Exportar (0) Imprimir
Expandir Tudo

Solucionando Problemas de Acesso sem Fio do Windows XP IEEE 802.11

Tópicos nesta Página

Ferramentas para Solução de Problemas do Windows XPFerramentas para Solução de Problemas do Windows XP
Ferramentas para Solução de Problemas em AP sem FioFerramentas para Solução de Problemas em AP sem Fio
Ferramentas para Solução de Problemas de IASFerramentas para Solução de Problemas de IAS
Solucionar Problemas de Autenticação e Autorização IASSolucionar Problemas de Autenticação e Autorização IAS
ResumoResumo
Links RelacionadosLinks Relacionados

Resumo

Este artigo descreve as ferramentas a serem usadas para solucionar problemas de um cliente sem fio Windows XP, um ponto de acesso sem fio (AP) e o Serviço de Autenticação da Internet (IAS) e como cada ferramenta é usada para reunir informações para solução de problemas.

Ferramentas para Solução de Problemas do Windows XP

As ferramentas para solucionar problemas de conexões sem fio no Windows XP são a pasta Conexões de Rede e o rastreamento

Pasta Conexões de Rede

A pasta Conexões de Rede e os ícones de notificação do Windows XP fornecem informações sobre o estado da autenticação. Se uma autenticação exigir informações adicionais do usuário, como selecionar um dos múltiplos certificados de usuário, um balão de texto será exibido para instruir o usuário. Na pasta Conexões de Rede, o texto sob o nome da conexão correspondente ao adaptador de rede sem fio descreve o estado da autenticação .

A Figura 1 mostra as informações disponíveis de uma conexão de rede na pasta Conexões de Rede do Windows XP.
Bb457017.image001(pt-br,TechNet.10).gif
Figura 1   Uma conexão de rede sem fio nas Conexões de Rede


Além disso, quando obtém o status da conexão, você pode ver a força do sinal na guia Geral e a configuração do endereço IP na guia Suporte . Se o adaptador sem fio tiver um endereço APIPA (Automatic Private IP Addressing, 169.254.0.0/16) ou o endereço IP alternativo configurado, a autenticação falhou e o cliente sem fio do Windows XP continua associado com o AP sem fio . Se a autenticação falhar e a associação for mantida, o adaptador sem fio é ativado e o TCP/IP executa seu processo de configuração normal. Se um servidor DHCP não for encontrado, ele automaticamente configura um APIPA ou um endereço alternativo .

Rastreamento

Para obter informações detalhadas sobre o processo de autenticação EAP do Windows XP, você deve ativar o rastreamento dos componentes EAPOL e RASTLS usando os comandos a seguir em um prompt de comando :

netsh ras set tracing eapol enabled

netsh ras set tracing rastls enabled

Depois que esses comandos forem emitidos, tente novamente o processo de autenticação e exiba os arquivos Eapol.log e Rastls.log na pasta SystemRoot\Tracing.

Para mais informações sobre rastreamento, consulte "Ferramentas para Solução de Problemas de IAS" neste artigo.

No Windows 2000, você pode ativar o rastreamento do componente RASTLS .

Nomes de Servidor

Se o cliente sem fio estiver validando o certificado de servidor (ativado por padrão) e a seqüência Conectar-se somente se o nome do servidor terminar em não estiver correta, a autenticação falha . Verifique se essa seqüência está correta nas propriedades do Cartão Inteligente e de Outro Tipo de Certificado EAP na guia Autenticação em propriedades da conexão de rede que corresponde ao adaptador de rede LAN sem fio.

A Figura 2 mostra as propriedades padrão do Cartão Inteligente ou de Outro tipo de certificado EAP do Windows XP (antes do Service Pack 1 [SP1]) e do Windows 2000 .

Bb457017.image008(pt-br,TechNet.10).gif

Figura 2   As propriedades do Cartão Inteligente e de outro tipo de certificado EAP


No Windows XP SP1, você pode especificar os nomes dos servidores que devem autenticar o cliente sem fio em Conectar a esses servidores das propriedades do Cartão Inteligente ou de outro tipo de Certificado EAP. Os nomes dos servidores devem corresponder aos nomes nos servidores de autenticação ou ocorrerá falha de autenticação. A Figura 3  mostra as propriedades padrão do Cartão Inteligente e de outro tipo de certificado EAP para o Windows XP SP1.

Bb457017.image009(pt-br,TechNet.10).gif

Figura 3   As propriedades do Cartão Inteligente e de Outro tipo de certificado EAP para o Windows XP SP1 e posterior


Para solução de problemas gerais de cliente sem fio do Windows XP, consulte o artigo da Base de Conhecimentos da Microsoft  313242, "How to Troubleshoot Wireless Network Connections in Windows XP".

Ferramentas para Solução de Problemas em AP sem Fio

As ferramentas para solução de problemas em AP sem fio variam conforme o conjunto de ferramentas e software de gerenciamento fornecido com o AP sem fio. Por exemplo :

  • Alguns APs sem fio fornecem ferramentas de análise de força de sinal que você pode usar para solucionar problemas com sinal fraco e área de cobertura.

  • Um AP sem fio também pode fornecer um recurso PING para verificar o seu alcance usando protocolos sem fio padrão ou proprietários.

  • Um AP sem fio também pode oferecer suporte a Simple Network Management Protocol (SNMP) e 802.11 Management Information Base (MIB)

Consulte a documentação fornecida com o AP sem fio para mais informações sobre ferramentas e técnicas de solução de problemas de APs sem fio.

Ferramentas para Solução de Problemas de IAS

Para ajudá-lo a reunir informações para solucionar problemas com o IAS, as ferramentas de solução de problemas a seguir estão disponíveis:

  • Log de Eventos IAS e Visualizar Eventos

  • Monitor de Rede

  • Rastreamento

  • Serviço SNMP

  • Contadores do Monitor de Sistema

Log de Eventos e Visualizador de Eventos do IAS

Para solucionar problemas de tentativas de autenticação de IAS no log de eventos do sistema, certifique-se de que o log de eventos esteja ativado para todos os tipos de eventos do IAS (eventos de autenticação rejeitados, descartado e bem-sucedidos). Ele é ativado por padrão na guia Serviço para as propriedades de um servidor IAS no snap-in Serviço de Autenticação da Internet .

Aqui está um exemplo da descrição de um evento de autenticação bem-sucedido (Fonte: IAS, ID de evento: 1):


   O usuário cliente@exemplo.com teve acesso concedido.


    Fully-Qualified-User-Name = example.com/Users/Client


    NAS-IP-Address = 10.7.0.4


    NAS-Identifier = <not present> 


    Client-Friendly-Name = Building 7 Wireless AP


    Client-IP-Address = 10.7.0.4


    NAS-Port-Type = Wireless-IEEE 802.11


    NAS-Port = 6


    Policy-Name = Wireless Remote Access Policy


    Authentication-Type = EAP


    EAP-Type = Smart Card or other Certificate 

Eventos de autenticação com falhas são Fonte: IAS,  ID de Evento: 2.

Visualizar as tentativas de autenticação nesse log é útil para solucionar problemas nas diretivas de acesso remoto. Quando tem múltiplas diretivas de acesso remoto configuradas, você pode usar o log de eventos de sistema para determinar o nome da diretiva de acesso remoto que aceitou ou rejeitou a tentativa de conexão. (consulte Policy-Name na descrição do evento). Ativar o log de eventos IAS e ler o texto dos eventos de autenticação IAS no log de eventos do sistema é a melhor forma de solucionar problemas de falhas em autenticação IAS .

Monitor de Rede

Você pode usar o Monitor de Rede, disponível nas famílias do Microsoft Systems Management Server ou do Windows 2000 Server e do Windows Server 2003, ou um analisador de pacote comercial (também conhecido como sniffer de rede), para capturar e exibir a autenticação RADIUS e contabilizar mensagens que são enviadas de/para o servidor IAS. O Monitor de Rede inclui um analisador de RADIUS, que você pode usar para ver os atributos de uma mensagem de RADIUS e solucionar problemas de conexão .

Rastreamento

O Windows 2000 tem um recurso de rastreamento extenso que pode ser usado para solucionar problemas complexos em componentes específicos. Você pode permitir que os componentes no Windows 2000 Server registrem informações de rastreamento para arquivos usando o comando Netsh ou através do registro .

Ativando o Rastreamento com Netsh

Você pode usar o comando Netsh para ativar e desativar os componentes específicos ou para todos os componentes. Para ativar e desativar rastreamento para um componente específico, use a sintaxe a seguir:

netsh ras set tracing Componente enabled|disabled

onde Componente é um componente na lista de componentes localizada no registro do Windows 2000 em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing. Por exemplo, para ativar o rastreamento do componente IASRAD, o comando é:

netsh ras set tracing iasrad enabled

Para ativar o rastreamento para todos os componentes, use o comando a seguir:

netsh ras set tracing * enabled

Os componentes mais úteis para rastreamento de autenticações EAP-TLS são os seguintes:

  • IASHLPR (o arquivo Iashlpr.log na pasta SystemRoot\tracing)

  • IASPIPE (o arquivo Iaspipe.log na pasta SystemRoot\tracing)

  • IASRAD (no arquivo Iasrad.log da pasta SystemRoot\tracing)

  • IASSAM (no arquivo Iassam.log na pasta SystemRoot\tracing)

  • IASSDO (no arquivo Iassdo.log na pasta SystemRoot\tracing)

  • IASUSERR (no arquivo Iasuserr.log na pasta SystemRoot\tracing)

  • RASTLS (no arquivo Rastls.log na pasta SystemRoot\tracing)

Os comandos netsh correspondentes são:

netsh ras set tracing iashlpr enabled

netsh ras set tracing iaspipe enabled

netsh ras set tracing iasrad enabled

netsh ras set tracing iassam enabled

netsh ras set tracing iassdo enabled

netsh ras set tracing iasuserr enabled

netsh ras set tracing rastls enabled

Ativar Rastreamento através do Registro

Você também pode ativar a função de rastreamento alterando as configurações no registro do Windows 2000 em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing.

É possível ativar o rastreamento de cada componentes definindo os valores de registro descritos posteriormente. Você pode ativar e desativar o rastreamento de componentes enquanto o serviço Roteamento e Acesso Remoto (RAS) está em execução. Cada componentes é capaz de rastrear e ser exibido como uma subchave da chave de registro precedente.

Para ativar o rastreamento de cada componente, você pode configurar as seguintes entradas de valor de registro para cada chave de protocolo:

EnableFileTracing REG_DWORD Sinalizador

Você pode ativar as informações de rastreamento de log para um arquivo definindo EnableFileTracing para 1. O valor padrão é 0.

FileDirectory REG_EXPAND_SZ caminho

Você pode alterar o local padrão dos arquivos de rastreamento definindo Caminho para o caminho desejado. O nome do arquivo de registro é o nome do componente para o qual o rastreamento está ativado. Por padrão, os arquivos de registro são colocados na pasta SystemRoot\Tracing.

FileTracingMask REG_DWORD Nível das Informações de Rastreamento Registradas

FileTracingMask determina que informações de rastreamento são registradas no arquivo. O valor padrão é a máscara máxima de 0xFFFF0000.

MaxFileSize REG_DWORD Tamanho do Arquivo de Registro

Você pode alterar o tamanho máximo do arquivo de registro definindo valores diferentes para o MaxFileSize. O valor padrão é 0x10000 (64K).

O rastreamento consome recursos do sistema e deve ser usado com cautela para ajudar a identificar os problemas de rede. Após o rastreamento ser capturado ou o problema ser identificado, você deve desativar o rastreamento imediatamente. Não deixe o rastreamento ativado nos computadores do multiprocessador.

Serviços SNMP

Você pode usar o serviço SNMP (Simple Network Management Protocol) para monitorar informações de status para o seu servidor IAS. O IAS oferece suporte ao Servidor de Autenticação de RADIUS MIB (RFC 2619) e o Servidor de Estatística RADIUS MIB (RFC 2621).

Contadores do Monitor do Sistema

Você pode usar o Monitor do Sistema para monitorar o uso dos recursos de componentes e processos específicos do programa. Com o Monitor do Sistema, é possível usar os gráficos e relatórios para determinar com que grau de eficiência o seu servidor usa o ISA e, identificar e solucionar problemas em potencial.

Você pode usar o Monitor do Sistema para monitorar os objetos de desempenho relacionados ao IAS:

  • Cliente de Estatística IAS

  • Servidor de Estatística IAS

  • Cliente de Autenticação IAS

  • Servidor de Autenticação IAS

Solucionar Problemas de Autenticação e Autorização IAS

Para solucionar os problemas mais comuns de autenticação e autorização de IAS, verifique o seguinte:

  • O AP sem fio pode ter acesso aos servidores IAS.

    Para testar isso, tente fazer o ping do endereço IP da porta não controlada do AP sem fio a partir dos servidores IAS. Além disso, certifique-se de que as diretivas de IPSec, os filtros de pacote IP e outros mecanismos que restringem o tráfego de rede não estejam impedindo a troca de mensagens de RADIUS (portas UDP 1812 e 1813) entre o AP sem fio e seus servidores IAS configurados.

  • Cada par de servidor IAS/AP sem fio está configurado com um segredo compartilhado em comum.

  • Os servidores IAS podem acessar o servidor do Catálogo Global e um controlador de domínio do Active Directory

  • As contas dos servidores IAS são membros do grupo de Servidores IAS e RAS dos domínios apropriados.

  • A conta de usuário ou computador não está bloqueada, expirada, desativada ou o horário em que a conexão está sendo feita corresponde a um horário de logon permitido.

  • A conta de usuário não foi bloqueada pelo bloqueio de conta de acesso remoto.

    O bloqueio da conta de acesso remoto é um mecanismo de contabilização de autenticação e bloqueio criado para evitar um ataque de dicionário on-line a uma senha de usuário. Para mais i nformações, consulte "Bloqueio de Acesso Remoto” no Serviço de Autenticação da Internet para o Windows 2000".

  • A conexão é autorizada. Para autorização, os parâmetros da tentativa de conexão devem:
    • Atender a todas as condições de, pelo menos, uma diretiva de acesso remoto.

    • Ter permissão de acesso remoto através da conta de usuário (definida para Permitir acesso) ou, se a conta de usuário tiver a opção Controlar acesso através de diretiva de acesso remoto selecionada, a permissão de acesso remoto da primeira diretiva de acesso remoto correspondente deve ter a opção Conceder permissões de acesso remoto selecionada.

    • Corresponder a todas as configurações do arquivo.

    • Corresponder a todas as configurações de propriedades de discagem da conta de usuário ou computador.

    Para obter o nome da diretiva de acesso remoto que rejeitou a tentativa de conexão, certifique-se de que o registro de eventos IAS esteja ativo e procure eventos que tenham IAS como origem com o ID de Evento definido para 2. No texto da mensagem de evento, procure o nome da diretiva de acesso remoto no campo Policy-Name.

  • Se você tiver acabado de trocar o seu domínio Active Directory do modo combinado para o modo nativo, os servidores IAS não poderão mais autenticar as solicitações de conexão válidas. Você terá que reiniciar todos os controladores de domínio no domínio para a alteração ser duplicada.

Validando o Certificado de Cliente sem Fio

Para o servidor IAS validar o certificado do cliente sem fio, as seguintes afirmações devem ser verdade para cada certificado na cadeia de certificados enviada pelo cliente sem fio:

  • A data atual deve estar dentro das datas de validade do certificado.

    Quando os certificados são emitidos, eles são emitidos com um intervalo de datas válidas, antes do qual eles não podem ser usados e após o qual são considerados expirados.

  • O certificado não foi revogado.

    Os certificados emitidos podem ser revogados a qualquer momento. Cada Autoridade de Certificação mantém uma lista de certificados que não devem mais ser considerados válidos publicando uma lista de revogação de certificados (CRL) atualizada. Por padrão, o servidor IAS verifica todos os certificados na cadeia de certificados do cliente sem fio (as séries de certificados do certificado do cliente sem fio até a Autoridade de Certificação raiz) para revogação. Se algum dos certificados na cadeia tiver sido revogado, a validação do certificado falha. Esse comportamento pode ser modificado com configurações de registros descritas posteriormente neste tópico.

    Para exibir os pontos de distribuição da CRL de um certificado no snap-in Certificados, obtenha as propriedades do certificado, clique na guia Detalhes e, em seguida, clique no campo Pontos de Distribuição da CRL.

    O bom funcionamento da validação da revogação de certificados depende do bom funcionamento do sistema de distribuição e publicação da CRL. Se a CRL de um certificado não for atualizada com freqüência, um certificado que foi revogado pode continuar sendo usado e considerado válido porque a CRL publicada que o servidor IAS está verificando está desatualizada.

  • O certificado tem uma assinatura digital válida.

    As Autoridades Certificadoras assinam o certificado que emitem. O servidor IAS verifica a assinatura digital de cada certificado na cadeia, com exceção do certificado da Autoridade Certificadora raiz, obtendo a chave pública da Autoridade Certificadora que emite o certificado e validando matematicamente a assinatura digital.

O certificado do cliente sem fio também teve ter o mesmo objetivo do certificado de Autenticação de Cliente (também conhecido como Enhanced Key Usage [EKU]) (OID 1.3.6.1.5.5.7.3.2) e deve conter um UPN de uma conta de usuário válida ou FQDN de conta de computador válido para a propriedade Nome Alternativo de Assunto do certificado.

Para exibir o EKU de um certificado no snap-in Certificados (para Windows XP e Windows 2000), clique duas vezes no certificado no painel de conteúdo, clique na guia Detalhes e depois no campo Uso de chave avançado. Para exibir a propriedade do nome alternativo do assunto de um certificado no snap-in Certificados, clique duas vezes no certificado no painel de conteúdo, clique na guia Detalhes e depois clique no campo Nome alternativo do assunto.

Finalmente, para confiar na cadeia de certificados oferecida pelo cliente sem fio, o Servidor IAS deve ter o certificado da Autoridade de Certificação raiz emissora instalado no armazenamento de Autoridades de Certificação Raiz Confiáveis.

Além disso, o servidor IAS verifica se a identidade enviada na mensagem de Resposta/Identidade EAP é igual ao nome da propriedade do certificado no Nome Alternativo de Assunto. Isso impede que um usuário mal intencionado finja ser um usuário diferente do especificado na mensagem de Resposta/Identidade EAP.

As seguintes configurações de registro em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 no servidor IAS podem modificar o comportamento do EAP-TLS ao executar a revogação de certificados:

  • IgnoreNoRevocationCheck

    Quando definido para 1, o IAS permite que os clientes EAP-TLS conectem-se mesmo quando não executa ou não consegue concluir uma verificação de revogação na cadeia de certificados do cliente (excluindo o certificado raiz). Normalmente, as verificações de revogação falham porque o certificado não inclui informações de CRL.

    IgnoreNoRevocationCheck é definido para 0 (desativado) por padrão. Um cliente EAP-TLS não consegue se conectar, a menos que o servidor complete a verificação de revogação da cadeia de certificados do cliente (incluindo o certificado raiz) e verifique que nenhum dos certificados foi revogado.

    Você pode usar essa entrada para autenticar clientes quando o certificado não inclui pontos de distribuição de CRL, como os de terceiros.

  • IgnoreRevocationOffline

    Quando definido para 1, o IAS permite que clientes EAP-TLS se conectem mesmo quando o servidor que armazena uma CRL não está disponível na rede. IgnoreRevocationOffline é definido para 0 por padrão. O IAS não permite que clientes sejam conectados, a menos que ele consiga concluir uma verificação de revogação da sua cadeia de certificados e verifique que nenhum dos certificados foi revogado. Quando ele não consegue se conectar a um servidor que armazena uma lista de revogação, o EAP-TLS considera que o certificado falhou na verificação da revogação.

    Definir IgnoreRevocationOffline para 1 impede falha na validação de certificado decorrente de condições de rede inadequadas que prejudiquem a verificação da revogação.

  • NoRevocationCheck

    Quando definido para 1, o IAS impede que o EAP-TLS execute uma verificação de revogação do certificado de cliente sem fio. A verificação de revogação verifica se o certificado do cliente sem fio e os outros certificados nessa cadeia de certificados não foram revogados. NoRevocationCheck é definido para 0 por padrão.

  • NoRootRevocationCheck

    Quando definido para 1, o IAS impede que o EAP-TLS execute uma verificação de revogação de certificado da Autoridade Certificadora raiz do cliente sem fio. NoRootRevogationCheck é definido para 0 por padrão. Essa entrada só elimina a verificação de revogação do certificado da Autoridade Certificadora raiz. Uma verificação de revogação continua sendo executada no restante da cadeia de certificados do cliente sem fio.

    Você pode usar essa entrada para autenticar clientes quando o certificado não inclui pontos de distribuição de CRL, como os de terceiros. Além disso, essa entrada pode evitar atrasos relacionados à certificação que ocorrem quando uma lista de revogação de certificados está offline ou expira.

Todas essas configurações de registro devem ser adicionadas a um tipo DWORD e têm os valores válidos de 0 ou 1. O cliente sem fio não usa essas configurações.

Validando as Credenciais MS-CHAP v2 do Cliente sem Fio

Quando você estiver usando o PEAP/MS-CHAP v2 para autenticação, em vez do EAP-TLS, o nome do usuário e a senha enviados pelo cliente sem fio devem corresponder às credenciais de uma conta de usuário válida. O êxito na validação das credenciais MS-CHAP v2 pelo servidor IAS depende do seguinte:

  • A parte do domínio do nome do usuário corresponde a um domínio do servidor IAS ou a um domínio que tenha confiança bilateral com o domínio do servidor IAS.

  • A parte de nome da conta no nome do usuário corresponde a uma conta válida no domínio.

  • A senha é a senha correta para a conta.

Para verificar as credenciais, faça o usuário do cliente sem fio fazer o login no seu domínio usando um computador  que já esteja conectado na rede, como uma conexão Ethernet (se possível).

Validando o Certificado do Servidor IAS

Para o cliente sem fio validar o certificado do servidor IAS para autenticação EAPTLS ou PEAP/CHAP-v2, os seguintes itens devem ser verdadeiros para todos os certificados na cadeia de certificados enviados pelo servidor IAS:

  • A data atual deve estar dentro das datas de validade do certificado.

    Quando os certificados são emitidos, eles têm um intervalo de datas válidas, antes do qual eles não podem ser usados e após o qual são considerados expirados.

  • O certificado tem uma assinatura digital válida.

    As Autoridades Certificadoras assinam o certificado que emitem. O cliente sem fio verifica a assinatura digital de cada certificado na cadeia, com a exceção do certificado da Autoridade Certificadora raiz, obtendo a chave pública da Autoridade Certificadora que emite o certificado e validando matematicamente a assinatura digital.

Além disso, o certificado do computador do servidor IAS deve ter o EKU de Autenticação de Servidor (OID 1.3.6.1.5.5.7.3.1). Para exibir o EKU de um certificado no snap-in Certificados, clique duas vezes no certificado no painel de conteúdo, clique na guia Detalhes e depois clique no campo Uso de chave avançada.

Finalmente, para confiar na cadeia de certificados oferecida pelo Servidor IAS, o cliente sem fio deve ter o certificado da Autoridade Certificadora raiz emissora do Servidor IAS instalado no armazenamento de Autoridades de Certificação Raiz Confiáveis.

Observe que o cliente sem fio não executa revogação de certificado verificando os certificados na cadeia do certificado do computador do servidor IAS. Ele pressupõe que o cliente sem fio ainda não tem uma conexão física à rede e, portanto, não pode acessar uma página na Web ou outro recurso para verificar a revogação do certificado.

Resumo

Este artigo descreve as várias ferramentas e técnicas para solucionar problemas em conexões IEEE 802.11b sem fio. Para o Windows XP, use as informações em Conexões de Rede e no recurso de rastreamento. Para APs sem fio, use os recursos de solução de problemas do AP. Para IAS, use o log de eventos, estatísticas do registro, Monitor de Rede e o recurso de rastreamento. Para solucionar problemas de validação do IAS e de certificados, use as listas e informações fornecidas nesse artigo.

Links Relacionados

Consulte os recursos a seguir para mais informações:


Para as últimas informações sobre o Windows XP, consulte o Site do Windows XP na Web.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft