Freigeben über

Erweiterte Problembehandlung von 802.1X-Authentifizierung

Probieren Sie unseren virtuellen Agent aus – Es kann Ihnen helfen, häufige Probleme mit drahtloser Technologie schnell zu identifizieren und zu beheben.

Gilt für: Windows 10

Übersicht

Dieser Artikel enthält allgemeine Problembehandlung für drahtlose 802.1X- und kabelgebundene Clients. Bei der Problembehandlung von 802.1X und Drahtlostechnologien ist es wichtig zu wissen, wie der Authentifizierungsfluss funktioniert, und dann herauszufinden, wo er unterbrochen wird. Dazu gehören viele Geräte und Software von Drittanbietern. In den meisten Fällen müssen wir ermitteln, wo das Problem auftritt, und ein anderer Anbieter muss es beheben. Wir erstellen keine Zugriffspunkte oder Switches, daher handelt es sich nicht um eine End-to-End-Lösung von Microsoft.

Szenarien

Diese Problembehandlungsmethode gilt für jedes Szenario, in dem drahtlose oder kabelgebundene Verbindungen mit der 802.1X-Authentifizierung versucht werden und dann nicht hergestellt werden. Der Workflow umfasst Windows 7 bis Windows 10 (und Windows 11) für Clients und Windows Server 2008 R2 bis Windows Server 2012 R2 für NPS.

Bekannte Probleme

Keine

Datensammlung

Weitere Informationen zur Problembehandlung finden Sie unter "Erweiterte Problembehandlung 802.1X-Authentifizierungsdatensammlung".

Problembehandlung

Das Anzeigen von NPS-Authentifizierungsstatusereignissen im Windows-Sicherheit Ereignisprotokoll ist eine der nützlichsten Problembehandlungsmethoden zum Abrufen von Informationen zu fehlgeschlagenen Authentifizierungen.

NPS-Ereignisprotokolleinträge enthalten Informationen zum Verbindungsversuch, einschließlich des Namens der Verbindungsanforderungsrichtlinie, die dem Verbindungsversuch entspricht, und die Netzwerkrichtlinie, die den Verbindungsversuch akzeptiert oder abgelehnt hat. Wenn sowohl Erfolgs- als auch Fehlerereignisse nicht angezeigt werden, lesen Sie den Abschnitt " NPS-Überwachungsrichtlinie " weiter unten in diesem Artikel.

Überprüfen Sie das Windows-Sicherheit Ereignisprotokoll auf dem NPS-Server für NPS-Ereignisse, die der abgelehnten (Ereignis-ID 6273) oder den akzeptierten Verbindungsversuchen (Ereignis-ID 6272) entsprechen.

Scrollen Sie in der Ereignisnachricht nach unten, und überprüfen Sie dann das Feld "Reason Code " und den Text, der ihr zugeordnet ist.

Screenshot der Ereignis-ID 6273, die ein Beispiel für einen Überwachungsfehler zeigt. Beispiel: Ereignis-ID 6273 (Überwachungsfehler)

Screenshot der Ereignis-ID 6272, die ein Beispiel für einen Überwachungserfolg zeigt. Beispiel: Ereignis-ID 6272 (Überwachungserfolg)

Das Betriebsprotokoll "WLAN AutoConfig" listet Informationen und Fehlerereignisse auf, die auf bedingungen basieren, die vom WLAN AutoConfig-Dienst erkannt oder gemeldet wurden. Das Betriebsprotokoll enthält Informationen über den Drahtlosnetzwerkadapter, die Eigenschaften des Drahtlosverbindungsprofils, die angegebene Netzwerkauthentifizierung und, wenn Verbindungsprobleme auftreten, den Grund für den Fehler. Für den kabelgebundenen Netzwerkzugriff ist das Betriebsprotokoll "Verkabeltes AutoConfig" ein gleichwertiges Protokoll.

Wechseln Sie auf clientseitiger Seite zu Ereignisanzeige (lokal)\Anwendungen und Dienstprotokolle\Microsoft\Windows\WLAN-AutoConfig/Operational für Drahtlose Probleme. Wechseln Sie für Netzwerkzugriffsprobleme mit kabelgebundenem Netzwerk zu .. \Wired-AutoConfig/Operational. Siehe folgendes Beispiel:

Screenshot der Ereignisanzeige mit kabelgebundener Autoconfig- und WLAN-Autoconfig.

Die meisten 802.1X-Authentifizierungsprobleme sind auf Probleme mit dem Zertifikat zurückzuführen, das für die Client- oder Serverauthentifizierung verwendet wird. Beispiele hierfür sind ungültiges Zertifikat, Ablauf, Verkettungsüberprüfungsfehler und Sperrüberprüfungsfehler.

Überprüfen Sie zunächst den Typ der verwendeten EAP-Methode:

Tabelle des Vergleichs des EAP-Authentifizierungstyps.

Wenn ein Zertifikat für seine Authentifizierungsmethode verwendet wird, überprüfen Sie, ob das Zertifikat gültig ist. Für die Serverseite (NPS) können Sie überprüfen, welches Zertifikat im EAP-Eigenschaftenmenü verwendet wird. Wechseln Sie im NPS-Snap-In zu "Richtlinien>für Netzwerkrichtlinien". Wählen Sie die Richtlinie aus und halten Sie sie gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann "Eigenschaften" aus. Wechseln Sie im Popupfenster zur Registerkarte "Einschränkungen ", und wählen Sie dann den Abschnitt "Authentifizierungsmethoden " aus.

Screenshot der Registerkarte

Das CAPI2-Ereignisprotokoll eignet sich für die Problembehandlung zertifikatbezogener Probleme. Dieses Protokoll ist standardmäßig nicht aktiviert. Um dieses Protokoll zu aktivieren, erweitern Sie Ereignisanzeige (lokal)\Anwendungs- und Dienstprotokolle\Microsoft\Windows\CAPI2, halten Sie es gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann "Protokoll aktivieren" aus.

Screenshot des Capi2-Ereignisprotokolls.

Informationen zum Analysieren von CAPI2-Ereignisprotokollen finden Sie unter Problembehandlung von PKI-Problemen unter Windows Vista.

Bei der Problembehandlung komplexer 802.1X-Authentifizierungsprobleme ist es wichtig, den 802.1X-Authentifizierungsprozess zu verstehen. Hier sehen Sie ein Beispiel für einen Drahtlosen Verbindungsprozess mit 802.1X-Authentifizierung:

Flussdiagramm des Authentifikators.

Wenn Sie eine Netzwerkpaketerfassung sowohl auf dem Client als auch auf der Serverseite (NPS) sammeln, können Sie einen Fluss wie die nachstehende sehen. Geben Sie EAPOL in den Anzeigefilter für eine clientseitige Erfassung und EAP für eine NPS-seitige Erfassung ein. Hierzu folgende Beispiele:

Screenshot der clientseitigen Paketerfassungsdaten.

Clientseitige Paketerfassungsdaten

Screenshot der NPS-seitenseitigen Paketerfassungsdaten.

NPS-seitige Paketerfassungsdaten

Notiz

Wenn Sie über eine drahtlose Ablaufverfolgung verfügen, können Sie auch ETL-Dateien mit Netzwerkmonitor anzeigen und die filter ONEX_MicrosoftWindowsOneX und WLAN_MicrosoftWindowsWLANAutoConfig Netzwerkmonitor anwenden. Wenn Sie den erforderlichen Parser laden müssen, lesen Sie die Anweisungen im Hilfemenü im Netzwerkmonitor. Hier sehen Sie ein Beispiel:

Screenshot des Microsoft-Netzwerkmonitorfensters mit einer drahtlosen Ablaufverfolgung.

Überwachungsrichtlinie

Standardmäßig ist die NPS-Überwachungsrichtlinie (Ereignisprotokollierung) für den Verbindungserfolg und Fehler aktiviert. Wenn Sie feststellen, dass ein oder beide Protokollierungstypen deaktiviert sind, führen Sie die folgenden Schritte aus, um Probleme zu beheben.

Zeigen Sie die aktuellen Überwachungsrichtlinieneinstellungen an, indem Sie den folgenden Befehl auf dem NPS-Server ausführen:

auditpol /get /subcategory:"Network Policy Server"

Wenn sowohl Erfolgs- als auch Fehlerereignisse aktiviert sind, sollte die Ausgabe wie folgt sein:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

Wenn "Keine Überwachung" angezeigt wird, können Sie diesen Befehl ausführen, um ihn zu aktivieren:

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Auch wenn die Überwachungsrichtlinie scheinbar vollständig aktiviert ist, hilft es manchmal, diese Einstellung zu deaktivieren und dann erneut zu aktivieren. Sie können die Netzwerkrichtlinienserver-Anmelde-/Abmeldungsüberwachung auch mithilfe von Gruppenrichtlinien aktivieren. Um zur Einstellung "Erfolg/Fehler" zu gelangen, wählen Sie "Computerkonfigurationsrichtlinien>>für Windows-Einstellungen für>Sicherheitseinstellungen>für erweiterte Überwachungsrichtlinien für Überwachungsrichtlinien für>Überwachungsrichtlinien>anmelden/Abmelden>" für Netzwerkrichtlinienserver aus.

Weitere Informationen