Solução de problemas avançada de autenticação 802.1X

Aplica-se a: Windows 10

Visão Geral

Este artigo inclui solução geral de problemas para clientes sem fio e com fio 802.1X. Ao solucionar problemas de 802.1X e sem fio, é importante saber como o fluxo de autenticação funciona e, em seguida, descobrir onde ele está quebrando. Envolve muitos dispositivos e software de terceiros. Na maioria das vezes, temos que identificar onde está o problema e outro fornecedor precisa corrigi-lo. Não fazemos pontos de acesso ou comutadores, portanto, não é uma solução de ponta a ponta da Microsoft.

Cenários

Essa técnica de solução de problemas se aplica a qualquer cenário em que conexões sem fio ou com fio com autenticação 802.1X são tentadas e, em seguida, não conseguem estabelecer. O fluxo de trabalho abrange o Windows 7 até Windows 10 (e Windows 11) para clientes e o Windows Server 2008 R2 até Windows Server 2012 R2 para NPS.

Problemas conhecidos

Nenhum

Coleta de dados

Consulte Solução de problemas avançada de coleta de dados de autenticação 802.1X.

Solução de problemas

Exibir eventos de autenticação NPS status no log de eventos Segurança do Windows é um dos métodos de solução de problemas mais úteis para obter informações sobre autenticações com falha.

As entradas de log de eventos NPS contêm informações sobre a tentativa de conexão, incluindo o nome da política de solicitação de conexão que correspondeu à tentativa de conexão e à política de rede que aceitou ou rejeitou a tentativa de conexão. Se você não vir eventos de sucesso e falha, consulte a seção política de auditoria do NPS mais adiante neste artigo.

Verifique o log de eventos Segurança do Windows no Servidor NPS para eventos NPS que correspondem às tentativas de conexão rejeitadas (ID do evento 6273) ou aceitas (ID do evento 6272).

Na mensagem de evento, role até a parte inferior e, em seguida, marcar o campo Código de Razão e o texto associado a ele.

Exemplo: ID do evento 6273 (Falha de Auditoria)

Exemplo: ID do evento 6272 (Audit Success)

O log operacional WLAN AutoConfig lista informações e eventos de erro com base nas condições detectadas ou relatadas ao serviço WLAN AutoConfig. O log operacional contém informações sobre o adaptador de rede sem fio, as propriedades do perfil de conexão sem fio, a autenticação de rede especificada e, se ocorrerem problemas de conectividade, o motivo da falha. Para acesso à rede com fio, o log operacional do Wired AutoConfig é equivalente.

No lado do cliente, acesse Visualizador de Eventos (Local)\Logs de Aplicativos e Serviços\Microsoft\Windows\WLAN-AutoConfig/Operacional para problemas sem fio. Para problemas de acesso à rede com fio, acesse .. \Wired-AutoConfig/Operational. Veja o seguinte exemplo:

A maioria dos problemas de autenticação 802.1X é devido a problemas com o certificado usado para autenticação de cliente ou servidor. Exemplos incluem certificado inválido, expiração, falha de verificação de cadeia e falha de marcar de revogação.

Primeiro, valide o tipo de método EAP usado:

Se um certificado for usado para seu método de autenticação, marcar se o certificado é válido. Para o lado do servidor (NPS), você pode confirmar qual certificado está sendo usado no menu de propriedades EAP. No snap-in do NPS, acesse Políticas> deRede de Políticas. Selecione e segure (ou clique com o botão direito do mouse) na política e selecione Propriedades. Na janela pop-up, acesse a guia Restrições e selecione a seção Métodos de Autenticação .

O log de eventos CAPI2 é útil para solucionar problemas relacionados ao certificado. Por padrão, esse log não está habilitado. Para habilitar esse log, expanda Visualizador de Eventos (Local)\Logs de Aplicativos e Serviços\Microsoft\Windows\CAPI2, selecione e segure (ou clique com o botão direito do mouse) Operacional e selecione Habilitar Log.

Para obter informações sobre como analisar logs de eventos CAPI2, confira Solução de problemas de PKI no Windows Vista.

Ao solucionar problemas complexos de autenticação 802.1X, é importante entender o processo de autenticação 802.1X. Aqui está um exemplo do processo de conexão sem fio com autenticação 802.1X:

Se você coletar uma captura de pacote de rede no lado do cliente e do servidor (NPS), poderá ver um fluxo como o abaixo. Digite EAPOL no Filtro de Exibição para uma captura do lado do cliente e EAP para uma captura do lado do NPS. Confira os seguintes exemplos:

Dados de captura de pacotes do lado do cliente

Dados de captura de pacotes do lado do NPS

Política de Auditoria

Por padrão, a política de auditoria NPS (registro em log de eventos) para êxito e falha de conexão está habilitada. Se você descobrir que um ou ambos os tipos de log estão desabilitados, use as etapas a seguir para solucionar problemas.

Exiba as configurações atuais da política de auditoria executando o seguinte comando no servidor NPS:

auditpol /get /subcategory:"Network Policy Server"

Se os eventos de sucesso e falha estiverem habilitados, a saída deverá ser:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure


If it says, "No auditing," you can run this command to enable it:

```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Mesmo que a política de auditoria pareça estar totalmente habilitada, às vezes ajuda a desabilitar e, em seguida, habilitar novamente essa configuração. Você também pode habilitar a auditoria de logon/logoff do Servidor de Política de Rede usando Política de Grupo. Para acessar a configuração de sucesso/falha, selecionePolíticasde Configuração> do Computador Configurações >do Windows Configurações>de segurança Configurações de segurança Políticas>avançadas de auditoria Políticas> deAuditoria>Logon/Logoff>Audit Network Policy Server.

Mais informações

• Solução de problemas de Connections sem fio do Windows Vista 802.11
• Solução de problemas do Windows Vista Secure 802.3 Wired Connections