共用方式為

進階疑難解答 802.1X 驗證

試用我們的虛擬代理程式 - 它可協助您快速找出並修正常見的無線技術問題。

適用於: Windows 10

概觀

本文包含 802.1X 無線和有線用戶端的一般疑難解答。 對 802.1X 和無線進行疑難解答時,請務必瞭解驗證流程的運作方式,然後找出其中斷位置。 它牽涉到許多第三方裝置和軟體。 大部分時候,我們必須找出問題所在之處,而另一個廠商必須修正此問題。 我們不會進行存取點或切換,因此這不是端對端Microsoft解決方案。

案例

此疑難解答技術適用於嘗試進行 802.1X 驗證且無法建立無線或有線連線的任何案例。 工作流程涵蓋用戶端的 Windows 7 到 Windows 10(和 Windows 11),以及 Windows Server 2008 R2 到 Windows Server 2012 R2 for NPS。

已知問題

資料收集

請參閱 進階疑難解答 802.1X 驗證數據收集

疑難排解

在 Windows 安全性 事件記錄檔中檢視 NPS 驗證狀態事件是取得失敗驗證資訊的最實用疑難解答方法之一。

NPS 事件記錄檔專案包含連線嘗試的相關信息,包括符合連線嘗試的連線要求原則名稱,以及接受或拒絕連線嘗試的網路原則。 如果您沒有看到成功和失敗事件,請參閱本文稍後的 NPS 審核策略 一節。

檢查 NPS Server 上的 Windows 安全性 事件記錄檔,以取得對應至已拒絕的 NPS 事件(事件標識碼 6273)或已接受的 (事件標識碼 6272) 連線嘗試。

在事件訊息中,捲動至底部,然後檢查 [原因碼 ] 字段及其相關聯的文字。

事件標識碼 6273 的螢幕快照,其中顯示稽核失敗的範例。 範例:事件標識碼 6273(稽核失敗)

事件標識碼 6272 的螢幕快照,其中顯示稽核成功的範例。 範例:事件標識碼 6272 (稽核成功)

WLAN 自動設定作業記錄會根據 WLAN 自動設定服務偵測到或回報的條件,列出資訊和錯誤事件。 作業記錄檔包含無線網路適配卡、無線連線配置檔的屬性、指定的網路驗證,以及如果發生連線問題,則為失敗的原因。 針對有線網路存取,有線自動設定作業記錄檔相當於一個。

在用戶端上,移至 事件檢視器 (Local)\Applications and Services Logs\Microsoft\Windows\WLAN-AutoConfig/Operational for wireless issues。 如需有線網路存取問題,請移至 。。\Wired-AutoConfig/Operational。 請參閱下列範例:

顯示有線自動設定和WLAN自動設定的事件查看器螢幕快照。

大部分的 802.1X 驗證問題都是因為用戶端或伺服器驗證所使用的憑證發生問題。 範例包括無效的憑證、到期、鏈結驗證失敗,以及撤銷檢查失敗。

首先,驗證所使用的EAP方法類型:

eap 驗證類型比較的數據表。

如果憑證用於其驗證方法,請檢查憑證是否有效。 針對伺服器 (NPS) 端,您可以從 EAP 屬性選單確認正在使用哪些憑證。 在 NPS 嵌入式管理單元中,移至 [原則>網络原則]。 選取並按住原則,或以滑鼠右鍵按兩下原則,然後選取 [ 屬性]。 在彈出視窗中,移至 [條件約束 ] 索引標籤,然後選取 [驗證方法] 區段。

安全無線連線屬性之 [條件約束] 索引標籤的螢幕快照。

CAPI2 事件記錄檔適用於針對憑證相關問題進行疑難解答。 根據預設,不會啟用此記錄檔。 若要啟用此記錄檔,請展開 [事件檢視器[本機]\[應用程式和服務記錄]\Microsoft\Windows\CAPI2,選取並按住 [或以滑鼠右鍵按下] [作業],然後選取 [啟用記錄]。

capi2 事件記錄檔的螢幕快照。

如需如何分析 CAPI2 事件記錄的資訊,請參閱 針對 Windows Vista 上的 PKI 問題進行疑難解答。

針對複雜的 802.1X 驗證問題進行疑難解答時,請務必瞭解 802.1X 驗證程式。 以下是使用 802.1X 驗證進行無線連線程式的範例:

驗證器的流程圖。

如果您在 用戶端和伺服器 (NPS) 端收集網路封包擷取 ,您可以看到如下的流程。 在用戶端擷取的 [顯示篩選] 中輸入 EAPOL ,並 輸入NPS端擷取的EAP 。 請參閱下列範例:

用戶端封包擷取數據的螢幕快照。

用戶端封包擷取數據

NPS 端封包擷取數據的螢幕快照。

NPS 端封包擷取數據

注意

如果您有無線追蹤,您也可以 檢視具有網路監視器 的 ETL 檔案,並套用 ONEX_MicrosoftWindowsOneXWLAN_MicrosoftWindowsWLANAutoConfig 網路監視器篩選條件。 如果您需要載入必要的剖析器,請參閱網路監視器中 [說明] 功能表底下的指示。 以下是範例:

顯示無線追蹤的 Microsoft 網路監視器視窗螢幕快照。

審核策略

根據預設,已啟用連線成功和失敗的 NPS 審核策略(事件記錄)。 如果您發現已停用一或兩種類型的記錄,請使用下列步驟進行疑難解答。

在 NPS 伺服器上執行下列命令,以檢視目前的審核策略設定:

auditpol /get /subcategory:"Network Policy Server"

如果成功和失敗事件都已啟用,輸出應該是:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure

如果它說「沒有稽核」,您可以執行此命令來啟用它:

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

即使審核策略似乎完全啟用,有時仍有助於停用再重新啟用此設定。 您也可以使用組策略啟用網路原則伺服器登入/註銷稽核。 若要取得成功/失敗設定,請選取 [計算機設定>>原則] [Windows 設定>安全性設定] [進>階審核策略組態>審核策略>登入/註銷>稽核網络原則伺服器]。

其他相關資訊