Risoluzione avanzata dei problemi relativi all'autenticazione 802.1X

  • Articolo

Provare l'agente virtuale : consente di identificare e risolvere rapidamente i problemi comuni relativi alla tecnologia wireless.

Si applica a: Windows 10

Panoramica

Questo articolo include la risoluzione dei problemi generali per i client wireless e cablati 802.1X. Durante la risoluzione dei problemi 802.1X e wireless, è importante sapere come funziona il flusso di autenticazione e quindi capire dove si sta interrompendo. Coinvolge molti dispositivi e software di terze parti. Nella maggior parte dei casi, è necessario identificare dove si trova il problema e un altro fornitore deve risolverlo. Non vengono attivati punti di accesso o commutatori, quindi non si tratta di una soluzione Microsoft end-to-end.

Scenari

Questa tecnica di risoluzione dei problemi si applica a qualsiasi scenario in cui le connessioni wireless o cablate con autenticazione 802.1X vengono tentate e quindi non riescono a stabilire. Il flusso di lavoro include da Windows 7 a Windows 10 (e Windows 11) per i client e Windows Server 2008 R2 fino a Windows Server 2012 R2 per Server dei criteri di rete.

Problemi noti

Nessuno

Raccolta dei dati

Vedere Risoluzione avanzata dei problemi relativi alla raccolta di dati di autenticazione 802.1X.

Risoluzione dei problemi

La visualizzazione degli eventi di stato dell'autenticazione di Server dei criteri di rete nel registro eventi Sicurezza di Windows è uno dei metodi di risoluzione dei problemi più utili per ottenere informazioni sulle autenticazioni non riuscite.

Le voci del registro eventi di Server dei criteri di rete contengono informazioni sul tentativo di connessione, incluso il nome dei criteri di richiesta di connessione corrispondenti al tentativo di connessione e i criteri di rete che hanno accettato o rifiutato il tentativo di connessione. Se gli eventi di esito positivo e negativo non vengono visualizzati, vedere la sezione Criteri di controllo del server dei criteri di rete più avanti in questo articolo.

Controllare il registro eventi Sicurezza di Windows nel server dei criteri di rete per gli eventi NPS che corrispondono ai tentativi di connessione rifiutati (ID evento 6273) o accettati (ID evento 6272).

Nel messaggio di evento scorrere fino alla fine e quindi controllare il campo Codice motivo e il testo associato.

Screenshot dell'ID evento 6273 che mostra un esempio di errore di controllo. Esempio: ID evento 6273 (errore di controllo)

Screenshot dell'ID evento 6272 che mostra un esempio di esito positivo del controllo. Esempio: ID evento 6272 (Audit Success)

Il log operativo WLAN AutoConfig elenca le informazioni e gli eventi di errore in base alle condizioni rilevate o segnalate al servizio Configurazione automatica WLAN. Il log operativo contiene informazioni sulla scheda di rete wireless, le proprietà del profilo di connessione wireless, l'autenticazione di rete specificata e, se si verificano problemi di connettività, il motivo dell'errore. Per l'accesso alla rete cablata, il log operativo wired AutoConfig è equivalente.

Sul lato client passare a Visualizzatore eventi (locale)\Registri applicazioni e servizi\Microsoft\Windows\WLAN-AutoConfig/Operational per i problemi wireless. Per problemi di accesso alla rete cablata, passare a .. \Wired-AutoConfig/Operational. Ad esempio:

Screenshot del visualizzatore eventi che mostra wired-autoconfig e WLAN autoconfig.

La maggior parte dei problemi di autenticazione 802.1X è dovuta a problemi con il certificato usato per l'autenticazione client o server. Gli esempi includono un certificato non valido, la scadenza, l'errore di verifica della catena e l'errore di controllo della revoca.

Prima di tutto, convalidare il tipo di metodo EAP usato:

Tabella del confronto dei tipi di autenticazione eap.

Se per il metodo di autenticazione viene usato un certificato, verificare se il certificato è valido. Per il lato server (NPS), è possibile verificare quale certificato viene usato dal menu della proprietà EAP. Nello snap-in Criteri di rete passare a Criteri>di rete. Selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) sui criteri e quindi selezionare Proprietà. Nella finestra popup passare alla scheda Vincoli e quindi selezionare la sezione Metodi di autenticazione .

Screenshot della scheda Vincoli delle proprietà delle connessioni wireless sicure.

Il registro eventi CAPI2 è utile per la risoluzione dei problemi relativi ai certificati. Per impostazione predefinita, questo log non è abilitato. Per abilitare questo log, espandere Visualizzatore eventi (locale)\Registri applicazioni e servizi\Microsoft\Windows\CAPI2, selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) Operational e quindi selezionare Abilita log.

Screenshot del registro eventi capi2.

Per informazioni su come analizzare i log eventi CAPI2, vedere Risoluzione dei problemi dell'infrastruttura a chiave pubblica in Windows Vista.

Quando si risoluzione di problemi complessi di autenticazione 802.1X, è importante comprendere il processo di autenticazione 802.1X. Ecco un esempio di processo di connessione wireless con autenticazione 802.1X:

Diagramma di flusso dell'autenticatore.

Se si raccoglie un'acquisizione di pacchetti di rete sia sul lato client che sul lato server (NPS), è possibile visualizzare un flusso simile a quello seguente. Digitare EAPOL nel filtro di visualizzazione per un'acquisizione lato client e EAP per un'acquisizione sul lato NPS. Vedere gli esempi seguenti:

Screenshot dei dati di acquisizione pacchetti sul lato client.

Dati di acquisizione pacchetti sul lato client

Screenshot dei dati di acquisizione pacchetti lato Server dei criteri di rete.

Dati di acquisizione pacchetti lato Server dei criteri di rete

Nota

Se si dispone di una traccia wireless, è anche possibile visualizzare i file ETL con monitoraggio di rete e applicare i filtri ONEX_MicrosoftWindowsOneX e monitoraggio di rete WLAN_MicrosoftWindowsWLANAutoConfig . Se è necessario caricare il parser necessario, vedere le istruzioni nel menu ? in Monitoraggio di rete. Ecco un esempio:

Screenshot della finestra monitoraggio di rete Microsoft che mostra una traccia wireless.

Criteri di controllo

Per impostazione predefinita, sono abilitati i criteri di controllo NPS (registrazione eventi) per l'esito positivo e negativo della connessione. Se si rileva che uno o entrambi i tipi di registrazione sono disabilitati, seguire questa procedura per risolvere i problemi.

Visualizzare le impostazioni correnti dei criteri di controllo eseguendo il comando seguente nel server NPS:

auditpol /get /subcategory:"Network Policy Server"

Se gli eventi di esito positivo e negativo sono abilitati, l'output deve essere:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure


If it says, "No auditing," you can run this command to enable it:

```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Anche se i criteri di controllo sembrano essere completamente abilitati, a volte è utile disabilitare e quindi riabilitare questa impostazione. È anche possibile abilitare il controllo di accesso/disconnessione del server criteri di rete usando Criteri di gruppo. Per ottenere l'impostazione esito positivo/negativo, selezionareCriteri>di configurazione> computerImpostazioni di windows Impostazioni>di sicurezza Impostazioni> di sicurezzaConfigurazione avanzata dei criteri di controllo Criteri> dicontrollo>Accesso/Disconnessione>Server criteri di rete di controllo.

Ulteriori informazioni