Расширенное устранение неполадок с проверкой подлинности 802.1X

Применимо к: Windows 10

Обзор

Эта статья содержит общие сведения об устранении неполадок для беспроводных и проводных клиентов 802.1X. При устранении неполадок 802.1X и беспроводной связи важно знать, как работает поток проверки подлинности, а затем выяснить, где он нарушается. Она включает в себя множество сторонних устройств и программного обеспечения. В большинстве случаев мы должны определить, где находится проблема, и другой поставщик должен ее устранить. Мы не делаем точки доступа или коммутаторы, поэтому это не комплексное решение Майкрософт.

Сценарии

Этот метод устранения неполадок применяется к любому сценарию, в котором беспроводные или проводные подключения с проверкой подлинности 802.1X пытаются установить, а затем не удается установить. Рабочий процесс охватывает Windows 7–Windows 10 (и Windows 11) для клиентов и Windows Server 2008 R2–Windows Server 2012 R2 для NPS.

Известные проблемы

Нет

Сбор данных

См . дополнительные сведения об устранении неполадок со сбором данных проверки подлинности 802.1X.

Устранение неполадок

Просмотр событий состояния проверки подлинности NPS в журнале событий Безопасность Windows является одним из наиболее полезных методов устранения неполадок для получения сведений о неудачной проверке подлинности.

Записи журнала событий NPS содержат сведения о попытке подключения, включая имя политики запроса на подключение, которая соответствовала попытке подключения, и политику сети, которая приняла или отклонила попытку подключения. Если события успеха и сбоя не отображаются, см. раздел Политики аудита NPS далее в этой статье.

Проверьте журнал событий Безопасность Windows на сервере NPS на наличие событий NPS, соответствующих отклоненным попыткам подключения (событие с идентификатором 6273) или принятым (событие с идентификатором 6272).

В сообщении о событии прокрутите вниз, а затем проверка поле "Код причины" и связанный с ним текст.

Пример: событие с идентификатором 6273 (сбой аудита)

Пример: событие с идентификатором 6272 (аудит успешно)

В журнале операций автонастройки WLAN перечислены сведения и события ошибок на основе условий, обнаруженных службой автонастройки WLAN или сообщенных в нее. Журнал операций содержит сведения о адаптере беспроводной сети, свойствах профиля беспроводного подключения, указанной проверке подлинности сети и, если возникают проблемы с подключением, о причине сбоя. Для доступа к проводной сети операционный журнал проводной автонастройки является эквивалентным.

На стороне клиента выберите Просмотр событий (локальная)\Журналы приложений и служб\Microsoft\Windows\WLAN-AutoConfig/Operational для проблем с беспроводной связью. Сведения о проблемах с доступом к проводной сети см . в разделе .. \Wired-AutoConfig/Operational. Пример приведен в следующей статье:

Большинство проблем с проверкой подлинности 802.1X возникают из-за проблем с сертификатом, используемым для проверки подлинности клиента или сервера. Например, недопустимый сертификат, истечение срока действия, сбой проверки цепочки и отзыв проверка сбой.

Сначала проверьте тип используемого метода EAP:

Если для метода проверки подлинности используется сертификат, проверка, является ли сертификат допустимым. На стороне сервера (NPS) можно проверить, какой сертификат используется, в меню свойств EAP. В оснастке NPS перейдите в раздел Политики>Сетевые политики. Выберите и удерживайте (или щелкните правой кнопкой мыши) политику, а затем выберите Свойства. Во всплывающем окне перейдите на вкладку Ограничения и выберите раздел Методы проверки подлинности .

Журнал событий CAPI2 полезен для устранения неполадок, связанных с сертификатом. По умолчанию этот журнал не включен. Чтобы включить этот журнал, разверните узел Просмотр событий (локальный)\Журналы приложений и служб\Microsoft\Windows\CAPI2, выберите и удерживайте (или щелкните правой кнопкой мыши) Операционный, а затем выберите Включить журнал.

Сведения об анализе журналов событий CAPI2 см. в статье Устранение неполадок PKI в Windows Vista.

При устранении сложных проблем с проверкой подлинности 802.1X важно понимать процесс проверки подлинности 802.1X. Ниже приведен пример процесса беспроводного подключения с проверкой подлинности 802.1X:

При сборе сетевого пакета как на стороне клиента, так и на стороне сервера (NPS), вы увидите поток, подобный приведенному ниже. Введите EAPOL в фильтре отображения для записи на стороне клиента и EAP для записи на стороне NPS. См. следующие примеры:

Данные для сбора пакетов на стороне клиента

Данные сбора пакетов на стороне NPS

Политика аудита

По умолчанию политика аудита NPS (ведение журнала событий) для успешного и неудачного подключения включена. Если вы обнаружите, что один или оба типа ведения журнала отключены, выполните следующие действия для устранения неполадок.

Просмотрите текущие параметры политики аудита, выполнив следующую команду на сервере NPS:

auditpol /get /subcategory:"Network Policy Server"

Если включены события успеха и сбоя, выходные данные должны выглядеть следующим образом:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure


If it says, "No auditing," you can run this command to enable it:

```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Даже если политика аудита полностью включена, иногда ее можно отключить, а затем снова включить этот параметр. Вы также можете включить аудит входа и выхода сервера политики сети с помощью групповая политика. Чтобы получить доступ к параметру успешно или неудачно, выберитеПолитики>конфигурации> компьютераПараметры>Windows Параметры> безопасностиПараметры расширенного аудита Политика аудита>Политики аудита Вход>и выход>Из системы Аудита Сервер политики сети.

Дополнительная информация

• Устранение неполадок с беспроводной Connections Windows Vista 802.11
• Устранение неполадок с проводной Connections Windows Vista Secure 802.3