Solución de problemas avanzada de autenticación 802.1X
Pruebe nuestro agente virtual : puede ayudarle a identificar y corregir rápidamente problemas comunes de tecnología inalámbrica.
Se aplica a: Windows 10
Información general
En este artículo se incluye la solución de problemas generales para clientes inalámbricos y con cable 802.1X. Mientras que la solución de problemas 802.1X e inalámbrica, es importante saber cómo funciona el flujo de autenticación y, a continuación, averiguar dónde se está rompiendo. Implica muchos dispositivos y software de terceros. La mayoría de las veces, tenemos que identificar dónde está el problema y otro proveedor tiene que corregirlo. No hacemos puntos de acceso ni conmutadores, por lo que no es una solución de Microsoft de un extremo a otro.
Escenarios
Esta técnica de solución de problemas se aplica a cualquier escenario en el que se intenten conexiones inalámbricas o cableadas con autenticación 802.1X y, a continuación, no se establezcan. El flujo de trabajo abarca windows 7 a Windows 10 (y Windows 11) para los clientes, y Windows Server 2008 R2 a Windows Server 2012 R2 para NPS.
Problemas conocidos
Ninguno
Recolección de datos
Consulte Solución de problemas avanzada de recopilación de datos de autenticación 802.1X.
Solución de problemas
La visualización de eventos de estado de autenticación NPS en el registro de eventos de Seguridad de Windows es uno de los métodos de solución de problemas más útiles para obtener información sobre las autenticaciones con errores.
Las entradas del registro de eventos NPS contienen información sobre el intento de conexión, incluido el nombre de la directiva de solicitud de conexión que coincidió con el intento de conexión y la directiva de red que aceptó o rechazó el intento de conexión. Si no ve eventos correctos y de error, consulte la sección Directiva de auditoría NPS más adelante en este artículo.
Compruebe el Seguridad de Windows registro de eventos en el servidor NPS para ver si hay eventos NPS que se correspondan con los intentos de conexión rechazados (id. de evento 6273) o aceptados (id. de evento 6272).
En el mensaje de evento, desplácese hasta la parte inferior y, a continuación, compruebe el campo Código de motivo y el texto asociado a él.
Ejemplo: id. de evento 6273 (error de auditoría)
Ejemplo: id. de evento 6272 (éxito de auditoría)
El registro operativo de configuración automática wlan enumera la información y los eventos de error basados en las condiciones detectadas por o notificadas al servicio de configuración automática wlan. El registro operativo contiene información sobre el adaptador de red inalámbrica, las propiedades del perfil de conexión inalámbrica, la autenticación de red especificada y, si se producen problemas de conectividad, el motivo del error. En el caso del acceso a la red cableada, el registro operativo Wired AutoConfig es equivalente.
En el lado cliente, vaya a Visor de eventos (Local)\Registros de aplicaciones y servicios\Microsoft\Windows\WLAN-AutoConfig/Operational para problemas inalámbricos. Para problemas de acceso a la red cableada, vaya a .. \Wired-AutoConfig/Operational. Vea el ejemplo siguiente:
La mayoría de los problemas de autenticación 802.1X se debe a problemas con el certificado que se usa para la autenticación de cliente o servidor. Algunos ejemplos son el certificado no válido, la expiración, el error de comprobación de la cadena y el error de comprobación de revocación.
En primer lugar, valide el tipo de método EAP que se usa:
Si se usa un certificado para su método de autenticación, compruebe si el certificado es válido. En el lado del servidor (NPS), puede confirmar qué certificado se usa en el menú de propiedades eap. En el complemento NPS, vaya a Directivas>de red. Seleccione y mantenga presionada la directiva (o haga clic con el botón derecho) y, a continuación, seleccione Propiedades. En la ventana emergente, vaya a la pestaña Restricciones y seleccione la sección Métodos de autenticación .
El registro de eventos CAPI2 es útil para solucionar problemas relacionados con certificados. De forma predeterminada, este registro no está habilitado. Para habilitar este registro, expanda Visor de eventos (Local)\Registros de aplicaciones y servicios\Microsoft\Windows\CAPI2, seleccione y mantenga en funcionamiento (o haga clic con el botón derecho) y, a continuación, seleccione Habilitar registro.
Para obtener información sobre cómo analizar los registros de eventos CAPI2, consulte Solución de problemas de PKI en Windows Vista.
Al solucionar problemas complejos de autenticación 802.1X, es importante comprender el proceso de autenticación 802.1X. Este es un ejemplo del proceso de conexión inalámbrica con autenticación 802.1X:
Si recopila una captura de paquetes de red tanto en el cliente como en el servidor (NPS), puede ver un flujo como el siguiente. Escriba EAPOL en el filtro para mostrar para una captura del lado cliente y EAP para una captura del lado NPS. Consulte los ejemplos siguientes:
Datos de captura de paquetes del lado cliente
Datos de captura de paquetes del lado NPS
Nota:
Si tiene un seguimiento inalámbrico, también puede ver archivos ETL con el monitor de red y aplicar los filtros ONEX_MicrosoftWindowsOneX y WLAN_MicrosoftWindowsWLANAutoConfig Network Monitor. Si necesita cargar el analizador necesario, consulte las instrucciones del menú Ayuda del Monitor de red. Aquí le mostramos un ejemplo:
Directiva de auditoría
De forma predeterminada, la directiva de auditoría NPS (registro de eventos) para el éxito de la conexión y el error están habilitadas. Si encuentra que uno o ambos tipos de registro están deshabilitados, siga estos pasos para solucionar problemas.
Para ver la configuración actual de la directiva de auditoría, ejecute el siguiente comando en el servidor NPS:
auditpol /get /subcategory:"Network Policy Server"
Si los eventos correctos y de error están habilitados, la salida debe ser:
System audit policy
Category/Subcategory Setting
Logon/Logoff
Network Policy Server Success and Failure
If it says, "No auditing," you can run this command to enable it:
```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
Incluso si la directiva de auditoría parece estar totalmente habilitada, a veces ayuda a deshabilitar y, a continuación, volver a habilitar esta configuración. También puede habilitar la auditoría de inicio de sesión o cierre de sesión del servidor de directivas de red mediante directiva de grupo. Para acceder a la configuración correcta o de error, seleccioneDirectivas> de configuración> del equipoConfiguración de Windows Configuración>de seguridad Configuración>avanzada directiva> deauditoría Directivas> de auditoríaDirectivas de inicio de sesión o cierre> de sesión Servidor de directivasde red de auditoría.
Más información
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de