高度なトラブルシューティング 802.1X 認証

  • [アーティクル]

仮想エージェントを試す - ワイヤレス テクノロジに関する一般的な問題をすばやく特定して修正するのに役立ちます。

適用対象: Windows 10

概要

この記事では、802.1X ワイヤレス クライアントと有線クライアントの一般的なトラブルシューティングについて説明します。 802.1X とワイヤレスのトラブルシューティングを行う際には、認証の流れがどのように機能するかを把握し、どこで破損しているかを把握することが重要です。 これには、多くのサード パーティ製のデバイスとソフトウェアが含まれます。 ほとんどの場合、問題がどこにあるかを特定する必要があり、別のベンダーがそれを修正する必要があります。 アクセス ポイントやスイッチは作成されないため、エンド ツー エンドの Microsoft ソリューションではありません。

シナリオ

このトラブルシューティング手法は、802.1X 認証を使用したワイヤレス接続または有線接続が試行され、確立に失敗するシナリオに適用されます。 このワークフローでは、クライアント用の Windows 7 から Windows 10 (およびWindows 11)、NPS 用の Windows Server 2008 R2 から Windows Server 2012 R2 までについて説明します。

既知の問題

なし

データ収集

「高度なトラブルシューティング 802.1X 認証データ収集」を参照してください。

トラブルシューティング

Windows セキュリティ イベント ログNPS 認証状態イベントを表示することは、失敗した認証に関する情報を取得するための最も便利なトラブルシューティング方法の 1 つです。

NPS イベント ログ エントリには、接続試行に一致した接続要求ポリシーの名前や、接続試行を受け入れたか拒否したネットワーク ポリシーなど、接続試行に関する情報が含まれます。 成功イベントと失敗イベントの両方が表示されない場合は、この記事の後半の 「NPS 監査ポリシー 」セクションを参照してください。

NPS サーバーのWindows セキュリティイベント ログで、拒否された (イベント ID 6273) または受け入れられた (イベント ID 6272) 接続試行に対応する NPS イベントを確認します。

イベント メッセージで、一番下までスクロールし、[理由コード] フィールドとそれに関連付けられているテキストをチェックします。

監査エラーの例を示すイベント ID 6273 のスクリーンショット。 例: イベント ID 6273 (監査エラー)

監査成功の例を示すイベント ID 6272 のスクリーンショット。 例: イベント ID 6272 (監査成功)

WLAN AutoConfig 操作ログには、WLAN AutoConfig サービスによって検出または報告された条件に基づいて、情報とエラー イベントが一覧表示されます。 運用ログには、ワイヤレス ネットワーク アダプター、ワイヤレス接続プロファイルのプロパティ、指定されたネットワーク認証、接続の問題が発生した場合の障害の理由に関する情報が含まれています。 有線ネットワーク アクセスの場合、Wired AutoConfig 操作ログは同等のログです。

クライアント側で、[イベント ビューアー (Local)\Applications and Services Logs\Microsoft\Windows\WLAN-AutoConfig/Operational に移動してワイヤレスの問題を解決します。 有線ネットワーク アクセスの問題については、 に移動します 。\Wired-AutoConfig/Operational。 次の例を参照してください。

wired-autoconfig と WLAN autoconfig を示すイベント ビューアーのスクリーンショット。

ほとんどの 802.1X 認証の問題は、クライアントまたはサーバー認証に使用される証明書に関する問題が原因です。 たとえば、無効な証明書、有効期限、チェーン検証エラー、失効チェックエラーなどがあります。

まず、使用される EAP メソッドの種類を検証します。

eap 認証の種類の比較の表。

認証方法に証明書を使用する場合は、証明書が有効かどうかをチェックします。 サーバー (NPS) 側では、EAP プロパティ メニューから使用されている証明書を確認できます。 NPS スナップインで、[ポリシー] [ネットワーク ポリシー]> の順に移動します。 ポリシーを長押し (または右クリック) し、[ プロパティ] を選択します。 ポップアップ ウィンドウで、[ 制約 ] タブに移動し、[ 認証方法 ] セクションを選択します。

セキュリティで保護されたワイヤレス接続プロパティの [制約] タブのスクリーンショット。

CAPI2 イベント ログは、証明書関連の問題のトラブルシューティングに役立ちます。 既定では、このログは有効になっていません。 このログを有効にするには、イベント ビューアー (Local)\Applications and Services Logs\Microsoft\Windows\CAPI2 を展開し、[操作] を選択して長押し (または右クリック) し、[ログの有効化] を選択します。

capi2 イベント ログのスクリーンショット。

CAPI2 イベント ログを分析する方法については、「 Windows Vista での PKI の問題のトラブルシューティング」を参照してください。

複雑な 802.1X 認証の問題のトラブルシューティングを行う場合は、802.1X 認証プロセスを理解することが重要です。 802.1X 認証を使用したワイヤレス接続プロセスの例を次に示します。

認証器のフローチャート。

クライアント側とサーバー側 (NPS) 側の両方で ネットワーク パケット キャプチャを収集 すると、次のようなフローが表示されます。 クライアント側キャプチャの表示フィルターに EAPOL 、NPS 側キャプチャの EAP を入力します。 次の例を参照してください。

クライアント側パケット キャプチャ データのスクリーンショット。

クライアント側パケット キャプチャ データ

NPS 側パケット キャプチャ データのスクリーンショット。

NPS 側パケット キャプチャ データ

注:

ワイヤレス トレースがある場合は、 ネットワーク モニターを使用して ETL ファイルを表示 し、ONEX_MicrosoftWindowsOneXと ネットワーク モニター フィルター WLAN_MicrosoftWindowsWLANAutoConfig 適用することもできます。 必要な パーサーを読み込む必要がある場合は、ネットワーク モニターの [ヘルプ ] メニューの手順を参照してください。 次に例を示します:

ワイヤレス トレースを示す Microsoft ネットワーク モニター ウィンドウのスクリーンショット。

監査ポリシー

既定では、接続の成功と失敗に関する NPS 監査ポリシー (イベント ログ) が有効になっています。 一方または両方の種類のログ記録が無効になっている場合は、次の手順を使用してトラブルシューティングを行います。

NPS サーバーで次のコマンドを実行して、現在の監査ポリシー設定を表示します。

auditpol /get /subcategory:"Network Policy Server"

成功イベントと失敗イベントの両方が有効になっている場合、出力は次のようになります。

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure


If it says, "No auditing," you can run this command to enable it:

```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

監査ポリシーが完全に有効になっているように見える場合でも、この設定を無効にしてから再度有効にすることが役立つ場合があります。 グループ ポリシーを使用して、ネットワーク ポリシー サーバーのログオン/ログオフ監査を有効にすることもできます。 成功/失敗の設定を取得するには、[コンピューターの構成>ポリシー>] [Windows 設定][セキュリティ設定>] >[監査ポリシーの詳細設定] [構成>監査ポリシー>] [ログオン/ログオフ>監査ネットワーク ポリシー サーバー] の順に選択します。

詳細