Condividi tramite

Risoluzione avanzata dei problemi di autenticazione di 802.1X

Provare l'agente virtuale: consente di identificare e risolvere rapidamente i problemi comuni della tecnologia wireless.

Si applica a: Windows 10

Panoramica

Questo articolo include la risoluzione dei problemi generale per i client wireless e cablati 802.1X. Durante la risoluzione dei problemi relativi a 802.1X e wireless, è importante conoscere il funzionamento del flusso di autenticazione e quindi capire dove si interrompe. Include molti dispositivi e software di terze parti. Nella maggior parte dei casi, è necessario identificare il punto in cui si verifica il problema e un altro fornitore deve risolverlo. Non si tratta di una soluzione Microsoft end-to-end perché non si creano punti di accesso o commutatori.

Scenari

Questa tecnica di risoluzione dei problemi si applica a qualsiasi scenario in cui si tenta di stabilire le connessioni wireless o cablate con l'autenticazione 802.1X e quindi non riesce. Il flusso di lavoro copre Da Windows 7 a Windows 10 (e Windows 11) per i client e Windows Server 2008 R2 tramite Windows Server 2012 R2 per Server dei criteri di rete.

Problemi noti

None

Raccolta dei dati

Vedere Advanced troubleshooting 802.1X authentication data collection (Raccolta dei dati di autenticazione 802.1X).

Risoluzione dei problemi

La visualizzazione degli eventi di stato di autenticazione dei criteri di rete nel registro eventi di Sicurezza di Windows è uno dei metodi di risoluzione dei problemi più utili per ottenere informazioni sulle autenticazioni non riuscite.

Le voci del registro eventi nps contengono informazioni sul tentativo di connessione, incluso il nome dei criteri di richiesta di connessione corrispondenti al tentativo di connessione e i criteri di rete che hanno accettato o rifiutato il tentativo di connessione. Se gli eventi di esito positivo e negativo non vengono visualizzati, vedere la sezione Criteri di controllo dei criteri di rete più avanti in questo articolo.

Controllare il registro eventi Sicurezza di Windows nel server dei criteri di rete per gli eventi NPS corrispondenti ai tentativi di connessione rifiutati (ID evento 6273) o accettati (ID evento 6272).

Nel messaggio dell'evento scorrere fino alla fine e quindi controllare il campo Codice motivo e il testo associato.

Screenshot dell'ID evento 6273 che mostra un esempio di errore di controllo. Esempio: ID evento 6273 (errore di controllo)

Screenshot dell'ID evento 6272 che mostra un esempio di esito positivo del controllo. Esempio: ID evento 6272 (Esito positivo del controllo)

Il log operativo WLAN AutoConfig elenca le informazioni e gli eventi di errore in base alle condizioni rilevate o segnalate al servizio WLAN AutoConfig. Il log operativo contiene informazioni sulla scheda di rete wireless, le proprietà del profilo di connessione wireless, l'autenticazione di rete specificata e, se si verificano problemi di connettività, il motivo dell'errore. Per l'accesso alla rete cablata, il log operativo Cablato AutoConfig è equivalente.

Sul lato client passare a Visualizzatore eventi (locale)\Registri applicazioni e servizi\Microsoft\Windows\WLAN-AutoConfig/Operational per problemi wireless. Per i problemi di accesso alla rete cablata, passare a .. \Cablata-AutoConfig/Operativo. Vedere l'esempio seguente:

Screenshot del visualizzatore eventi che mostra la configurazione automatica cablata e l'autoconfig WLAN.

La maggior parte dei problemi di autenticazione 802.1X è dovuta a problemi con il certificato usato per l'autenticazione client o server. Gli esempi includono un certificato, una scadenza, un errore di verifica della catena e un errore di controllo della revoca.

Prima di tutto, convalidare il tipo di metodo EAP usato:

Tabella del confronto tra i tipi di autenticazione eap.

Se per il metodo di autenticazione viene usato un certificato, verificare se il certificato è valido. Per il lato server (NPS), è possibile verificare quale certificato viene usato dal menu delle proprietà EAP. Nello snap-in Server dei criteri di rete passare a Criteri> di rete. Selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) sul criterio e quindi scegliere Proprietà. Nella finestra popup passare alla scheda Vincoli e quindi selezionare la sezione Metodi di autenticazione.

Screenshot della scheda Vincoli delle proprietà delle connessioni wireless sicure.

Il registro eventi CAPI2 è utile per la risoluzione dei problemi relativi ai certificati. Per impostazione predefinita, questo log non è abilitato. Per abilitare questo log, espandere Visualizzatore eventi (locale)\Registri applicazioni e servizi\Microsoft\Windows\CAPI2, selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) Operativo e quindi selezionare Abilita log.

Screenshot del registro eventi capi2.

Per informazioni su come analizzare i registri eventi CAPI2, vedere Risoluzione dei problemi PKI in Windows Vista.

Per la risoluzione dei problemi di autenticazione 802.1X complessi, è importante comprendere il processo di autenticazione 802.1X. Ecco un esempio di processo di connessione wireless con autenticazione 802.1X:

Diagramma di flusso dell'autenticatore.

Se si raccoglie un'acquisizione di pacchetti di rete sia sul lato client che sul lato server (NPS), è possibile visualizzare un flusso simile a quello riportato di seguito. Digitare EAPOL nel filtro di visualizzazione per un'acquisizione lato client e EAP per un'acquisizione lato server dei criteri di rete. Vedere gli esempi seguenti:

Screenshot dei dati di acquisizione pacchetti lato client.

Dati di acquisizione pacchetti lato client

Screenshot dei dati di acquisizione pacchetti lato server dei criteri di rete.

Dati di acquisizione pacchetti lato server dei criteri di rete

Note

Se si dispone di una traccia wireless, è anche possibile visualizzare i file ETL con monitoraggio di rete e applicare i filtri ONEX_MicrosoftWindowsOneX e WLAN_MicrosoftWindowsWLANAutoConfig Monitoraggio di rete. Se è necessario caricare il parser necessario, vedere le istruzioni nel menu ? in Monitoraggio di rete. Ecco un esempio:

Screenshot della finestra di monitoraggio della rete Microsoft che mostra una traccia wireless.

Criteri di controllo

Per impostazione predefinita, i criteri di controllo dei criteri di rete (registrazione eventi) per l'esito positivo della connessione e l'errore sono abilitati. Se si rileva che uno o entrambi i tipi di registrazione sono disabilitati, seguire questa procedura per risolvere i problemi.

Visualizzare le impostazioni correnti dei criteri di controllo eseguendo il comando seguente nel server dei criteri di rete:

auditpol /get /subcategory:"Network Policy Server"

Se gli eventi di esito positivo e negativo sono abilitati, l'output deve essere:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

Se viene visualizzato il messaggio "Nessun controllo", è possibile eseguire questo comando per abilitarlo:

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Anche se i criteri di controllo sembrano essere completamente abilitati, a volte è utile disabilitare e quindi riabilitare questa impostazione. È anche possibile abilitare il controllo di accesso/disconnessione del server dei criteri di rete tramite Criteri di gruppo. Per accedere all'impostazione di esito positivo/negativo, selezionare Criteri>di configurazione>computer Impostazioni di windows Impostazioni>>di sicurezza Impostazioni avanzate Criteri di controllo Criteri>di controllo Accesso>/Disconnessione>Controlla server dei criteri di rete.

Ulteriori informazioni