Compartir a través de

Solución avanzada de problemas de autenticación 802.1X

Pruebe nuestro agente virtual: puede ayudarle a identificar y corregir rápidamente problemas comunes de tecnología inalámbrica.

Se aplica a: Windows 10

Información general

En este artículo se incluye la solución general de problemas para clientes inalámbricos y cableados 802.1X. Al solucionar problemas de 802.1X e inalámbricos, es importante saber cómo funciona el flujo de autenticación y, a continuación, averiguar dónde se interrumpe. Implica muchos dispositivos y software de terceros. La mayoría de las veces, tenemos que identificar dónde está el problema y otro proveedor tiene que corregirlo. No fabricamos puntos de acceso ni conmutadores, por lo que no es una solución integral de Microsoft.

Escenarios

Esta técnica de solución de problemas se aplica a cualquier escenario en el que se intenten establecer conexiones inalámbricas o cableadas con autenticación 802.1X y, a continuación, no se establezca. El flujo de trabajo cubre Windows 7 a Windows 10 (y Windows 11) para los clientes y Windows Server 2008 R2 a Windows Server 2012 R2 para NPS.

Problemas conocidos

Ninguno

Recolección de datos

Consulte Advanced troubleshooting 802.1X authentication data collection (Solución avanzada de problemas de recopilación de datos de autenticación 802.1X).

Solución de problemas

Ver eventos de estado de autenticación NPS en el registro de eventos de Seguridad de Windows es uno de los métodos de solución de problemas más útiles para obtener información sobre las autenticaciones con errores.

Las entradas del registro de eventos NPS contienen información sobre el intento de conexión, incluido el nombre de la directiva de solicitud de conexión que coincide con el intento de conexión y la directiva de red que aceptó o rechazó el intento de conexión. Si no ve eventos de éxito y error, consulte la sección Directiva de auditoría npS más adelante en este artículo.

Compruebe el registro de eventos de Seguridad de Windows en el servidor NPS para los eventos NPS que corresponden a los intentos de conexión rechazados (identificador de evento 6273) o aceptados (id. de evento 6272).

En el mensaje de evento, desplácese hasta la parte inferior y, a continuación, compruebe el campo Código de motivo y el texto asociado a él.

Captura de pantalla del identificador de evento 6273 que muestra un ejemplo de error de auditoría. Ejemplo: identificador de evento 6273 (error de auditoría)

Captura de pantalla del identificador de evento 6272 que muestra un ejemplo de éxito de auditoría. Ejemplo: identificador de evento 6272 (auditoría correcta)

El registro operativo WLAN AutoConfig muestra información y eventos de error en función de las condiciones detectadas por o notificadas al servicio WLAN AutoConfig. El registro operativo contiene información sobre el adaptador de red inalámbrica, las propiedades del perfil de conexión inalámbrica, la autenticación de red especificada y, si se producen problemas de conectividad, el motivo del error. Para el acceso a la red cableada, el registro operativo de Configuración automática cableada es un equivalente.

En el lado cliente, vaya a Visor de eventos (Local)\Registros de aplicaciones y servicios\Microsoft\Windows\WLAN-AutoConfig/Operational para problemas inalámbricos. Para problemas de acceso a la red cableada, vaya a . \Wired-AutoConfig/Operational. Observe el ejemplo siguiente:

Captura de pantalla del visor de eventos que muestra la configuración automática por cable y la configuración automática de WLAN.

La mayoría de los problemas de autenticación 802.1X se debe a problemas con el certificado que se usa para la autenticación de cliente o servidor. Entre los ejemplos se incluyen el certificado no válido, la expiración, el error de comprobación de la cadena y el error de comprobación de revocación.

En primer lugar, valide el tipo de método EAP que se usa:

Tabla de comparación de tipos de autenticación de eap.

Si se usa un certificado para su método de autenticación, compruebe si el certificado es válido. En el lado del servidor (NPS), puede confirmar qué certificado se está usando en el menú de propiedades de EAP. En el complemento NPS, vaya a Directivas>directivas de red. Seleccione y mantenga presionada (o haga clic con el botón derecho) en la directiva y, a continuación, seleccione Propiedades. En la ventana emergente, vaya a la pestaña Restricciones y seleccione la sección Métodos de autenticación.

Captura de pantalla de la pestaña Restricciones de las propiedades seguras de las conexiones inalámbricas.

El registro de eventos CAPI2 es útil para solucionar problemas relacionados con certificados. De forma predeterminada, este registro no está habilitado. Para habilitar este registro, expanda Visor de eventos (Local)\Registros de aplicaciones y servicios\Microsoft\Windows\CAPI2, seleccione y mantenga operativo (o haga clic con el botón derecho) y, a continuación, seleccione Habilitar registro.

Captura de pantalla del registro de eventos capi2.

Para obtener información sobre cómo analizar los registros de eventos CAPI2, consulte Solución de problemas de PKI en Windows Vista.

Al solucionar problemas complejos de autenticación 802.1X, es importante comprender el proceso de autenticación 802.1X. Este es un ejemplo del proceso de conexión inalámbrica con la autenticación 802.1X:

Diagrama de flujo del autenticador.

Si recopila una captura de paquetes de red en el lado cliente y servidor (NPS), puede ver un flujo como el siguiente. Escriba EAPOL en el filtro de visualización para una captura del lado cliente y EAP para una captura del lado NPS. Consulte los siguientes ejemplos:

Captura de pantalla de los datos de captura de paquetes del lado cliente.

Datos de captura de paquetes del lado cliente

Captura de pantalla de los datos de captura de paquetes del lado NPS.

Datos de captura de paquetes del lado NPS

Nota:

Si tiene un seguimiento inalámbrico, también puede ver los archivos ETL con monitor de red y aplicar los filtros ONEX_MicrosoftWindowsOneX y WLAN_MicrosoftWindowsWLANAutoConfig Network Monitor. Si necesita cargar el analizador necesario, consulte las instrucciones del menú Ayuda de Network Monitor. Este es un ejemplo:

Captura de pantalla de la ventana del monitor de red de Microsoft que muestra un seguimiento inalámbrico.

Directiva de auditoría

De forma predeterminada, la directiva de auditoría de NPS (registro de eventos) para que la conexión se haya realizado correctamente y se habilite el error. Si encuentra que uno o ambos tipos de registro están deshabilitados, siga estos pasos para solucionar problemas.

Para ver la configuración actual de la directiva de auditoría, ejecute el comando siguiente en el servidor NPS:

auditpol /get /subcategory:"Network Policy Server"

Si se habilitan los eventos correctos y de error, la salida debe ser:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

Si indica "Sin auditoría", puede ejecutar este comando para habilitarlo:

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Incluso si la directiva de auditoría parece estar totalmente habilitada, a veces ayuda a deshabilitar y, a continuación, volver a habilitar esta configuración. También puede habilitar la auditoría de inicio de sesión o de cierre de sesión del servidor de directivas de red mediante la directiva de grupo. Para obtener la configuración de éxito o error, seleccione Directivas de configuración del>>equipo Configuración de Windows Configuración de seguridad Configuración>>avanzada de directiva de auditoría Directiva de auditoría>Inicio>de sesión/Servidor>de directivas de auditoría.

Más información