Aracılığıyla paylaş


802.1X kimlik doğrulaması için gelişmiş sorun giderme işlemleri

Sanal Temsilcimizi deneyin - Yaygın Kablosuz teknolojisi sorunlarını hızla belirlemenize ve çözmenize yardımcı olabilir.

Şunlar için geçerlidir: Windows 10

Genel Bakış

Bu makale, 802.1X kablosuz ve kablolu istemciler için genel sorun gidermeyi içerir. 802.1X ve kablosuz sorunlarını giderirken kimlik doğrulama akışının nasıl çalıştığını bilmek ve ardından nerede kesintiye uğradığını bulmak önemlidir. Birçok üçüncü taraf cihaz ve yazılım içerir. Çoğu zaman sorunun nerede olduğunu belirlememiz gerekir ve başka bir satıcı bunu düzeltmelidir. Erişim noktaları veya anahtarlar oluşturmuyoruz, dolayısıyla bu uçtan uca bir Microsoft çözümü değildir.

Senaryolar

Bu sorun giderme tekniği, 802.1X kimlik doğrulamasına sahip kablosuz veya kablolu bağlantıların denendiği ve sonra kurulamaması senaryoları için geçerlidir. İş akışı, istemciler için Windows 7 ile Windows 10 (ve Windows 11) ve NPS için Windows Server 2008 R2 ile Windows Server 2012 R2'yi kapsar.

Bilinen sorunlar

Hiçbiri

Veri toplama

Bkz . Gelişmiş sorun giderme 802.1X kimlik doğrulaması veri toplama.

Sorun giderme

Windows Güvenliği olay günlüğünde NPS kimlik doğrulama durumu olaylarını görüntülemek, başarısız kimlik doğrulamaları hakkında bilgi almak için en kullanışlı sorun giderme yöntemlerinden biridir.

NPS olay günlüğü girdileri, bağlantı girişimiyle eşleşen bağlantı isteği ilkesinin adı ve bağlantı girişimini kabul eden veya reddeden ağ ilkesi dahil olmak üzere bağlantı girişimi hakkında bilgi içerir. Hem başarı hem de başarısızlık olaylarını görmüyorsanız, bu makalenin devamında yer alan NPS denetim ilkesi bölümüne bakın.

Reddedilen (olay kimliği 6273) veya kabul edilen (olay kimliği 6272) bağlantı girişimlerine karşılık gelen NPS olayları için NPS Sunucusu'nda Windows Güvenliği olay günlüğünü denetleyin.

Olay iletisinde en alta kaydırın ve ardından Neden Kodu alanını ve onunla ilişkili metni denetleyin.

Denetim hatası örneğini gösteren olay kimliği 6273'ün ekran görüntüsü. Örnek: olay kimliği 6273 (Denetim Hatası)

Denetim başarısının bir örneğini gösteren olay kimliği 6272'nin ekran görüntüsü. Örnek: olay kimliği 6272 (Başarıyı Denetle)

WLAN Otomatik Yapılandırma işlem günlüğü, WLAN Otomatik Yapılandırma hizmeti tarafından algılanan veya WLAN'a bildirilen koşullara göre bilgileri ve hata olaylarını listeler. İşlem günlüğü kablosuz ağ bağdaştırıcısı, kablosuz bağlantı profilinin özellikleri, belirtilen ağ kimlik doğrulaması ve bağlantı sorunları oluşursa hatanın nedeni hakkında bilgi içerir. Kablolu ağ erişimi için Kablolu Otomatik Yapılandırma işlem günlüğü eşdeğerdir.

İstemci tarafında, kablosuz sorunlar için Olay Görüntüleyicisi (Yerel)\Uygulamalar ve Hizmetler Günlükleri\Microsoft\Windows\WLAN-AutoConfig/Operational bölümüne gidin. Kablolu ağ erişim sorunları için .. \Wired-AutoConfig/Operational. Aşağıdaki örneğe bakın:

Kablolu otomatik yapılandırma ve WLAN otomatik yapılandırmasını gösteren olay görüntüleyicisinin ekran görüntüsü.

802.1X kimlik doğrulaması sorunlarının çoğu, istemci veya sunucu kimlik doğrulaması için kullanılan sertifikayla ilgili sorunlardır. Örnek olarak geçersiz sertifika, süre sonu, zincir doğrulama hatası ve iptal denetimi hatası verilebilir.

İlk olarak, kullanılan EAP yönteminin türünü doğrulayın:

Eap kimlik doğrulama türü karşılaştırma tablosu.

Bir sertifika, kimlik doğrulama yöntemi için kullanılıyorsa, sertifikanın geçerli olup olmadığını denetleyin. Sunucu (NPS) tarafı için, EAP özellik menüsünden hangi sertifikanın kullanıldığını onaylayabilirsiniz. NPS ek bileşeninde İlkeler Ağ İlkeleri'ne> gidin. İlkeyi seçip basılı tutun (veya sağ tıklayın) ve ardından Özellikler'i seçin. Açılır pencerede Kısıtlamalar sekmesine gidin ve Kimlik Doğrulama Yöntemleri bölümünü seçin.

Güvenli kablosuz bağlantı özelliklerinin Kısıtlamalar sekmesinin ekran görüntüsü.

CAPI2 olay günlüğü, sertifikayla ilgili sorunları gidermek için kullanışlıdır. Varsayılan olarak, bu günlük etkin değildir. Bu günlüğü etkinleştirmek için Olay Görüntüleyicisi (Yerel)\Uygulamalar ve Hizmet Günlükleri\Microsoft\Windows\CAPI2'yi genişletin, İşletimsel'i seçin (veya sağ tıklayın) ve ardından Günlüğü Etkinleştir'i seçin.

capi2 olay günlüğünün ekran görüntüsü.

CAPI2 olay günlüklerini çözümleme hakkında bilgi için bkz . Windows Vista'da PKI Sorunlarını Giderme.

Karmaşık 802.1X kimlik doğrulaması sorunlarını giderirken 802.1X kimlik doğrulama işlemini anlamak önemlidir. 802.1X kimlik doğrulaması ile kablosuz bağlantı işlemi örneği aşağıda verilmişti:

Doğrulayıcının akış grafiği.

Hem istemci hem de sunucu (NPS) tarafında bir ağ paketi yakalaması toplarsanız, aşağıdakine benzer bir akış görebilirsiniz. İstemci tarafı yakalama için Görüntü Filtresi'ne EAPOL ve NPS tarafı yakalama için EAP yazın. Aşağıdaki örneklere bakın:

İstemci tarafı paket yakalama verilerinin ekran görüntüsü.

İstemci tarafı paket yakalama verileri

NPS tarafı paket yakalama verilerinin ekran görüntüsü.

NPS tarafı paket yakalama verileri

Not

Kablosuz izlemeniz varsa, ETL dosyalarını ağ izleyicisi ile görüntüleyebilir ve ONEX_MicrosoftWindowsOneX ve WLAN_MicrosoftWindowsWLANAutoConfig Ağ İzleyicisi filtrelerini uygulayabilirsiniz. Gerekli ayrıştırıcıyı yüklemeniz gerekiyorsa, Ağ İzleyicisi'ndeki Yardım menüsünün altındaki yönergelere bakın. Bir örnek aşağıda verilmiştir:

Kablosuz izlemeyi gösteren Microsoft Ağ İzleyicisi penceresinin ekran görüntüsü.

Denetim ilkesi

Varsayılan olarak, bağlantı başarısı ve başarısızlığı için NPS denetim ilkesi (olay günlüğü) etkinleştirilir. Bir veya her iki günlük türünün de devre dışı bırakıldığını fark ederseniz, sorun gidermek için aşağıdaki adımları kullanın.

NPS sunucusunda aşağıdaki komutu çalıştırarak geçerli denetim ilkesi ayarlarını görüntüleyin:

auditpol /get /subcategory:"Network Policy Server"

Hem başarı hem de başarısızlık olayları etkinleştirildiyse çıkış şu şekilde olmalıdır:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

"Denetim yok" yazıyorsa, etkinleştirmek için şu komutu çalıştırabilirsiniz:

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Denetim ilkesi tam olarak etkinleştirilmiş gibi görünse bile, bazen bu ayarı devre dışı bırakmak ve sonra yeniden etkinleştirmek yardımcı olur. Grup İlkesi'ni kullanarak Ağ İlkesi Sunucusu oturum açma/kapatma denetimini de etkinleştirebilirsiniz. Başarılı/başarısız ayarına ulaşmak için Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları Güvenlik Ayarları>>Gelişmiş Denetim İlkesi Yapılandırma>Denetim İlkeleri>Oturum Açma/Kapatma>Denetimi Ağ İlkesi Sunucusu'nu seçin.

Daha Fazla Bilgi