高度なトラブルシューティング 802.1X 認証

仮想エージェントをお試しください - ワイヤレス テクノロジに関する一般的な問題をすばやく特定して修正するのに役立ちます。

適用対象: Windows 10

概要

この記事には、802.1X ワイヤレス クライアントと有線クライアントの一般的なトラブルシューティングが含まれています。 802.1X とワイヤレスのトラブルシューティングを行う際には、認証フローがどのように機能するかを理解してから、それがどこで壊れているかを見つけることが重要です。 これには、多くのサード パーティ製のデバイスとソフトウェアが含まれます。 ほとんどの場合、Microsoft が問題の場所を特定し、別のベンダーがそれを修正する必要があります。 Microsoft がアクセス ポイントやスイッチを作成しないため、これはエンドツーエンドの Microsoft ソリューションではありません。

シナリオ

このトラブルシューティング手法は、802.1X 認証を使用したワイヤレス接続または有線接続が試行され、確立に失敗するシナリオに適用されます。 このワークフローでは、クライアント用の Windows 7 から Windows 10 (および Windows 11)、NPS 用 Windows Server 2008 R2 から Windows Server 2012 R2 までについて説明します。

既知の問題

なし

データ収集

802.1X 認証データ収集 Advanced のトラブルシューティングを参照してください。

トラブルシューティング

Windows セキュリティ イベント ログでNPS 認証状態イベント表示することは失敗した認証に関する情報を取得するための最も便利なトラブルシューティング方法の 1 つです。

NPS イベント ログ エントリには、接続の試行に一致した接続要求ポリシーの名前や、接続試行を受け入れたか拒否したネットワーク ポリシーなど、接続試行に関する情報が含まれます。 成功イベントと失敗イベントの両方が表示されない場合は、この記事の後半の「 NPS 監査ポリシー 」セクションを参照してください。

NPS サーバー上のWindows セキュリティ イベント ログで、拒否された (event ID 6273) または受け入れられた (event ID 6272) 接続試行に対応する NPS イベントを確認します。

イベント メッセージで、一番下までスクロールし、 Reason Code フィールドと、それに関連付けられているテキストを確認します。

例: イベント ID 6273 (監査エラー)

例: イベント ID 6272 (監査成功)

WLAN AutoConfig 操作ログには、WLAN AutoConfig サービスによって検出または WLAN AutoConfig サービスに報告された条件に基づいて、情報とエラー イベントが一覧表示されます。 操作ログには、ワイヤレス ネットワーク アダプター、ワイヤレス接続プロファイルのプロパティ、指定されたネットワーク認証、接続の問題が発生した場合のエラーの原因に関する情報が含まれています。 ワイヤード (有線) ネットワーク アクセスの場合、ワイヤード (有線) AutoConfig 操作ログは同等のログです。

クライアント側で、ワイヤレスの問題については、イベント ビューアー (ローカル)\アプリケーションとサービス ログ\Microsoft\Windows\WLAN-AutoConfig/Operational に移動します。 ワイヤード (有線) ネットワーク アクセスの問題については、「 」を参照してください。\Wired-AutoConfig/Operational。 次の例を参照してください。

ほとんどの 802.1X 認証の問題は、クライアントまたはサーバー認証に使用される証明書の問題が原因です。 たとえば、無効な証明書、有効期限、チェーン検証エラー、失効チェックの失敗などがあります。

まず、使用される EAP メソッドの種類を検証します。

認証方法に証明書が使用されている場合は、証明書が有効かどうかを確認します。 サーバー (NPS) 側では、EAP プロパティ メニューから使用されている証明書を確認できます。 NPS スナップインでポリシー>Network ポリシーに移動します。 ポリシーを長押し (または右クリック) し、 Properties を選択します。 ポップアップ ウィンドウで、 Constraints タブに移動し、 Authentication Methods セクションを選択します。

CAPI2 イベント ログは、証明書関連の問題のトラブルシューティングに役立ちます。 既定では、このログは有効になっていません。 このログを有効にするには、イベント ビューアー (Local)\Applications and Services Logs\Microsoft\Windows\CAPI2 を展開し、Operationalを長押し (または右クリック) し、[ログの有効化]を選択します。

CAPI2 イベント ログを分析する方法については、「 Windows Vista での PKI の問題のトラブルシューティングを参照してください。

複雑な 802.1X 認証の問題をトラブルシューティングする場合は、802.1X 認証プロセスを理解することが重要です。 802.1X 認証を使用したワイヤレス接続プロセスの例を次に示します。

クライアント側とサーバー側 (NPS) 側の両方でネットワーク パケット キャプチャを取得場合は、次のようなフローが表示されます。 クライアント側キャプチャの表示フィルターに EAPOL を入力し、NPS 側のキャプチャの EAP を入力します。 次の例を参照してください。

クライアント側のパケット キャプチャ データ

NPS 側のパケット キャプチャ データ

Note

ワイヤレス トレースがある場合は、ネットワーク モニターを使用して ETL ファイルを表示しONEX_MicrosoftWindowsOneXとネットワーク モニター フィルターWLAN_MicrosoftWindowsWLANAutoConfig適用することもできます。 必要な parserを読み込む必要がある場合は、ネットワーク モニターの Help メニューの手順を参照してください。 次に例を示します。

監査ポリシー

既定では、接続の成功と失敗に関する NPS 監査ポリシー (イベント ログ) が有効になっています。 一方または両方の種類のログ記録が無効になっている場合は、次の手順を使用してトラブルシューティングを行います。

NPS サーバーで次のコマンドを実行して、現在の監査ポリシー設定を表示します。

auditpol /get /subcategory:"Network Policy Server"

成功イベントと失敗イベントの両方が有効になっている場合、出力は次のようになります。

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

"監査なし" と表示されている場合は、次のコマンドを実行して有効にすることができます。

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

監査ポリシーが完全に有効になっているように見える場合でも、この設定を無効にしてから再度有効にすることが役立つ場合があります。 グループ ポリシーを使用して、ネットワーク ポリシー サーバーのログオン/ログオフ監査を有効にすることもできます。 成功/失敗の設定を取得するには、 Computer Configuration>Policies>Windows Settings>Security Settings>Advanced Audit Policy Configuration>Audit Policies>Logon/Logoff>Audit Network Policy Server を選択します。

詳細

• Windows Vista 802.11 ワイヤレス接続のトラブルシューティング
• Windows Vista Secure 802.3 ワイヤード (有線) 接続のトラブルシューティング