设为首页收藏本站
开启辅助访问
802.1X 身份验证问题疑难解答 您所在的位置:网站首页 连接网络验证身份出问题是什么原因 802.1X 身份验证问题疑难解答

802.1X 身份验证问题疑难解答

2024-07-15 16:20| 来源: 网络整理| 查看: 265

高级故障排除 802.1X 身份验证 项目05/10/2024

试用我们的虚拟代理 - 它可以帮助你快速识别和修复常见的无线技术问题。

             适用于:Windows 10

概述

本文包括 802.1X 无线和有线客户端的常规故障排除。 在排查 802.1X 和无线问题时,请务必了解身份验证流的工作原理,然后找出其中断位置。 它涉及许多第三方设备和软件。 大多数情况下,我们必须确定问题所在,另一个供应商必须解决该问题。 我们不创建接入点或开关,因此它不是端到端的 Microsoft 解决方案。

应用场景

此故障排除技术适用于尝试使用 802.1X 身份验证进行无线或有线连接但无法建立的任何方案。 工作流涵盖适用于客户端的 Windows 7 到 Windows 10 (和 Windows 11) ,以及 Windows Server 2008 R2 到 Windows Server 2012 R2 for NPS。

已知问题

None

数据收集

请参阅 802.1X 身份验证数据收集的高级故障排除。

疑难解答

查看Windows 安全中心事件日志中的 NPS 身份验证状态事件是获取有关身份验证失败信息的最有用的故障排除方法之一。

NPS 事件日志条目包含有关连接尝试的信息,包括与连接尝试匹配的连接请求策略的名称,以及接受或拒绝连接尝试的网络策略的名称。 如果看不到成功和失败事件,请参阅本文后面的 NPS 审核策略 部分。

检查 NPS 服务器上的Windows 安全中心事件日志,了解与拒绝 (事件 ID 6273) 或接受 (事件 ID 6272) 连接尝试对应的 NPS 事件。

在事件消息中,滚动到底部,然后检查“原因代码”字段以及与它关联的文本。

示例:事件 ID 6273 (审核失败)

示例:事件 ID 6272 (审核成功)

WLAN 自动配置操作日志根据 WLAN 自动配置服务检测到或报告的情况列出信息和错误事件。 操作日志包含有关无线网络适配器、无线连接配置文件的属性、指定的网络身份验证以及失败原因(如果出现连接问题)的信息。 对于有线网络访问,有线自动配置操作日志是等效的。

在客户端,针对无线问题转到“事件查看器 (本地) \应用程序和服务日志\Microsoft\Windows\WLAN-AutoConfig/Operational”。 有关有线网络访问问题,请转到 。\Wired-AutoConfig/Operational。 请参阅以下示例:

大多数 802.1X 身份验证问题是由于用于客户端或服务器身份验证的证书出现问题。 示例包括证书无效、过期、链验证失败和吊销检查失败。

首先,验证使用的 EAP 方法的类型:

如果证书用于其身份验证方法,检查证书是否有效。 对于服务器 (NPS) 端,可以从 EAP 属性菜单中确认正在使用的证书。 在 NPS 管理单元中,转到 “策略>”“网络策略”。 选择并按住 (或右键单击策略) ,然后选择 “属性”。 在弹出窗口中,转到“ 约束” 选项卡,然后选择“ 身份验证方法 ”部分。

CAPI2 事件日志可用于排查与证书相关的问题。 默认情况下,不启用此日志。 若要启用此日志,请展开“事件查看器 (本地) \应用程序和服务日志\Microsoft\Windows\CAPI2,选择并按住 (或右键单击”) 操作“,然后选择”启用日志”。

有关如何分析 CAPI2 事件日志的信息,请参阅 排查 Windows Vista 上的 PKI 问题。

排查复杂的 802.1X 身份验证问题时,请务必了解 802.1X 身份验证过程。 下面是使用 802.1X 身份验证的无线连接过程示例:

如果在客户端和服务器上 收集网络数据包捕获 , (NPS) 端,可以看到如下所示的流。 在显示筛选器中为客户端捕获键入 EAPOL ,在 NPS 端捕获中键入 EAP 。 请参阅以下示例:

客户端数据包捕获数据

NPS 端数据包捕获数据

注意

如果有无线跟踪,还可以 使用网络监视器查看 ETL 文件 ,并应用 ONEX_MicrosoftWindowsOneX 和 WLAN_MicrosoftWindowsWLANAutoConfig 网络监视器筛选器。 如果需要加载所需的 分析程序,请参阅网络监视器的 “帮助 ”菜单下的说明。 下面是一个示例:

审核策略

默认情况下,启用 NPS 审核策略 (连接成功和失败的事件日志记录) 。 如果发现一种或两种类型的日志记录被禁用,请使用以下步骤进行故障排除。

通过在 NPS 服务器上运行以下命令来查看当前审核策略设置:

auditpol /get /subcategory:"Network Policy Server"

如果同时启用了成功和失败事件,则输出应为:

System audit policy Category/Subcategory Setting Logon/Logoff Network Policy Server Success and Failure If it says, "No auditing," you can run this command to enable it: ```console auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

即使审核策略看起来已完全启用,有时也有助于禁用然后重新启用此设置。 还可以使用 组策略 启用网络策略服务器登录/注销审核。 若要访问成功/失败设置,请选择“计算机配置>策略>”“Windows 设置”“>安全设置”“>高级审核策略”“配置>审核策略>登录/注销>审核网络策略服务器”。

更多信息 Windows Vista 802.11 无线Connections疑难解答 Windows Vista Secure 802.3 有线Connections故障排除


【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有