Résolution avancée des problèmes d’authentification 802.1X

  • Article

Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre rapidement les problèmes courants liés à la technologie sans fil.

S’applique à : Windows 10

Vue d’ensemble

Cet article décrit la résolution des problèmes généraux pour les clients sans fil et câblés 802.1X. Lors de la résolution des problèmes 802.1X et sans fil, il est important de savoir comment fonctionne le flux d’authentification, puis de déterminer où il se brise. Il implique de nombreux appareils et logiciels tiers. La plupart du temps, nous devons identifier où se trouve le problème, et un autre fournisseur doit le résoudre. Nous n’créons pas de points d’accès ou de commutateurs. Il ne s’agit donc pas d’une solution Microsoft de bout en bout.

Scénarios

Cette technique de dépannage s’applique à tous les scénarios dans lesquels des connexions sans fil ou câblées avec l’authentification 802.1X sont tentées, puis ne parviennent pas à établir. Le flux de travail couvre Windows 7 à Windows 10 (et Windows 11) pour les clients, et Windows Server 2008 R2 à Windows Server 2012 R2 pour NPS.

Problèmes connus

Aucun

Collecte de données

Consultez Résolution avancée des problèmes 802.1X collecte de données d’authentification.

Résolution des problèmes

L’affichage des événements d’authentification NPS status dans le journal des événements Sécurité Windows est l’une des méthodes de résolution des problèmes les plus utiles pour obtenir des informations sur les échecs d’authentification.

Les entrées du journal des événements NPS contiennent des informations sur la tentative de connexion, notamment le nom de la stratégie de demande de connexion correspondant à la tentative de connexion et la stratégie réseau qui a accepté ou rejeté la tentative de connexion. Si vous ne voyez pas les événements de réussite et d’échec, consultez la section Stratégie d’audit NPS plus loin dans cet article.

Vérifiez le journal des événements Sécurité Windows sur le serveur NPS pour les événements NPS qui correspondent aux tentatives de connexion rejetées (ID d’événement 6273) ou acceptées (ID d’événement 6272).

Dans le message d’événement, faites défiler vers le bas, puis case activée le champ Code de raison et le texte qui lui est associé.

Capture d’écran de l’ID d’événement 6273 qui montre un exemple d’échec d’audit. Exemple : ID d’événement 6273 (échec d’audit)

Capture d’écran de l’ID d’événement 6272 qui montre un exemple de réussite de l’audit. Exemple : ID d’événement 6272 (Réussite de l’audit)

Le journal des opérations WLAN AutoConfig répertorie les informations et les événements d’erreur en fonction des conditions détectées ou signalées au service Wlan AutoConfig. Le journal des opérations contient des informations sur la carte réseau sans fil, les propriétés du profil de connexion sans fil, l’authentification réseau spécifiée et, si des problèmes de connectivité se produisent, la raison de l’échec. Pour l’accès réseau câblé, le journal des opérations de configuration automatique câblée est équivalent.

Côté client, accédez à observateur d'événements (Local)\Applications et journaux des services\Microsoft\Windows\WLAN-AutoConfig/Operational pour les problèmes sans fil. Pour les problèmes d’accès réseau câblé, accédez à .. \Wired-AutoConfig/Operational. Prenons l’exemple suivant :

Capture d’écran de l’observateur d’événements montrant wired-autoconfig et WLAN autoconfig.

La plupart des problèmes d’authentification 802.1X sont dus à des problèmes liés au certificat utilisé pour l’authentification client ou serveur. Par exemple, le certificat non valide, l’expiration, l’échec de vérification de la chaîne et l’échec de la révocation case activée.

Tout d’abord, validez le type de méthode EAP utilisée :

Tableau de comparaison du type d’authentification eap.

Si un certificat est utilisé pour sa méthode d’authentification, case activée si le certificat est valide. Côté serveur (NPS), vous pouvez confirmer le certificat utilisé à partir du menu de propriétés EAP. Dans le composant logiciel enfichable NPS, accédez à Stratégies>stratégies réseau. Sélectionnez et maintenez la touche (ou cliquez avec le bouton droit) sur la stratégie, puis sélectionnez Propriétés. Dans la fenêtre contextuelle, accédez à l’onglet Contraintes , puis sélectionnez la section Méthodes d’authentification .

Capture d’écran de l’onglet Contraintes des propriétés des connexions sans fil sécurisées.

Le journal des événements CAPI2 est utile pour résoudre les problèmes liés aux certificats. Par défaut, ce journal n’est pas activé. Pour activer ce journal, développez observateur d'événements (Local)\Journaux des applications et des services\Microsoft\Windows\CAPI2, sélectionnez et maintenez la touche (ou cliquez avec le bouton droit) Opérationnel, puis sélectionnez Activer le journal.

Capture d’écran du journal des événements capi2.

Pour plus d’informations sur l’analyse des journaux des événements CAPI2, consultez Résolution des problèmes d’infrastructure à clé publique sur Windows Vista.

Lors de la résolution des problèmes complexes d’authentification 802.1X, il est important de comprendre le processus d’authentification 802.1X. Voici un exemple de processus de connexion sans fil avec l’authentification 802.1X :

Organigramme de l’authentificateur.

Si vous collectez une capture de paquets réseau côté client et côté serveur (NPS), vous pouvez voir un flux comme celui ci-dessous. Tapez EAPOL dans le filtre d’affichage pour une capture côté client, et EAP pour une capture côté NPS. Consultez les exemples suivants :

Capture d’écran des données de capture de paquets côté client.

Données de capture de paquets côté client

Capture d’écran des données de capture de paquets côté NPS.

Données de capture de paquets côté NPS

Remarque

Si vous disposez d’une trace sans fil, vous pouvez également afficher les fichiers ETL avec le moniteur réseau et appliquer les filtres ONEX_MicrosoftWindowsOneX et WLAN_MicrosoftWindowsWLANAutoConfig moniteur réseau. Si vous devez charger l’analyseur requis, consultez les instructions sous le menu Aide du Moniteur réseau. Voici un exemple :

Capture d’écran de la fenêtre microsoft Network Monitor montrant une trace sans fil.

Stratégie d’audit

Par défaut, la stratégie d’audit NPS (journalisation des événements) pour la réussite et l’échec de la connexion est activée. Si vous constatez qu’un ou les deux types de journalisation sont désactivés, procédez comme suit pour résoudre les problèmes.

Affichez les paramètres de stratégie d’audit actuels en exécutant la commande suivante sur le serveur NPS :

auditpol /get /subcategory:"Network Policy Server"

Si les événements de réussite et d’échec sont activés, la sortie doit être :

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure


If it says, "No auditing," you can run this command to enable it:

```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Même si la stratégie d’audit semble être entièrement activée, il est parfois utile de désactiver puis de réactiver ce paramètre. Vous pouvez également activer l’audit d’ouverture de session/déconnexion du serveur de stratégie réseau à l’aide de stratégie de groupe. Pour accéder au paramètre réussite/échec, sélectionnez Stratégies de configuration>> ordinateurParamètres Windows Paramètres>de sécurité Stratégie>d’audit avancé Configuration> Stratégies >d’auditConnexion/fermeture> de sessionAudit Serveur de stratégie réseau.

Plus d’informations