Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Prova vår virtuella agent – Det kan hjälpa dig att snabbt identifiera och åtgärda vanliga problem med trådlös teknik.
Gäller för: Windows 10
Översikt
Den här artikeln innehåller allmän felsökning för trådlösa och kabelanslutna 802.1X-klienter. När du felsöker 802.1X och trådlöst är det viktigt att veta hur autentiseringsflödet fungerar och sedan ta reda på var det bryts. Det omfattar många enheter och programvara från tredje part. I de flesta fall måste vi identifiera var problemet finns och en annan leverantör måste åtgärda det. Vi tillverkar inte åtkomstpunkter eller växlar, så Microsoft står inte för hela lösningen från slutpunkt till slutpunkt.
Scenarier
Den här felsökningstekniken gäller för alla scenarier där trådlösa eller kabelanslutna anslutningar med 802.1X-autentisering görs och sedan inte kan upprättas. Arbetsflödet omfattar Windows 7 till Windows 10 (och Windows 11) för klienter och Windows Server 2008 R2 via Windows Server 2012 R2 för NPS.
Kända problem
Ingen
Datainsamling
Se Avancerad felsökning av datainsamling för 802.1X-autentisering.
Felsökning
Att visa statushändelser för NPS-autentisering i händelseloggen för Windows-säkerhet är en av de mest användbara felsökningsmetoderna för att hämta information om misslyckade autentiseringar.
NPS-händelseloggposter innehåller information om anslutningsförsöket, inklusive namnet på den princip för anslutningsbegäran som matchade anslutningsförsöket och den nätverksprincip som accepterade eller avvisade anslutningsförsöket. Om du inte ser både lyckade och misslyckade händelser kan du läsa avsnittet NPS-granskningsprincip senare i den här artikeln.
Kontrollera Windows-säkerhet händelseloggen på NPS-servern för NPS-händelser som motsvarar det avvisade (händelse-ID 6273) eller de godkända anslutningsförsöken (händelse-ID 6272).
I händelsemeddelandet bläddrar du längst ned och kontrollerar sedan fältet Orsakskod och den text som är associerad med det.
Exempel: händelse-ID 6273 (granskningsfel)
Exempel: händelse-ID 6272 (granskning lyckades)
Driftloggen för WLAN AutoConfig visar information och felhändelser baserat på villkor som identifierats av eller rapporterats till WLAN AutoConfig-tjänsten. Driftloggen innehåller information om det trådlösa nätverkskortet, egenskaperna för profilen för trådlös anslutning, den angivna nätverksautentiseringen och, om anslutningsproblem uppstår, orsaken till felet. För kabelansluten nätverksåtkomst är den kabelanslutna autokonfigurationens driftlogg motsvarande en.
På klientsidan går du till Loggboken (lokal)\Program- och tjänstloggar\Microsoft\Windows\WLAN-AutoConfig/Operational för trådlösa problem. För problem med kabelansluten nätverksåtkomst går du till .. \Wired-AutoConfig/Operational. Se följande exempel:
De flesta 802.1X-autentiseringsproblem beror på problem med certifikatet som används för klient- eller serverautentisering. Exempel är ogiltigt certifikat, förfallodatum, kedjeverifieringsfel och återkallningskontrollfel.
Verifiera först vilken typ av EAP-metod som används:
Om ett certifikat används för dess autentiseringsmetod kontrollerar du om certifikatet är giltigt. För serversidan (NPS) kan du bekräfta vilket certifikat som används från EAP-egenskapsmenyn. Gå till Principer>Nätverksprinciper i NPS-snapin-modulen. Välj och håll (eller högerklicka) på principen och välj sedan Egenskaper. I popup-fönstret går du till fliken Begränsningar och väljer sedan avsnittet Autentiseringsmetoder .
CAPI2-händelseloggen är användbar för felsökning av certifikatrelaterade problem. Loggen är som standard inte aktiverad. Om du vill aktivera den här loggen expanderar du Loggboken (lokal)\Program- och tjänstloggar\Microsoft\Windows\CAPI2, väljer och håller (eller högerklickar) Drift och väljer sedan Aktivera logg.
Information om hur du analyserar CAPI2-händelseloggar finns i Felsöka PKI-problem i Windows Vista.
När du felsöker komplexa 802.1X-autentiseringsproblem är det viktigt att förstå 802.1X-autentiseringsprocessen. Här är ett exempel på en trådlös anslutningsprocess med 802.1X-autentisering:
Om du samlar in ett nätverkspaket på både klient- och serversidan (NPS) kan du se ett flöde som liknar det nedan. Skriv EAPOL i visningsfiltret för en avbildning på klientsidan och EAP för en NPS-avbildning på sidan. Se följande exempel:
Paketinsamlingsdata på klientsidan
Paketinsamlingsdata på NPS-sida
Kommentar
Om du har en trådlös spårning kan du också visa ETL-filer med nätverksövervakaren och tillämpa filter för ONEX_MicrosoftWindowsOneX och WLAN_MicrosoftWindowsWLANAutoConfig Network Monitor. Om du behöver läsa in den nödvändiga parsern kan du läsa anvisningarna på hjälpmenyn i Nätverksövervakaren. Här är ett exempel:
Granskningsprincip
Som standard aktiveras NPS-granskningsprincipen (händelseloggning) för att anslutningen lyckades och misslyckades. Om du upptäcker att en eller båda typerna av loggning är inaktiverade använder du följande steg för att felsöka.
Visa de aktuella granskningsprincipinställningarna genom att köra följande kommando på NPS-servern:
auditpol /get /subcategory:"Network Policy Server"
Om både lyckade och misslyckade händelser är aktiverade ska utdata vara:
System audit policy
Category/Subcategory Setting
Logon/Logoff
Network Policy Server Success and Failure
Om det står "Ingen granskning" kan du köra det här kommandot för att aktivera det:
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
Även om granskningsprincipen verkar vara helt aktiverad kan det ibland hjälpa till att inaktivera och sedan återaktivera den här inställningen. Du kan också aktivera granskning av inloggning/utloggning av nätverksprincipserver med hjälp av grupprincip. Om du vill komma till inställningen för lyckade/misslyckade åtgärder väljer du Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Avancerad granskningsprincipKonfiguration>Granskningsprinciper>Inloggnings-/utloggning>Granskningsnätverksprincipserver.