Дополнительные способы устранения неполадок проверки подлинности на основе стандарта безопасности 802.1X

Обзор

Это общая проблема устранения неполадок беспроводных клиентов 802.1 X и беспроводных сетей. С помощью 802.1 X и беспроводных решений вы должны знать, как работает процесс проверки подлинности, а затем обдумать, где он был разрушен. Она включает большое количество оборудования и программного обеспечения третьих лиц. В большинстве случаев мы должны определить причину проблемы, а другой поставщик — исправить ее. Так как мы не создаем точки доступа или переключатели, это не является комплексным решением Microsoft.

Сценарии

Этот способ устранения неполадок относится к любому сценарию, в котором предпринимается проверка подлинности беспроводных или проводных подключений с помощью 802.1 X, а затем установка завершается сбоем. Рабочий процесс охватывает Windows 7-10 для клиентов и Windows Server 2008 R2-2012 R2 для NPS.

Известные проблемы

Нет

Сбор данных

Дополнительные сведения об устранении неполадок в сборе данных проверки подлинности 802.1 x.

Поиск и устранение неисправностей

Просмотр событий состояния проверки подлинности NPS в журнале событий безопасности Windows — это один из наиболее полезных способов устранения неполадок, которые могут получить сведения об ошибках проверки подлинности.

Записи журнала событий NPS содержат сведения о попытке подключения, в том числе имя политики запросов на подключение, которая соответствует попытке подключения и политику сети, которая приняла попытку подключения или отклонил ее. Если вы не видите события успехов и отказов, ознакомьтесь с разделом, приведенным в разделе политики аудита NPS.

Проверка журнала событий безопасности Windows на сервере политики сети для событий NPS, отброшенных с отклонением (ИД события 6273) или принято (Event ID 6272), попыток подключения.

В сообщении о событии прокрутите экран до самого нижнего края и проверьте поле код причины и текст, связанный с ним.

пример отказа в аудите : событие с кодом 6273 (сбой аудита)

пример успешного выполнения аудита : Event ID 6272 (успешный аудит)

В журнале операций автонастройки беспроводных сетей выводятся сведения об ошибках и событиях, возникающих в зависимости от условий, обнаруженных или отправленных в службу автонастройки WLAN. Операционный журнал включает сведения о адаптере беспроводной сети, свойства профиля беспроводного подключения, указанную проверку подлинности сети и, в случае проблем с подключением, причины сбоя. Для доступа к проводной сети для подключения к учетной записи служба автонастройки проводной связи эквивалентна одному.

На стороне клиента перейдите в журнал просмотра событий (local) \аппликатионс и службы \ Microsoft \ Windows \ Влан-аутоконфиг/эксплуатация для проблем с беспроводной связью. Для проблем доступа к проводной сети перейдите на ... \ Виред-аутоконфиг/эксплуатация. См. приведенный ниже пример.

снимок экрана: окно просмотра событий, в котором показано, как служба автоматической настройки и беспроводная сеть

Большинство проблем с проверкой подлинности 802.1 X возникают из-за проблем с сертификатом, который используется для проверки подлинности клиента или сервера (например, недопустимый сертификат, истек срок действия, сбой проверки цепочки, проверка отзыва и т. д.).

Сначала проверьте тип используемого метода EAP:

Сравнение типов проверки подлинности EAP

Если сертификат используется для проверки подлинности, убедитесь, что он действителен. На стороне сервера (NPS) можно подтвердить использование сертификата в меню свойств EAP.

Вкладка "ограничения" в свойствах безопасного беспроводного подключения

Журнал событий CAPI2 будет полезен для устранения проблем, связанных с сертификатом. Этот журнал по умолчанию отключен. Вы можете включить этот журнал, развернув окно просмотра событий (local) \аппликатионс и службы Logs\Microsoft\Windows\CAPI2, щелкнув правой кнопкой мыши в рабочем состоянии , а затем выбрав Включить журнал.

снимок экрана: окно просмотра событий

В следующей статье объясняется, как проанализировать журналы событий CAPI2: Устранение неполадок с PKI в Windows Vista.

При устранении неполадок, связанных с проверкой подлинности сложных 802.1 X, важно понимать процесс проверки подлинности 802.1 X. На приведенном ниже рисунке показан пример процесса беспроводного подключения с проверкой подлинности 802.1 X.

блок аусентикатиор

Если вы собираетесь собирать сетевые пакеты на стороне клиента и сервера (NPS), вы можете увидеть поток, как показано ниже. Введите EAPOL в фильтре отображения для записи на стороне клиента и EAP для захвата на стороне сервера политики сети. Ниже приведены примеры.

клиентские данные захвата пакетов на стороне клиента

Данные захвата пакетов на стороне сервера политики сети в NPS

Примечание

Если у вас есть беспроводная трассировка, вы также можете просматривать ETL-файлы в сетевом мониторе и применять фильтры сетевого монитора ONEX_MicrosoftWindowsOneX и WLAN_MicrosoftWindowsWLANAutoConfig . Следуйте указаниям в меню " Справка " в сетевом мониторе, чтобы при необходимости загрузить средство синтаксического анализа рекиред. Ниже приведен пример.

Анализ ETL

Политика аудита

Политика аудита NPS (ведение журнала событий) для успешных и неудачных подключений включена по умолчанию. Если вы обнаружите, что один или оба типа ведения журнала отключены, выполните указанные ниже действия, чтобы устранить неполадки.

Просмотрите текущие параметры политики аудита, выполнив следующую команду на сервере политики сети:

auditpol /get /subcategory:"Network Policy Server"

Если включены события успехов и отказов, выводится следующее:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

Если он не содержит аудита, вы можете выполнить эту команду, чтобы включить ее.

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Несмотря на то, что политика аудита включена полностью, иногда она помогает отключить и снова включить этот параметр. Вы также можете включить аудит входа и выхода сервера политики сети с помощью групповой политики. Параметр "успех и сбой" можно найти в разделе Конфигурация компьютера — политики >-> параметры безопасности > — > Расширенная настройка политики аудита — > политики аудита-> входа в систему и выхода из нее — > аудит сервера политики сети.

Дополнительные ссылки

Устранение неполадок беспроводных подключений для Windows Vista 802,11
Устранение неполадок с защищенными проводами 802,3 в Windows Vista