Erweiterte Problembehandlung für die 802.1X-Authentifizierung

  • Artikel

Testen Sie unseren virtuellen Agent – Er kann Ihnen helfen, häufige Probleme mit der Drahtlostechnologie schnell zu identifizieren und zu beheben.

Gilt für: Windows 10

Übersicht

Dieser Artikel enthält eine allgemeine Problembehandlung für drahtlose und kabelgebundene 802.1X-Clients. Bei der Problembehandlung von 802.1X und Drahtlos ist es wichtig, zu wissen, wie der Authentifizierungsablauf funktioniert, und dann herauszufinden, wo er unterbrochen wird. Es umfasst viele Geräte und Software von Drittanbietern. In den meisten Fällen müssen wir ermitteln, wo das Problem liegt, und ein anderer Anbieter muss es beheben. Wir erstellen keine Zugriffspunkte oder Schalter, daher handelt es sich nicht um eine End-to-End-Lösung von Microsoft.

Szenarien

Diese Problembehandlungsmethode gilt für jedes Szenario, in dem drahtlose oder kabelgebundene Verbindungen mit 802.1X-Authentifizierung versucht werden und dann nicht hergestellt werden können. Der Workflow umfasst Windows 7 bis Windows 10 (und Windows 11) für Clients und Windows Server 2008 R2 bis Windows Server 2012 R2 für NPS.

Bekannte Probleme

Keine

Datensammlung

Weitere Informationen finden Sie unter Erweiterte Problembehandlung bei der 802.1X-Authentifizierungsdatensammlung.

Problembehandlung

Das Anzeigen von NPS-Authentifizierungs- status Ereignissen im Windows-Sicherheit Ereignisprotokoll ist eine der nützlichsten Methoden zur Problembehandlung, um Informationen zu fehlgeschlagenen Authentifizierungen zu erhalten.

NPS-Ereignisprotokolleinträge enthalten Informationen zum Verbindungsversuch, einschließlich des Namens der Verbindungsanforderungsrichtlinie, die dem Verbindungsversuch entspricht, und der Netzwerkrichtlinie, die den Verbindungsversuch akzeptiert oder abgelehnt hat. Wenn nicht sowohl Erfolgs- als auch Fehlerereignisse angezeigt werden, lesen Sie den Abschnitt NPS-Überwachungsrichtlinie weiter unten in diesem Artikel.

Überprüfen Sie das Windows-Sicherheit Ereignisprotokoll auf dem NPS-Server auf NPS-Ereignisse, die den abgelehnten Verbindungsversuchen (Ereignis-ID 6273) oder den akzeptierten Verbindungsversuchen (Ereignis-ID 6272) entsprechen.

Scrollen Sie in der Ereignismeldung nach unten, und überprüfen Sie dann das Feld Grundcode und den damit verknüpften Text.

Screenshot der Ereignis-ID 6273 mit einem Beispiel für einen Überwachungsfehler. Beispiel: Ereignis-ID 6273 (Überwachungsfehler)

Screenshot der Ereignis-ID 6272 mit einem Beispiel für eine erfolgreiche Überwachung Beispiel: Ereignis-ID 6272 (Erfolgreiche Überwachung)

Das WLAN AutoConfig-Betriebsprotokoll listet Informationen und Fehlerereignisse basierend auf Bedingungen auf, die vom WLAN AutoConfig-Dienst erkannt oder an diesen gemeldet wurden. Das Betriebsprotokoll enthält Informationen zum Drahtlosnetzwerkadapter, zu den Eigenschaften des Drahtlosverbindungsprofils, zur angegebenen Netzwerkauthentifizierung und, falls Konnektivitätsprobleme auftreten, den Grund für den Fehler. Für den Zugriff auf kabelgebundene Netzwerke ist das Betriebsprotokoll "Wired AutoConfig" ein gleichwertiges Protokoll.

Wechseln Sie auf der Clientseite zu Ereignisanzeige (Lokal)\Anwendungs- und Dienstprotokolle\Microsoft\Windows\WLAN-AutoConfig/Operational für Drahtlosprobleme. Bei Problemen mit dem Kabelnetzwerkzugriff wechseln Sie zu .. \Wired-AutoConfig/Operational. Sehen Sie sich folgendes Beispiel an:

Screenshot der Ereignisanzeige mit

Die meisten 802.1X-Authentifizierungsprobleme sind auf Probleme mit dem Zertifikat zurückzuführen, das für die Client- oder Serverauthentifizierung verwendet wird. Beispiele hierfür sind ungültiges Zertifikat, Ablauf, Fehler bei der Kettenüberprüfung und Fehler bei der Sperrprüfung.

Überprüfen Sie zunächst den Typ der verwendeten EAP-Methode:

Tabelle des Vergleichs des eap-Authentifizierungstyps.

Wenn ein Zertifikat für seine Authentifizierungsmethode verwendet wird, überprüfen Sie, ob das Zertifikat gültig ist. Auf der Serverseite (NPS) können Sie über das EAP-Eigenschaftenmenü bestätigen, welches Zertifikat verwendet wird. Navigieren Sie im NPS-Snap-In zu Richtlinien>Netzwerkrichtlinien. Wählen Sie die Richtlinie aus, halten Sie sie gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Eigenschaften aus. Navigieren Sie im Popupfenster zur Registerkarte Einschränkungen , und wählen Sie dann den Abschnitt Authentifizierungsmethoden aus.

Screenshot der Registerkarte

Das CAPI2-Ereignisprotokoll ist nützlich für die Behandlung von zertifikatbezogenen Problemen. Dieses Protokoll ist standardmäßig nicht aktiviert. Um dieses Protokoll zu aktivieren, erweitern Sie Ereignisanzeige (Lokal)\Anwendungs- und Dienstprotokolle\Microsoft\Windows\CAPI2, halten Sie Betriebsbereit gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Protokoll aktivieren aus.

Screenshot des capi2-Ereignisprotokolls.

Informationen zum Analysieren von CAPI2-Ereignisprotokollen finden Sie unter Behandeln von PKI-Problemen unter Windows Vista.

Bei der Behandlung komplexer 802.1X-Authentifizierungsprobleme ist es wichtig, den 802.1X-Authentifizierungsprozess zu verstehen. Hier ist ein Beispiel für den Drahtlosen Verbindungsprozess mit 802.1X-Authentifizierung:

Flussdiagramm des Authentifikators.

Wenn Sie eine Netzwerkpaketerfassung sowohl auf der Client- als auch auf der Serverseite (NPS) erfassen, sehen Sie einen Flow wie den folgenden. Geben Sie eapol im Anzeigefilter für eine clientseitige Erfassung und EAP für eine NPS-seitige Erfassung ein. Sehen Sie sich die folgenden Beispiele an:

Screenshot der clientseitigen Paketerfassungsdaten.

Clientseitige Paketerfassungsdaten

Screenshot der NPS-seitigen Paketerfassungsdaten.

NPS-seitige Paketerfassungsdaten

Hinweis

Wenn Sie über eine drahtlose Ablaufverfolgung verfügen, können Sie auch ETL-Dateien mit dem Netzwerkmonitor anzeigen und die filter ONEX_MicrosoftWindowsOneX und WLAN_MicrosoftWindowsWLANAutoConfig Netzwerkmonitor anwenden. Wenn Sie den erforderlichen Parser laden müssen, lesen Sie die Anweisungen im Menü Hilfe im Netzwerkmonitor. Hier ist ein Beispiel:

Screenshot: Fenster des Microsoft-Netzwerkmonitors mit einer drahtlosen Ablaufverfolgung

Überwachungsrichtlinie

Standardmäßig ist die NPS-Überwachungsrichtlinie (Ereignisprotokollierung) für erfolgreiche und fehlerhafte Verbindungen aktiviert. Wenn Sie feststellen, dass eine oder beide Protokollierungstypen deaktiviert sind, führen Sie die folgenden Schritte zur Problembehandlung aus.

Zeigen Sie die aktuellen Überwachungsrichtlinieneinstellungen an, indem Sie den folgenden Befehl auf dem NPS-Server ausführen:

auditpol /get /subcategory:"Network Policy Server"

Wenn sowohl Erfolgs- als auch Fehlerereignisse aktiviert sind, sollte die Ausgabe wie folgt aussehen:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure


If it says, "No auditing," you can run this command to enable it:

```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Auch wenn die Überwachungsrichtlinie anscheinend vollständig aktiviert ist, ist es manchmal hilfreich, diese Einstellung zu deaktivieren und dann erneut zu aktivieren. Sie können auch die Anmelde-/Abmeldeüberwachung des Netzwerkrichtlinienservers mithilfe von Gruppenrichtlinie aktivieren. Um zur Einstellung für Erfolg/Fehler zu gelangen, wählen Sie Computerkonfigurationsrichtlinien>Windows-Einstellungen>>Sicherheitseinstellungen>Erweiterte Überwachungsrichtlinie Konfiguration>Überwachungsrichtlinien>Anmelden/Abmelden>Netzwerkrichtlinienserver überwachen aus.

Weitere Informationen