Delen via

Geavanceerde probleemoplossing voor 802.1 X-verificatie

Probeer onze virtuele agent : hiermee kunt u snel veelvoorkomende problemen met draadloze technologie identificeren en oplossen.

Van toepassing op: Windows 10

Overzicht

Dit artikel bevat algemene probleemoplossing voor draadloze en bekabelde clients van 802.1X. Tijdens het oplossen van problemen met 802.1 X en draadloos, is het belangrijk om te weten hoe de verificatiestroom werkt en vervolgens te achterhalen waar deze fout is. Het omvat veel apparaten en software van derden. Meestal moeten we vaststellen waar het probleem zit en moet een andere leverancier het oplossen. We maken geen toegangspunten of schakelopties, dus het is geen end-to-end Microsoft-oplossing.

Scenario's

Deze techniek voor probleemoplossing is van toepassing op elk scenario waarin draadloze of bekabelde verbindingen met 802.1X-verificatie worden geprobeerd en vervolgens niet tot stand worden gebracht. De werkstroom omvat Windows 7 tot en met Windows 10 (en Windows 11) voor clients en Windows Server 2008 R2 tot en met Windows Server 2012 R2 voor NPS.

Bekende problemen

Geen

Gegevens verzamelen

Zie Geavanceerde probleemoplossing 802.1X-verificatiegegevensverzameling.

Probleemoplossing

Het weergeven van npS-verificatiestatusgebeurtenissen in het Windows-beveiliging gebeurtenislogboek is een van de handigste methoden voor het verkrijgen van informatie over mislukte verificaties.

Vermeldingen in het NPS-gebeurtenislogboek bevatten informatie over de verbindingspoging, inclusief de naam van het verbindingsaanvraagbeleid dat overeenkomt met de verbindingspoging en het netwerkbeleid dat de verbindingspoging heeft geaccepteerd of geweigerd. Als u niet zowel geslaagde als mislukte gebeurtenissen ziet, raadpleegt u de sectie NPS-controlebeleid verderop in dit artikel.

Controleer het Windows-beveiliging gebeurtenislogboek op de NPS-server op NPS-gebeurtenissen die overeenkomen met de geweigerde (gebeurtenis-id 6273) of de geaccepteerde verbindingspogingen (gebeurtenis-id 6272).

Schuif in het gebeurtenisbericht naar beneden en controleer vervolgens het veld Reason Code en de tekst die eraan is gekoppeld.

Schermopname van gebeurtenis-id 6273, waarin een voorbeeld van een controlefout wordt weergegeven. Voorbeeld: gebeurtenis-id 6273 (controlefout)

Schermopname van gebeurtenis-id 6272, waarin een voorbeeld van een geslaagde controle wordt weergegeven. Voorbeeld: gebeurtenis-id 6272 (geslaagde controle)

Het operationele logboek WLAN AutoConfig bevat informatie en fout gebeurtenissen op basis van voorwaarden gedetecteerd door of gerapporteerd aan de WLAN AutoConfig-service. Het operationele logboek bevat informatie over de draadloze netwerkadapter, de eigenschappen van het profiel voor draadloze verbindingen, de opgegeven netwerkverificatie en, als er verbindingsproblemen optreden, de reden voor de fout. Voor bekabelde netwerktoegang is het operationele logboek wired AutoConfig een equivalent.

Ga aan de clientzijde naar Logboeken (lokaal)\Logboeken toepassingen en services\Microsoft\Windows\WLAN-AutoConfig/Operational voor draadloze problemen. Ga naar .voor problemen met bekabelde netwerktoegang. \Wired-AutoConfig/Operational. Zie het volgende voorbeeld:

Schermopname van de logboeken met bekabelde automatische configuratie en WLAN-automatische configuratie.

De meeste 802.1X-verificatieproblemen zijn te maken met problemen met het certificaat dat wordt gebruikt voor client- of serververificatie. Voorbeelden hiervan zijn ongeldig certificaat, verlooptijd, fout bij ketenverificatie en intrekkingscontrolefout.

Valideer eerst het type EAP-methode dat wordt gebruikt:

Tabel met vergelijking van eap-verificatietypen.

Als een certificaat wordt gebruikt voor de verificatiemethode, controleert u of het certificaat geldig is. Voor de serverzijde (NPS) kunt u controleren welk certificaat wordt gebruikt vanuit het eigenschappenmenu van EAP. Ga in de NPS-module naar Beleid>voor netwerkbeleid. Selecteer en houd het beleid ingedrukt (of klik er met de rechtermuisknop op) en selecteer Vervolgens Eigenschappen. Ga in het pop-upvenster naar het tabblad Beperkingen en selecteer vervolgens de sectie Verificatiemethoden .

Schermopname van het tabblad Beperkingen van de eigenschappen van beveiligde draadloze verbindingen.

Het CAPI2-gebeurtenislogboek is handig voor het oplossen van problemen met betrekking tot certificaten. Dit logboek is standaard niet ingeschakeld. Als u dit logboek wilt inschakelen, vouwt u Logboeken (lokaal)\Logboeken toepassingen en services\Microsoft\Windows\CAPI2 uit, selecteert en houdt u deze ingedrukt (of klikt u erop met de rechtermuisknop) en selecteert u Logboek inschakelen.

Schermopname van het capi2-gebeurtenislogboek.

Zie Problemen met PKI oplossen in Windows Vista voor meer informatie over het analyseren van CAPI2-gebeurtenislogboeken.

Bij het oplossen van complexe problemen met 802.1X-verificatie is het belangrijk om inzicht te hebben in het 802.1X-verificatieproces. Hier volgt een voorbeeld van een draadloos verbindingsproces met 802.1X-verificatie:

Stroomdiagram van de verificator.

Als u een netwerkpakketopname verzamelt aan zowel de client- als de serverzijde (NPS), ziet u een stroom zoals hieronder. Typ EAPOL in het weergavefilter voor een opname aan de clientzijde en EAP voor een opname aan de NPS-zijde. Zie de volgende voorbeelden:

Schermopname van de gegevens voor pakketopname aan de clientzijde.

Gegevens van pakketopname aan de clientzijde

Schermopname van de gegevens voor pakketopname aan de NPS-zijde.

Gegevens van pakketopname aan de NPS-zijde

Notitie

Als u een draadloze trace hebt, kunt u ook ETL-bestanden weergeven met netwerkmonitor en de ONEX_MicrosoftWindowsOneX en WLAN_MicrosoftWindowsWLANAutoConfig netwerkmonitorfilters toepassen. Als u de vereiste parser wilt laden, raadpleegt u de instructies in het menu Help in Network Monitor. Hier volgt een voorbeeld:

Schermopname van het microsoft-netwerkmonitorvenster met een draadloze tracering.

Controlebeleid

NpS-controlebeleid (gebeurtenislogboekregistratie) is standaard ingeschakeld voor geslaagde en mislukte verbindingen. Als u merkt dat een of beide typen logboekregistratie zijn uitgeschakeld, gebruikt u de volgende stappen om problemen op te lossen.

Bekijk de huidige controlebeleidsinstellingen door de volgende opdracht uit te voeren op de NPS-server:

auditpol /get /subcategory:"Network Policy Server"

Als zowel geslaagde als mislukte gebeurtenissen zijn ingeschakeld, moet de uitvoer het volgende zijn:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

Als u 'Geen controle' ziet, kunt u deze opdracht uitvoeren om deze in te schakelen:

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Zelfs als het controlebeleid volledig is ingeschakeld, is het soms handig om deze instelling uit te schakelen en vervolgens opnieuw in te schakelen. U kunt ook de controle voor aanmelden/afmelden van Network Policy Server inschakelen met behulp van Groepsbeleid. Als u de instelling voor succes/fouten wilt openen, selecteert u Computerconfiguratiebeleid>windows-instellingen>>Beveiligingsinstellingen>Geavanceerde controlebeleid>voor controlebeleid>voor controlebeleid voor auditbeleid/afmelden>Netwerkbeleidsserver.

Meer informatie