and, in the event of connectivity problems, the reason for the failure. 有線ネットワークアクセスについては、ワイヤード AutoConfig の操作ログは相当するものと同じです。For wired network access, Wired AutoConfig operational log is equivalent one.

クライアント側で、[イベントビューアー (ローカル)]、[アプリケーションとサービスログ] の順に移動します。「ワイヤレスの問題については、 Microsoft \ Windows \ WLAN-AutoConfig/Operational 」を参照してください。On the client side, navigate to Event Viewer (Local)\Applications and Services Logs\Microsoft\Windows\WLAN-AutoConfig/Operational for wireless issues. 有線ネットワークアクセスの問題については、に移動します。\ Wired-AutoConfig/オペレーショナルFor wired network access issues, navigate to ..\Wired-AutoConfig/Operational. 次に例を示します。See the following example:

ワイヤード (有線) と WLAN autoconfig を示すイベントビューアーのスクリーンショット

ほとんどの 802.1 X 認証の問題は、クライアントまたはサーバー認証に使用される証明書 (無効な証明書、有効期限、チェーンの確認エラー、失効確認エラーなど) が原因で発生します。Most 802.1X authentication issues are due to problems with the certificate that is used for client or server authentication (e.g. invalid certificate, expiration, chain verification failure, revocation check failure, etc.).

最初に、使用されている EAP メソッドの種類を確認します。First, validate the type of EAP method being used:

eap 認証の種類の比較

認証方法に証明書が使用されている場合は、証明書が有効であるかどうかを確認します。If a certificate is used for its authentication method, check if the certificate is valid. サーバー (NPS) 側では、[EAP プロパティ] メニューから、使用されている証明書を確認できます。For server (NPS) side, you can confirm what certificate is being used from the EAP property menu. NPS スナップインで、[ポリシー] Policies > ネットワークポリシーに移動します。In NPS snap-in, go to Policies > Network Policies. ポリシーを右クリックして、[プロパティ] を選択します。Right click on the policy and select Properties. ポップアップウィンドウで、[制約] タブに移動し、[認証方法] セクションを選択します。In the pop-up window, go to the Constraints tab and select the Authentication Methods section.

セキュリティで保護されたワイヤレス接続プロパティの [制約] タブ

CAPI2 イベントログは、証明書に関連する問題のトラブルシューティングに役立ちます。The CAPI2 event log will be useful for troubleshooting certificate-related issues. このログは既定では有効になっていません。This log is not enabled by default. このログを有効にするには、イベントビューアー (ローカル) \ アプリケーションとサービスの Logs\Microsoft\Windows\CAPI2を展開し、[操作] を右クリックし、[ログの有効化] をクリックします。You can enable this log by expanding Event Viewer (Local)\Applications and Services Logs\Microsoft\Windows\CAPI2, right-clicking Operational and then clicking Enable Log.

イベントビューアーのスクリーンショット

次の記事では、CAPI2 イベントログを分析する方法について説明します。 Windows Vista での PKI の問題のトラブルシューティングを行います。The following article explains how to analyze CAPI2 event logs: Troubleshooting PKI Problems on Windows Vista.

複雑な 802.1 X 認証の問題をトラブルシューティングするときは、802.1 X 認証プロセスについて理解しておくことが重要です。When troubleshooting complex 802.1X authentication issues, it is important to understand the 802.1X authentication process. 次の図は、802.1 X authentication でのワイヤレス接続プロセスの例です。The following figure is an example of wireless connection process with 802.1X authentication:

authenticator フローチャート

クライアントとサーバー (NPS) 側の両方でネットワークパケットキャプチャを収集すると、次のようなフローが表示されます。If you collect a network packet capture on both the client and the server (NPS) side, you can see a flow like the one below. クライアント側のキャプチャについては、表示フィルターで「 EAPOL 」と入力し、NPS 側のキャプチャにはEAPを入力します。Type EAPOL in the Display Filter in for a client side capture, and EAP for an NPS side capture. 次の例を参照してください。See the following examples:

クライアント側パケットキャプチャデータ クライアント側パケットキャプチャデータclient-side packet capture data](images/clientsidepacket_cap_data.png) Client-side packet capture data

NPS 側パケットキャプチャデータ nps-サイドパケットキャプチャデータNPS-side packet capture data](images/NPS_sidepacket_capture_data.png) NPS-side packet capture data

注意

ワイヤレストレースを使用している場合は、ネットワークモニターで ETL ファイルを表示し、 ONEX_MicrosoftWindowsOneXWLAN_MicrosoftWindowsWLANAutoConfigネットワークモニターフィルターを適用することもできます。If you have a wireless trace, you can also view ETL files with network monitor and apply the ONEX_MicrosoftWindowsOneX and WLAN_MicrosoftWindowsWLANAutoConfig Network Monitor filters. 必要に応じて、ネットワークモニターの [ヘルプ] メニューに表示される指示に従って、reqiredパーサーを読み込みます。Follow the instructions under the Help menu in Network Monitor to load the reqired parser if needed. 次の例を参照してください。See the example below.

ETL 解析

監査ポリシーAudit policy

接続の成功と失敗のための NPS 監査ポリシー (イベントログ) は、既定で有効になっています。NPS audit policy (event logging) for connection success and failure is enabled by default. いずれかまたは両方の種類のログが無効になっている場合は、次の手順を使用してトラブルシューティングを行います。If you find that one or both types of logging are disabled, use the following steps to troubleshoot.

NPS サーバーで次のコマンドを実行して、現在の監査ポリシーの設定を表示します。View the current audit policy settings by running the following command on the NPS server:

auditpol /get /subcategory:"Network Policy Server"

成功イベントと失敗イベントの両方が有効になっている場合、出力は次のようになります。If both success and failure events are enabled, the output should be:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

"監査なし" と表示されている場合は、このコマンドを実行して有効にすることができます。If it shows ‘No auditing’, you can run this command to enable it:

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

監査ポリシーが完全に有効になっている場合でも、この設定を無効にしてから再び有効にすることができます。Even if audit policy appears to be fully enabled, it sometimes helps to disable and then re-enable this setting. グループポリシーを使ってネットワークポリシーサーバーのログオン/ログオフの監査を有効にすることもできます。You can also enable Network Policy Server logon/logoff auditing via Group Policy. 成功/失敗の設定は、[コンピューターの構成] の下にあります。 > ポリシー-> Windows の設定-> セキュリティ設定-> 詳細な監査ポリシー構成-> 監査ポリシー-> ログオン/ログオフ-> 監査ネットワークポリシーサーバー] の下にあります。The success/failure setting can be found under Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff -> Audit Network Policy Server.

その他の参照情報Additional references

Windows Vista 802.11 ワイヤレス接続のトラブルシューティングTroubleshooting Windows Vista 802.11 Wireless Connections
Windows Vista のセキュリティで保護された802.3 の有線接続のトラブルシューティングTroubleshooting Windows Vista Secure 802.3 Wired Connections