Risoluzione avanzata dei problemi relativi all'autenticazione 802.1X
Provare l'agente virtuale : consente di identificare e risolvere rapidamente i problemi comuni relativi alla tecnologia wireless.
Si applica a: Windows 10
Panoramica
Questo articolo include la risoluzione dei problemi generali per i client wireless e cablati 802.1X. Durante la risoluzione dei problemi 802.1X e wireless, è importante sapere come funziona il flusso di autenticazione e quindi capire dove si sta interrompendo. Coinvolge molti dispositivi e software di terze parti. Nella maggior parte dei casi, è necessario identificare dove si trova il problema e un altro fornitore deve risolverlo. Non vengono attivati punti di accesso o commutatori, quindi non si tratta di una soluzione Microsoft end-to-end.
Scenari
Questa tecnica di risoluzione dei problemi si applica a qualsiasi scenario in cui le connessioni wireless o cablate con autenticazione 802.1X vengono tentate e quindi non riescono a stabilire. Il flusso di lavoro include da Windows 7 a Windows 10 (e Windows 11) per i client e Windows Server 2008 R2 fino a Windows Server 2012 R2 per Server dei criteri di rete.
Problemi noti
Nessuno
Raccolta dei dati
Vedere Risoluzione avanzata dei problemi relativi alla raccolta di dati di autenticazione 802.1X.
Risoluzione dei problemi
La visualizzazione degli eventi di stato dell'autenticazione di Server dei criteri di rete nel registro eventi Sicurezza di Windows è uno dei metodi di risoluzione dei problemi più utili per ottenere informazioni sulle autenticazioni non riuscite.
Le voci del registro eventi di Server dei criteri di rete contengono informazioni sul tentativo di connessione, incluso il nome dei criteri di richiesta di connessione corrispondenti al tentativo di connessione e i criteri di rete che hanno accettato o rifiutato il tentativo di connessione. Se gli eventi di esito positivo e negativo non vengono visualizzati, vedere la sezione Criteri di controllo del server dei criteri di rete più avanti in questo articolo.
Controllare il registro eventi Sicurezza di Windows nel server dei criteri di rete per gli eventi NPS che corrispondono ai tentativi di connessione rifiutati (ID evento 6273) o accettati (ID evento 6272).
Nel messaggio di evento scorrere fino alla fine e quindi controllare il campo Codice motivo e il testo associato.
Esempio: ID evento 6273 (errore di controllo)
Esempio: ID evento 6272 (Audit Success)
Il log operativo WLAN AutoConfig elenca le informazioni e gli eventi di errore in base alle condizioni rilevate o segnalate al servizio Configurazione automatica WLAN. Il log operativo contiene informazioni sulla scheda di rete wireless, le proprietà del profilo di connessione wireless, l'autenticazione di rete specificata e, se si verificano problemi di connettività, il motivo dell'errore. Per l'accesso alla rete cablata, il log operativo wired AutoConfig è equivalente.
Sul lato client passare a Visualizzatore eventi (locale)\Registri applicazioni e servizi\Microsoft\Windows\WLAN-AutoConfig/Operational per i problemi wireless. Per problemi di accesso alla rete cablata, passare a .. \Wired-AutoConfig/Operational. Ad esempio:
La maggior parte dei problemi di autenticazione 802.1X è dovuta a problemi con il certificato usato per l'autenticazione client o server. Gli esempi includono un certificato non valido, la scadenza, l'errore di verifica della catena e l'errore di controllo della revoca.
Prima di tutto, convalidare il tipo di metodo EAP usato:
Se per il metodo di autenticazione viene usato un certificato, verificare se il certificato è valido. Per il lato server (NPS), è possibile verificare quale certificato viene usato dal menu della proprietà EAP. Nello snap-in Criteri di rete passare a Criteri>di rete. Selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) sui criteri e quindi selezionare Proprietà. Nella finestra popup passare alla scheda Vincoli e quindi selezionare la sezione Metodi di autenticazione .
Il registro eventi CAPI2 è utile per la risoluzione dei problemi relativi ai certificati. Per impostazione predefinita, questo log non è abilitato. Per abilitare questo log, espandere Visualizzatore eventi (locale)\Registri applicazioni e servizi\Microsoft\Windows\CAPI2, selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) Operational e quindi selezionare Abilita log.
Per informazioni su come analizzare i log eventi CAPI2, vedere Risoluzione dei problemi dell'infrastruttura a chiave pubblica in Windows Vista.
Quando si risoluzione di problemi complessi di autenticazione 802.1X, è importante comprendere il processo di autenticazione 802.1X. Ecco un esempio di processo di connessione wireless con autenticazione 802.1X:
Se si raccoglie un'acquisizione di pacchetti di rete sia sul lato client che sul lato server (NPS), è possibile visualizzare un flusso simile a quello seguente. Digitare EAPOL nel filtro di visualizzazione per un'acquisizione lato client e EAP per un'acquisizione sul lato NPS. Vedere gli esempi seguenti:
Dati di acquisizione pacchetti sul lato client
Dati di acquisizione pacchetti lato Server dei criteri di rete
Nota
Se si dispone di una traccia wireless, è anche possibile visualizzare i file ETL con monitoraggio di rete e applicare i filtri ONEX_MicrosoftWindowsOneX e monitoraggio di rete WLAN_MicrosoftWindowsWLANAutoConfig . Se è necessario caricare il parser necessario, vedere le istruzioni nel menu ? in Monitoraggio di rete. Ecco un esempio:
Criteri di controllo
Per impostazione predefinita, sono abilitati i criteri di controllo NPS (registrazione eventi) per l'esito positivo e negativo della connessione. Se si rileva che uno o entrambi i tipi di registrazione sono disabilitati, seguire questa procedura per risolvere i problemi.
Visualizzare le impostazioni correnti dei criteri di controllo eseguendo il comando seguente nel server NPS:
auditpol /get /subcategory:"Network Policy Server"
Se gli eventi di esito positivo e negativo sono abilitati, l'output deve essere:
System audit policy
Category/Subcategory Setting
Logon/Logoff
Network Policy Server Success and Failure
If it says, "No auditing," you can run this command to enable it:
```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
Anche se i criteri di controllo sembrano essere completamente abilitati, a volte è utile disabilitare e quindi riabilitare questa impostazione. È anche possibile abilitare il controllo di accesso/disconnessione del server criteri di rete usando Criteri di gruppo. Per ottenere l'impostazione esito positivo/negativo, selezionareCriteri>di configurazione> computerImpostazioni di windows Impostazioni>di sicurezza Impostazioni> di sicurezzaConfigurazione avanzata dei criteri di controllo Criteri> dicontrollo>Accesso/Disconnessione>Server criteri di rete di controllo.
Ulteriori informazioni
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per