Solución de problemas avanzada de autenticación 802.1X

  • Artículo

Pruebe nuestro agente virtual : puede ayudarle a identificar y corregir rápidamente problemas comunes de tecnología inalámbrica.

Se aplica a: Windows 10

Información general

En este artículo se incluye la solución de problemas generales para clientes inalámbricos y con cable 802.1X. Mientras que la solución de problemas 802.1X e inalámbrica, es importante saber cómo funciona el flujo de autenticación y, a continuación, averiguar dónde se está rompiendo. Implica muchos dispositivos y software de terceros. La mayoría de las veces, tenemos que identificar dónde está el problema y otro proveedor tiene que corregirlo. No hacemos puntos de acceso ni conmutadores, por lo que no es una solución de Microsoft de un extremo a otro.

Escenarios

Esta técnica de solución de problemas se aplica a cualquier escenario en el que se intenten conexiones inalámbricas o cableadas con autenticación 802.1X y, a continuación, no se establezcan. El flujo de trabajo abarca windows 7 a Windows 10 (y Windows 11) para los clientes, y Windows Server 2008 R2 a Windows Server 2012 R2 para NPS.

Problemas conocidos

Ninguno

Recolección de datos

Consulte Solución de problemas avanzada de recopilación de datos de autenticación 802.1X.

Solución de problemas

La visualización de eventos de estado de autenticación NPS en el registro de eventos de Seguridad de Windows es uno de los métodos de solución de problemas más útiles para obtener información sobre las autenticaciones con errores.

Las entradas del registro de eventos NPS contienen información sobre el intento de conexión, incluido el nombre de la directiva de solicitud de conexión que coincidió con el intento de conexión y la directiva de red que aceptó o rechazó el intento de conexión. Si no ve eventos correctos y de error, consulte la sección Directiva de auditoría NPS más adelante en este artículo.

Compruebe el Seguridad de Windows registro de eventos en el servidor NPS para ver si hay eventos NPS que se correspondan con los intentos de conexión rechazados (id. de evento 6273) o aceptados (id. de evento 6272).

En el mensaje de evento, desplácese hasta la parte inferior y, a continuación, compruebe el campo Código de motivo y el texto asociado a él.

Captura de pantalla del identificador de evento 6273 que muestra un ejemplo de error de auditoría. Ejemplo: id. de evento 6273 (error de auditoría)

Captura de pantalla del identificador de evento 6272 que muestra un ejemplo de éxito de auditoría. Ejemplo: id. de evento 6272 (éxito de auditoría)

El registro operativo de configuración automática wlan enumera la información y los eventos de error basados en las condiciones detectadas por o notificadas al servicio de configuración automática wlan. El registro operativo contiene información sobre el adaptador de red inalámbrica, las propiedades del perfil de conexión inalámbrica, la autenticación de red especificada y, si se producen problemas de conectividad, el motivo del error. En el caso del acceso a la red cableada, el registro operativo Wired AutoConfig es equivalente.

En el lado cliente, vaya a Visor de eventos (Local)\Registros de aplicaciones y servicios\Microsoft\Windows\WLAN-AutoConfig/Operational para problemas inalámbricos. Para problemas de acceso a la red cableada, vaya a .. \Wired-AutoConfig/Operational. Vea el ejemplo siguiente:

Captura de pantalla del visor de eventos que muestra wired-autoconfig y WLAN autoconfig.

La mayoría de los problemas de autenticación 802.1X se debe a problemas con el certificado que se usa para la autenticación de cliente o servidor. Algunos ejemplos son el certificado no válido, la expiración, el error de comprobación de la cadena y el error de comprobación de revocación.

En primer lugar, valide el tipo de método EAP que se usa:

Tabla de comparación de tipos de autenticación eap.

Si se usa un certificado para su método de autenticación, compruebe si el certificado es válido. En el lado del servidor (NPS), puede confirmar qué certificado se usa en el menú de propiedades eap. En el complemento NPS, vaya a Directivas>de red. Seleccione y mantenga presionada la directiva (o haga clic con el botón derecho) y, a continuación, seleccione Propiedades. En la ventana emergente, vaya a la pestaña Restricciones y seleccione la sección Métodos de autenticación .

Captura de pantalla de la pestaña Restricciones de las propiedades de conexiones inalámbricas seguras.

El registro de eventos CAPI2 es útil para solucionar problemas relacionados con certificados. De forma predeterminada, este registro no está habilitado. Para habilitar este registro, expanda Visor de eventos (Local)\Registros de aplicaciones y servicios\Microsoft\Windows\CAPI2, seleccione y mantenga en funcionamiento (o haga clic con el botón derecho) y, a continuación, seleccione Habilitar registro.

Captura de pantalla del registro de eventos capi2.

Para obtener información sobre cómo analizar los registros de eventos CAPI2, consulte Solución de problemas de PKI en Windows Vista.

Al solucionar problemas complejos de autenticación 802.1X, es importante comprender el proceso de autenticación 802.1X. Este es un ejemplo del proceso de conexión inalámbrica con autenticación 802.1X:

Gráfico de flujo del autenticador.

Si recopila una captura de paquetes de red tanto en el cliente como en el servidor (NPS), puede ver un flujo como el siguiente. Escriba EAPOL en el filtro para mostrar para una captura del lado cliente y EAP para una captura del lado NPS. Consulte los ejemplos siguientes:

Captura de pantalla de los datos de captura de paquetes del lado cliente.

Datos de captura de paquetes del lado cliente

Captura de pantalla de los datos de captura de paquetes del lado NPS.

Datos de captura de paquetes del lado NPS

Nota:

Si tiene un seguimiento inalámbrico, también puede ver archivos ETL con el monitor de red y aplicar los filtros ONEX_MicrosoftWindowsOneX y WLAN_MicrosoftWindowsWLANAutoConfig Network Monitor. Si necesita cargar el analizador necesario, consulte las instrucciones del menú Ayuda del Monitor de red. Aquí le mostramos un ejemplo:

Captura de pantalla de la ventana del monitor de red de Microsoft que muestra un seguimiento inalámbrico.

Directiva de auditoría

De forma predeterminada, la directiva de auditoría NPS (registro de eventos) para el éxito de la conexión y el error están habilitadas. Si encuentra que uno o ambos tipos de registro están deshabilitados, siga estos pasos para solucionar problemas.

Para ver la configuración actual de la directiva de auditoría, ejecute el siguiente comando en el servidor NPS:

auditpol /get /subcategory:"Network Policy Server"

Si los eventos correctos y de error están habilitados, la salida debe ser:

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure


If it says, "No auditing," you can run this command to enable it:

```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Incluso si la directiva de auditoría parece estar totalmente habilitada, a veces ayuda a deshabilitar y, a continuación, volver a habilitar esta configuración. También puede habilitar la auditoría de inicio de sesión o cierre de sesión del servidor de directivas de red mediante directiva de grupo. Para acceder a la configuración correcta o de error, seleccioneDirectivas> de configuración> del equipoConfiguración de Windows Configuración>de seguridad Configuración>avanzada directiva> deauditoría Directivas> de auditoríaDirectivas de inicio de sesión o cierre> de sesión Servidor de directivasde red de auditoría.

Más información