Поделиться через

Расширенная проверка подлинности 802.1X

  • Статья

Попробуйте наш виртуальный агент . Это поможет вам быстро определить и устранить распространенные проблемы с беспроводной технологией.

Применимо к: Windows 10

Обзор

В этой статье содержатся общие сведения об устранении неполадок для беспроводных и проводных клиентов 802.1X. При устранении неполадок, связанных со стандартом 802.1X и беспроводной сетью, важно иметь представление о схеме проверки подлинности и определить, на каком этапе возникает проблема. Он включает в себя множество сторонних устройств и программного обеспечения. Чаще всего нам нужно выяснить, где возникла проблема, и другой поставщик должен устранить ее. Мы не создаем точки доступа или коммутаторы, и это решение не является комплексным решением корпорации Майкрософт.

Сценарии

Этот метод устранения неполадок применяется к любому сценарию, в котором выполняются беспроводные или проводные подключения с проверкой подлинности 802.1X, а затем не удается установить. Рабочий процесс охватывает Windows 7 до Windows 10 (и Windows 11) для клиентов и Windows Server 2008 R2 до Windows Server 2012 R2 для NPS.

Известные проблемы

нет

Сбор данных

Дополнительные сведения об устранении неполадок с сбором данных проверки подлинности 802.1X.

Устранение неполадок

Просмотр событий проверки подлинности NPS в журнале событий Безопасность Windows является одним из наиболее полезных методов устранения неполадок для получения сведений о неудачных проверках подлинности.

Записи журнала событий NPS содержат сведения о попытке подключения, включая имя политики запроса подключения, которая соответствовала попытке подключения и политике сети, которая приняла или отклонила попытку подключения. Если события успешного и неудачного выполнения не отображаются, см . раздел политики аудита NPS далее в этой статье.

Проверьте журнал событий Безопасность Windows на сервере NPS для событий NPS, соответствующих отклоненному (идентификатору события 6273) или принятым (идентификатору события 6272) попыткам подключения.

В сообщении о событии прокрутите страницу вниз, а затем проверьте поле "Код причины" и текст, связанный с ним.

Снимок экрана: идентификатор события 6273, в котором показан пример сбоя аудита. Пример: идентификатор события 6273 (сбой аудита)

Снимок экрана: идентификатор события 6272, показывающий пример успешного аудита. Пример: идентификатор события 6272 (аудит успешного выполнения)

В журнале операций автоконфигурирования WLAN перечислены сведения и события ошибок в зависимости от условий, обнаруженных службой автоконфигурирования WLAN. Операционный журнал содержит сведения о беспроводном сетевом адаптере, свойствах профиля беспроводного подключения, указанной сетевой проверке подлинности и, если возникают проблемы с подключением, причина сбоя. Для доступа к проводной сети операционный журнал Wired AutoConfig является эквивалентным.

На стороне клиента перейдите к Просмотр событий (локальные)\Приложения и службы Logs\Microsoft\Windows\WLAN-AutoConfig/Operational для беспроводных проблем. Для проблем с доступом к проводной сети перейдите в раздел .. \Wired-AutoConfig/Operational. См. следующий пример.

Снимок экрана: средство просмотра событий с помощью проводной автоматической настройки и автоконфигурирования WLAN.

Большинство проблем проверки подлинности 802.1X возникают из-за проблем с сертификатом, используемым для проверки подлинности клиента или сервера. К примерам относятся недопустимый сертификат, срок действия, сбой проверки цепочки и проверка отзыва.

Сначала проверьте тип используемого метода EAP:

Таблица сравнения типов проверки подлинности eap.

Если сертификат используется для его метода проверки подлинности, проверьте, является ли сертификат допустимым. На стороне сервера (NPS) можно подтвердить, какой сертификат используется в меню свойств EAP. В оснастке NPS перейдите к политикам> сети. Выберите политику и удерживайте ее (или щелкните правой кнопкой мыши) и выберите пункт "Свойства". Во всплывающем окне перейдите на вкладку "Ограничения" и выберите раздел "Методы проверки подлинности".

Снимок экрана: вкладка

Журнал событий CAPI2 полезен для устранения неполадок, связанных с сертификатом. По умолчанию этот журнал не включен. Чтобы включить этот журнал, разверните узел Просмотр событий (локальные)\Приложения и службы Logs\Microsoft\Windows\CAPI2, выберите и удерживайте (или щелкните правой кнопкой мыши) операционную систему, а затем нажмите кнопку "Включить журнал".

Снимок экрана: журнал событий capi2.

Сведения об анализе журналов событий CAPI2 см. в разделе "Устранение неполадок PKI" в Windows Vista.

При устранении сложных проблем с проверкой подлинности 802.1X важно понимать процесс проверки подлинности 802.1X. Ниже приведен пример процесса беспроводного подключения с проверкой подлинности 802.1X:

Блок-схема аутентификатора.

При сборе сетевого пакета на стороне клиента и сервера (NPS) можно увидеть поток, как показано ниже. Введите EAPOL в фильтре отображения для записи на стороне клиента и EAP для записи на стороне NPS. См. следующие примеры.

Снимок экрана: данные сбора пакетов на стороне клиента.

Данные сбора пакетов на стороне клиента

Снимок экрана: данные записи пакетов на стороне NPS.

Данные записи пакетов на стороне NPS

Примечание.

Если у вас есть беспроводная трассировка, вы также можете просматривать файлы ETL с сетевым монитором и применять ONEX_MicrosoftWindowsOneX и WLAN_MicrosoftWindowsWLANAutoConfig фильтры сетевого монитора. Если необходимо загрузить необходимый средство синтаксического анализа, см. инструкции в меню справки в сетевом мониторе. Приведем пример:

Снимок экрана: окно монитора сети Майкрософт с беспроводной трассировкой.

Политика аудита

По умолчанию политика аудита NPS (ведение журнала событий) для успешного подключения и сбоя включена. Если вы обнаружите, что один или оба типа ведения журнала отключены, выполните следующие действия, чтобы устранить неполадки.

Просмотрите текущие параметры политики аудита, выполнив следующую команду на сервере NPS:

auditpol /get /subcategory:"Network Policy Server"

Если включены события успешного и сбоя, выходные данные должны быть следующими:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

Если он говорит: "Без аудита", эту команду можно запустить, чтобы включить следующую команду:

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Даже если политика аудита, как представляется, полностью включена, иногда она помогает отключить и повторно включить этот параметр. Вы также можете включить аудит входа в систему или выхода сервера политики сети с помощью групповой политики. Чтобы получить доступ к параметру успешного и неудачного выполнения, выберите "Политики>конфигурации>компьютера" "Параметры>безопасности параметров>безопасности", "Расширенные политики>аудита политики>аудита аудита" или "Журнал>аудита" сервера политики аудита сети.

Дополнительная информация