고급 문제 해결 802.1X 인증

  • 아티클

가상 에이전트 사용해 보기 - 일반적인 무선 기술 문제를 신속하게 식별하고 해결하는 데 도움이 될 수 있습니다.

적용 대상: Windows 10

개요

이 문서에는 802.1X 무선 및 유선 클라이언트에 대한 일반적인 문제 해결이 포함되어 있습니다. 802.1X 및 무선 문제를 해결하는 동안 인증 흐름의 작동 방식을 알고 호환성이 손상되는 위치를 파악하는 것이 중요합니다. 여기에는 많은 타사 디바이스 및 소프트웨어가 포함됩니다. 대부분의 경우 문제가 있는 위치를 식별해야 하며 다른 공급업체는 이 문제를 해결해야 합니다. 액세스 지점 또는 스위치를 만들지 않으므로 엔드 투 엔드 Microsoft 솔루션이 아닙니다.

시나리오

이 문제 해결 기술은 802.1X 인증을 사용하는 무선 또는 유선 연결을 시도한 다음 설정하지 못하는 모든 시나리오에 적용됩니다. 이 워크플로는 클라이언트용 Windows 7~Windows 10(및 Windows 11) 및 NPS용 windows Server 2008 R2~Windows Server 2012 R2를 다룹니다.

알려진 문제

없음

데이터 수집

고급 문제 해결 802.1X 인증 데이터 수집을 참조하세요.

문제 해결

Windows 보안 이벤트 로그에서 NPS 인증 상태 이벤트를 보는 것은 실패한 인증에 대한 정보를 가져오는 가장 유용한 문제 해결 방법 중 하나입니다.

NPS 이벤트 로그 항목에는 연결 시도와 일치하는 연결 요청 정책의 이름 및 연결 시도를 수락하거나 거부한 네트워크 정책을 포함하여 연결 시도에 대한 정보가 포함됩니다. 성공 이벤트와 실패 이벤트가 모두 표시되지 않으면 이 문서의 뒷부분에 있는 NPS 감사 정책 섹션을 참조하세요.

거부됨(이벤트 ID 6273) 또는 수락된(이벤트 ID 6272) 연결 시도에 해당하는 NPS 이벤트에 대한 NPS 서버의 Windows 보안 이벤트 로그를 확인합니다.

이벤트 메시지에서 아래쪽으로 스크롤한 다음, 이유 코드 필드와 연결된 텍스트를 검사.

감사 실패의 예를 보여 주는 이벤트 ID 6273의 스크린샷 예: 이벤트 ID 6273(감사 실패)

감사 성공의 예를 보여 주는 이벤트 ID 6272의 스크린샷 예: 이벤트 ID 6272(감사 성공)

WLAN AutoConfig 운영 로그에는 WLAN AutoConfig 서비스에 의해 검색되거나 보고된 조건에 따라 정보 및 오류 이벤트가 나열됩니다. 운영 로그에는 무선 네트워크 어댑터, 무선 연결 프로필의 속성, 지정된 네트워크 인증 및 연결 문제가 발생하는 경우 오류의 원인에 대한 정보가 포함됩니다. 유선 네트워크 액세스의 경우 유선 AutoConfig 작동 로그는 동등한 로그입니다.

클라이언트 쪽에서 무선 문제에 대한 이벤트 뷰어(로컬)\애플리케이션 및 서비스 로그\Microsoft\Windows\WLAN-AutoConfig/Operational로 이동합니다. 유선 네트워크 액세스 문제의 경우 로 이동합니다. \Wired-AutoConfig/Operational. 다음 예를 참조하십시오.

유선-자동 구성 및 WLAN 자동 구성을 보여 주는 이벤트 뷰어의 스크린샷

대부분의 802.1X 인증 문제는 클라이언트 또는 서버 인증에 사용되는 인증서에 문제가 있기 때문입니다. 예를 들어 잘못된 인증서, 만료, 체인 확인 실패 및 해지 검사 실패가 있습니다.

먼저 사용되는 EAP 메서드 형식의 유효성을 검사합니다.

eap 인증 유형 비교의 표입니다.

인증서가 인증 방법에 사용되는 경우 인증서가 유효한지 검사. 서버(NPS) 쪽의 경우 EAP 속성 메뉴에서 사용 중인 인증서를 확인할 수 있습니다. NPS 스냅인에서정책>네트워크 정책으로 이동합니다. 정책을 선택하고 길게 누르거나 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다. 팝업 창에서 제약 조건 탭으로 이동한 다음 인증 방법 섹션을 선택합니다.

보안 무선 연결 속성의 제약 조건 탭 스크린샷

CAPI2 이벤트 로그는 인증서 관련 문제를 해결하는 데 유용합니다. 기본적으로 이 로그는 사용하도록 설정되지 않습니다. 이 로그를 사용하도록 설정하려면 이벤트 뷰어(로컬)\애플리케이션 및 서비스 로그\Microsoft\Windows\CAPI2를 확장하고 작동을 선택하고 길게 누르거나 마우스 오른쪽 단추로 클릭한 다음 로그 사용을 선택합니다.

capi2 이벤트 로그의 스크린샷

CAPI2 이벤트 로그를 분석하는 방법에 대한 자세한 내용은 Windows Vista에서 PKI 문제 해결을 참조하세요.

복잡한 802.1X 인증 문제를 해결할 때는 802.1X 인증 프로세스를 이해하는 것이 중요합니다. 다음은 802.1X 인증을 사용하는 무선 연결 프로세스의 예입니다.

인증자의 순서도입니다.

클라이언트와 NPS(서버) 쪽 모두에서 네트워크 패킷 캡처를 수집하는 경우 아래와 같은 흐름을 볼 수 있습니다. 클라이언트 쪽 캡처에 대한 표시 필터에 EAPOL 을 입력하고 NPS 쪽 캡처의 경우 EAP 를 입력합니다. 다음 예제를 참조하세요.

클라이언트 쪽 패킷 캡처 데이터의 스크린샷.

클라이언트 쪽 패킷 캡처 데이터

NPS 쪽 패킷 캡처 데이터의 스크린샷.

NPS 쪽 패킷 캡처 데이터

참고

무선 추적이 있는 경우 네트워크 모니터를 사용하여 ETL 파일을 보고ONEX_MicrosoftWindowsOneXWLAN_MicrosoftWindowsWLANAutoConfig 네트워크 모니터 필터를 적용할 수도 있습니다. 필요한 파서를 로드해야 하는 경우 네트워크 모니터의 도움말 메뉴 아래에 있는 지침을 참조하세요. 다음은 예입니다.

무선 추적을 보여 주는 Microsoft 네트워크 모니터 창의 스크린샷

감사 정책

기본적으로 연결 성공 및 실패에 대한 NPS 감사 정책(이벤트 로깅)이 사용됩니다. 하나 또는 두 가지 유형의 로깅이 비활성화된 경우 다음 단계를 사용하여 문제를 해결합니다.

NPS 서버에서 다음 명령을 실행하여 현재 감사 정책 설정을 봅니다.

auditpol /get /subcategory:"Network Policy Server"

성공 이벤트와 실패 이벤트가 모두 사용하도록 설정된 경우 출력은 다음과 여야 합니다.

System audit policy
Category/Subcategory                      Setting
Logon/Logoff
  Network Policy Server                   Success and Failure


If it says, "No auditing," you can run this command to enable it:

```console
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

감사 정책이 완전히 활성화된 것처럼 보이는 경우에도 이 설정을 사용하지 않도록 설정한 다음 다시 사용하도록 설정하는 데 도움이 되는 경우가 있습니다. 그룹 정책 사용하여 네트워크 정책 서버 로그온/로그오프 감사를 사용하도록 설정할 수도 있습니다. 성공/실패 설정에 액세스하려면 컴퓨터 구성>정책>Windows 설정보안 설정>>고급 감사 정책 구성>감사 정책>로그온/로그오프>감사 네트워크 정책 서버를 선택합니다.

추가 정보