Microsoft Windows XP 的 IEEE 802.11 無線存取疑難排解

Microsoft Windows XP 的 IEEE 802.11 無線存取疑難排解

發佈日期: 2007 年 3 月 19 日 | 更新日期: 2008 年 1 月 3 日

摘要

本文說明使用美國電機電子工程師學會 (IEEE) 802.1X 驗證進行 IEEE 802.11 型無線連線時,用來疑難排解 Microsoft® Windows® XP 或 Windows Server® 2003 型無線用戶端、無線存取點 (AP) 及網際網路驗證服務 (IAS) 的工具。也一併說明 IAS 驗證和授權、憑證內容以及無線用戶端和 IAS 伺服器憑證兩者之憑證驗證處理程序等最常見的問題。

本文採用 IEEE 802.11 無線區域網路的背景知識,以及 Windows 型驗證基礎結構的相關安全性技術和元件。如需背景資訊,請參閱無線區域網路技術和 Microsoft Windows。如需 Windows 型驗證基礎結構的詳細資訊,請參閱無線部署技術和元件概觀 (英文)。如需如何使用 IEEE 802.1X 驗證部署無線區域網路的詳細資訊,請參閱使用 Microsoft Windows 進行受保護 802.11 網路部署 (英文)。

如需如何疑難排解未使用 802.1X 驗證之無線網路上無線連線的相關資訊,請參閱小型辦公室或家庭辦公室的 Microsoft Windows XP 型無線網路疑難排解 (英文)。

本頁內容

Windows 中的疑難排解工具
無線 AP 疑難排解工具
IAS 疑難排解工具
IAS 驗證和授權疑難排解
摘要
相關連結

Windows 中的疑難排解工具

用來進行 Windows XP 和 Windows Server 2003 無線連線疑難排解的工具,是 [網路連線] 資料夾和追蹤。

網路連線資料夾

[網路連線] 資料夾和通知區域圖示提供驗證狀態的資訊。如果驗證需要使用者的額外資訊 (例如選取多個使用者憑證的其中一個使用者憑證),則會出現球形文字說明,指示使用者如何進行。在 [網路連線] 資料夾內,與無線網路介面卡對應之連線名稱下的文字會指出連線狀態。

圖 1 顯示 Windows XP [網路連線] 資料夾中可用的無線連線資訊。

網路連線中的無線網路連線

圖 1:網路連線中的無線網路連線

在 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 (含 Service Pack 1) 中,已增強無線連線的修復功能。而修復功能的存取可以透過連線的 [修復] 內容功能表選項,或連線之 [狀態] 對話方塊的 [支援] 索引標籤上的 [修復] 按鈕。修復無線連線時,會先停用無線連線,再重新啟用無線連線,這樣可清除無線網路介面卡的許多錯誤狀況。

執行 Windows XP (含 SP2) 或 Windows Server 2003 (含 Service Pack 1) 的無線用戶端嘗試進行無線連線時,會歷經下列驗證狀態,這些狀態就是 [網路連線] 資料夾、新無線連線 [狀態] 對話方塊以及 [無線網路連線] 對話方塊中的無線連線狀態:

  • 正在驗證身分識別 需要有認證才能連線至無線網路。

  • 正在嘗試驗證 正在與無線網路交換認證,以驗證無線連線。

  • 驗證失敗 用來連線至無線網路的認證無效,因此驗證失敗。

  • 已連線 用來連線至無線網路的認證有效。

驗證成功之後,執行 Windows XP (含 SP2) 或 Windows Server 2003 (含 Service Pack 1) 的無線用戶端會嘗試取得有效 IP 位址設定,並歷經下列狀態,這些狀態就是 [網路連線] 資料夾、新無線連線 [狀態] 對話方塊以及 [無線網路連線] 對話方塊中的無線連線狀態:

  • 正在取得網路位址 正在使用動態主機設定通訊協定 (DHCP) 取得 IP 位址設定。

  • 有限的或沒有連線能力 尚未連線 DHCP 伺服器,但已指派 169.254.0.0/16 範圍的自動私人 IP 位址 (APIPA) 位址。無線臨機操作網路 (一般不會有 DHCP 伺服器) 不會顯示此狀態。而是將連線狀態顯示為 [已連線]。

  • 已連線 已連線 DHCP 伺服器,且已取得有效 IP 位址設定。

這些加強功能可以將無線連線 (從初始關聯到配置有效 IP 位址) 進行的相關資訊提供給使用者和網路疑難排解人員。

如果無線連線取得 APIPA 位址,則 Windows XP (含 SP2) 和 Windows Server 2003 (含 Service Pack 1) 會在桌面的通知區域中顯示下列訊息以提出警告:「連線受到限制或缺乏連線能力。您可能無法存取網際網路或某些網路資源。如需相關資訊,請按一下此訊息。」按一下該訊息時,Windows 會顯示無線連線之 [狀態] 對話方塊的 [支援] 索引標籤,您可以在此索引標籤中檢視其他詳細資料或嘗試修復連線。

此外,當您取得連線的狀態時,也可以檢視 [一般] 索引標籤上的訊號強度,以及檢視 [支援] 索引標籤上的 IP 位址設定。如果無線介面卡具有自動私人 IP 位址 (APIPA) 位址 (169.254.0.0/16) 或設定的替代 IP 位址,則表示驗證已失敗,而 Windows 型無線用戶端仍然與無線 AP 相關聯。如果驗證失敗但關聯仍然存在,則會啟用無線介面卡,而 TCP/IP 會執行它的一般設定處理程序。如果找不到 DHCP 伺服器,則會自動設定 APIPA 或替代位址。

追蹤

若要取得 Windows XP SP2 或 Windows Server 2003 (含 Service Pack 1) 之 Wireless Zero Configuration 服務以及所有 Windows XP 或 Windows Server 2003 版本之 EAP 驗證處理程序的詳細資訊,則必須在命令提示字元中輸入 netsh ras set tracing * enabled 以啟用追蹤。

若要取得 Wireless Zero Configuration 服務如何將執行 Windows XP (含 SP2) 或 Windows Server 2003 (含 Service Pack 1) 的電腦連線至無線網路的詳細資訊,請再次嘗試無線連線,並檢視 SystemRoot\Tracing 資料夾中的 Wzcdlg.log 和 Wzctrace.log 檔案。如需 Wzcdlg.log 和 Wzctrace.log 檔案內容的詳細資訊,請參閱無線診斷和疑難排解的支援指南 (英文)。

若要取得 EAP 驗證處理程序的詳細資訊,請再次嘗試驗證處理程序,並檢視 SystemRoot\Tracing 資料夾中的 Eapol.log 和 Rastls.log 檔案。如需 Eapol.log 檔案內容的詳細資訊,請參閱無線診斷和疑難排解的支援指南 (英文)。

若要停用追蹤,請在命令提示字元中輸入 netsh ras set tracing * disabled

如需追蹤的相關資訊,請參閱本文的<IAS 疑難排解工具>。

伺服器名稱

圖 2 Windows XP SP1 和更新版本之智慧卡和其他憑證 EAP 類型的內容

如果是 Windows XP (含 SP1)、Windows XP (含 SP2) 或 Windows Server 2003,則可以在 [連線到這些伺服器] 中指定必須驗證無線用戶端的伺服器名稱,而 [連線到這些伺服器] 位於無線網路內容之 [驗證] 索引標籤的 [智慧卡或其他憑證] EAP 類型內容中。伺服器名稱必須符合驗證伺服器的名稱,否則驗證會失敗。圖 2 顯示 Windows XP (含 SP1)、Windows XP (含 SP2) 和 Windows Server 2003 之智慧卡和其他憑證 EAP 類型的預設內容。

圖 2:Windows XP (含 SP1)、Windows XP (含 SP2) 和 Windows Server 2003 之智慧卡和其他憑證 EAP 類型的內容

如果是未安裝 Service Pack 的 Windows XP,則無線用戶端正在驗證伺服器憑證 (預設為啟用) 且 [當伺服器名稱為下列結尾時進行連線] 字串不正確時,驗證會失敗。請從與無線區域網路網路介面卡對應之無線連線內容的 [驗證] 索引標籤中,檢查智慧卡和其他憑證 EAP 類型內容的此字串是否正確。圖 3 顯示未安裝 Service Pack 的 Windows XP 之智慧卡和其他憑證 EAP 類型的預設內容。

圖 3 智慧卡和其他憑證 EAP 類型的內容

圖 3:未安裝 Service Pack 之 Windows XP 的智慧卡和其他憑證 EAP 類型內容

如需 Windows XP 無線用戶端問題的一般疑難排解,請參閱Microsoft 知識庫文章 Q313242< 如何疑難排解 Windows XP 中的無線網路連線問題>

無線監視器嵌入式管理單元

如果是 Windows Server 2003 型無線用戶端,則可以使用新的 [無線監視器] 嵌入式管理單元,來檢視無線 AP 和無線用戶端事件資訊。

無線 AP 疑難排解工具

用來疑難排解無線 AP 的工具,取決於無線 AP 所提供的工具集和管理軟體。例如:

  • 部分無線 AP 提供的訊號強度分析工具,可用來疑難排解低訊號強度和涵蓋區域問題。

  • 無線 AP 還可能會提供 PING 功能,以使用標準或專屬的無線通訊協定來檢查無線 AP 的連線能力。

  • 無線 AP 也可能會支援簡易網路管理通訊協定 (SNMP) 和 802.11 管理資訊庫 (MIB)。

如需疑難排解工具和技巧的相關資訊,請參閱無線 AP 所提供的文件。

IAS 疑難排解工具

下列疑難排解工具可協助您收集用來疑難排解 IAS 問題的資訊:

  • IAS 事件記錄和事件檢視器

  • 網路監視器

  • 網路監視器

  • SNMP 服務

  • 系統監視器計數器

IAS 事件記錄和事件檢視器

若要疑難排解系統事件日誌中的 IAS 驗證嘗試,請確定已啟用 IAS 事件之所有類型 (已拒絕、已捨棄和成功驗證事件) 的啟用事件記錄。在 [網際網路驗證服務] 嵌入式管理單元之 IAS 伺服器內容的 [服務] 索引標籤上,預設會啟用此項目。

下列是成功驗證事件描述的範例 (來源:IAS,事件識別碼:1):

User client@example.com was granted access. 
Fully-Qualified-User-Name = example.com/Users/Client 
NAS-IP-Address = 10.7.0.4 
NAS-Identifier = <not present>  
Client-Friendly-Name = Building 7 Wireless AP 
Client-IP-Address = 10.7.0.4 
NAS-Port-Type = Wireless-IEEE 802.11 
NAS-Port = 6 
Policy-Name = Wireless Remote Access Policy 
Authentication-Type = EAP 
EAP-Type = Smart Card or other Certificate

			  

失敗驗證事件是「來源:IAS,事件識別碼:2」。

檢視此日誌中的驗證嘗試,十分適合用來疑難排解遠端存取原則。設定多個遠端存取原則時,可以使用系統事件日誌來判斷已接受或已拒絕連線嘗試的遠端存取原則名稱 (請查看事件描述中的 [原則名稱])。啟用 IAS 事件記錄並讀取系統事件日誌中的 IAS 驗證事件文字,是疑難排解 IAS 驗證失敗的最佳工具。

網路監視器

您可以使用網路監視器 (提供於 Microsoft Systems Management Server 或 Windows Server 2003 中) 或是使用商業封包分析程式 (也稱為網路 Sniffer),以擷取並檢視傳送至 IAS 伺服器以及從 IAS 伺服器傳送的 RADIUS 驗證和帳戶處理訊息。網路監視器包含的 RADIUS 剖析器可用來檢視 RADIUS 訊息的屬性,以及進行連線問題的疑難排解。

追蹤

Windows Server 2003 具有的延伸追蹤功能,可用來疑難排解特定元件的複雜問題。您可以在 Windows Server 2003 中啟用元件,以使用 Netsh 命令針對特定元件或所有元件,將追蹤資訊記錄至檔案。若要啟用和停用特定元件的追蹤,請使用下列語法:

netsh ras set tracing Component enabled|disabled

其中 Component 是在登錄 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing 之下找到的元件清單中的元件。例如,若要啟用 IASRAD 元件的追蹤,則命令為:

netsh ras set tracing iasrad enabled

雖然您可以啟用個別元件的追蹤,但是一般較適合同時啟用所有元件的追蹤,然後查看開頭為 "IAS" 的記錄檔和 Rastls.log 檔案。

若要啟用所有元件的追蹤,請使用下列命令:

netsh ras set tracing * enabled

若要停用所有元件的追蹤,請使用下列命令:

netsh ras set tracing * disabled

產生的記錄檔會儲存在 Systemroot\tracing 資料夾中。

追蹤會耗用系統資源,因此應該謹慎使用以協助找出網路問題。擷取到追蹤或找出出問題之後,就應該立即停用追蹤。在多處理器電腦上,請不要讓追蹤保持在啟用狀態。

SNMP 服務

您可以使用簡易網路管理通訊協定 (SNMP) 服務,監視 IAS 伺服器的狀態資訊。IAS 支援 RADIUS 驗證伺服器 MIB (RFC 2619) 和 RADIUS 帳戶處理伺服器 MIB (RFC 2621)。

系統監視器計數器

您可以使用 [系統監視器] 來監視特定元件和程式處理程序使用的資源。有了 [系統監視器],就可以使用圖表和報告來判定伺服器使用 IAS 的效率,還可以同時找出並疑難排解潛在的問題。

您可以使用 [系統監視器] 來監視下列與 IAS 有關的效能物件:

  • IAS 帳戶處理用戶端

  • IAS 帳戶處理伺服器

  • IAS 驗證用戶端

  • IAS 驗證伺服器

IAS 驗證和授權疑難排解

若要疑難排解 IAS 驗證和授權最常見的問題,請確認下列各項:

  • 無線 AP 可以到達 IAS 伺服器。

    若要測試此作業,請嘗試從 IAS 伺服器偵測無線 AP 之未受控制連接埠的 IP 位址。此外,請確定 IPsec 原則、IP 封包篩選、防火牆和其他限制網路流量的機制,不會防止無線 AP 與其已設定的 IAS 伺服器之間交換 RADIUS 訊息 (UDP 連接埠 1812 和 1813)。

  • 每個 IAS 伺服器/無線 AP 配對都會設定通用共用密碼。

  • 如果您使用的是協力廠商憑證授權單位,則請確認 IAS 伺服器可以使用網際網路資源,以對它本身的電腦憑證和無線用戶端憑證執行憑證撤銷檢查。如需相關資訊,請參閱使用 Microsoft Windows 部署保護的 802.11 網路的<使用協力廠商 CA>(英文) 小節。

  • IAS 伺服器可以到達通用類別目錄伺服器和 Active Directory 網域控制站。

  • IAS 伺服器的電腦帳戶就是適當網域的 RAS and IAS Servers 群組成員。

  • 使用者或電腦帳戶未遭鎖定、未到期、未停用,或建立連線的時間對應於允許的登入時數。

  • 遠端存取帳戶鎖定尚未鎖定使用者帳戶。

    遠端存取帳戶鎖定是驗證計數和鎖定機制,目的是為防止對使用者密碼進行線上字典攻擊。

  • 連線已授權。如果是授權,則連線嘗試的參數必須:

    • 符合至少一個遠端存取原則的所有條件。

    • 透過使用者或電腦帳戶授與遠端存取權限 (設定為 [允許存取] ),或者,如果使用者或電腦帳戶已選取 [透過遠端存取原則來控制存取] 選項,則第一個符合遠端存取原則的遠端存取權限必須選取 [授與遠端存取使用權限] 選項。

    • 符合設定檔的所有設定。

    • 符合使用者或電腦帳戶的所有撥入內容設定。

    若要取得已拒絕連線嘗試的遠端存取原則名稱,請確定啟用 IAS 事件記錄,並尋找將 IAS 做為來源且事件識別碼設定為 2 的事件。在事件訊息的文字中,尋找 [原則名稱] 欄位旁邊的遠端存取原則名稱。

  • 如果您剛剛才將 Active Directory 網域從混合模式變更為原生模式,則 IAS 伺服器可能無法再驗證有效的連線要求。您必須重新啟動網域中的每個網域控制站,才能複寫變更。

驗證無線用戶端的憑證

為了要讓 IAS 伺服器驗證無線用戶端的憑證,無線用戶端所傳送之憑證鏈結中每個憑證的下列各項都必須為真:

  • 目前日期必須是在憑證的有效日期內。

    發出憑證時,也會同時發出有效日期範圍,憑證在此日期範圍之前無法使用,而在此日期範圍之後則視為過期。

  • 憑證不可以予以撤銷。

    發出的憑證隨時都可以進行撤銷。每個發出 CA 都會發行最新憑證撤銷清單 (CRL),以維護不應該再視為有效的憑證清單。根據預設,IAS 伺服器會檢查無線用戶端的憑證鏈結 (從無線用戶端憑證到根 CA 的一連串憑證) 中的所有憑證,以進行撤銷。如果鏈結中的任何憑證已遭撤銷,則憑證憑證會失敗。本文稍後會說明如何使用登錄設定來修改此行為。

    若要在憑證嵌入式管理單元中檢視憑證的 CRL 發佈點,請取得憑證內容,並按一下 [詳細資料] 索引標籤,然後按一下 [CRL 發佈點] 欄位。

    只有 CRL 發行和發佈系統才適用憑證撤銷驗證。如果未經常更新憑證中的 CRL,則因為 IAS 伺服器檢查的已發行 CRL 過期,所以已撤銷的憑證可能仍然可以使用且視為有效。

    如需憑證撤銷的相關資訊,請參閱憑證狀態和撤銷疑難排解 (英文)。

  • 憑證具有有效的數位簽章。

    CA 會數位簽署它們所發出的憑證。而 IAS 伺服器會從憑證的發出 CA 取得公開金鑰,並以數學運算方式驗證數位簽章,確認鏈結中每個憑證的數位簽章 (不含根 CA 憑證)。

無線用戶端憑證也必須要有用戶端驗證憑證用途 (也稱為「增強金鑰使用方法」[EKU]) (OID 1.3.6.1.5.5.7.3.2),且必須包含憑證之 [主體別名] 內容的有效使用者帳戶的 UPN 或有效電腦帳戶的 FQDN。

若要在憑證嵌入式管理單元中檢視憑證的 EKU,請按兩下內容窗格中的憑證,並按一下 [詳細資料] 索引標籤,然後按一下 [增強金鑰使用方法] 欄位。若要在憑證嵌入式管理單元中檢視憑證的主體別名內容,請按兩下內容窗格中的憑證,並按一下 [詳細資料] 索引標籤,然後按一下 [主體別名] 欄位。

最後,若要信任無線用戶端所提供的憑證鏈結,則 IAS 伺服器必須要在其信任根憑證授權存放區中,安裝無線用戶端憑證之發出 CA 的根 CA 憑證。

此外,IAS 伺服器會確認 EAP 回應/身分識別訊息中所傳送的身分識別,與憑證之 [主體別名] 內容中的名稱相同。這樣可防止惡意使用者偽裝成 EAP 回應/身分識別訊息中指定的不同使用者。

IAS 伺服器之 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 中的下列登錄設定可以修改 EAP-TLS 在執行憑證撤銷時的行為:

  • IgnoreNoRevocationCheck

    設定為 1 時,即使未執行或無法完成用戶端憑證鏈結 (不含根憑證) 的撤銷檢查,IAS 還是會允許 EAP-TLS 用戶端連線。一般而言,因為憑證未含 CRL 資訊,所以撤銷檢查會失敗。

    IgnoreNoRevocationCheck 預設為 0 (停用)。除非伺服器完成用戶端憑證鏈結 (含根憑證) 的撤銷檢查,並確認未撤銷任何憑證,否則 EAP-TLS 用戶端無法連線。

    憑證未含 CRL 發佈點 (例如來自協力廠商的發佈點) 時,您可以使用此項目來驗證用戶端。

  • IgnoreRevocationOffline

    設定為 1 時,即使網路上沒有儲存 CRL 的伺服器,IAS 還是會允許 EAP-TLS 用戶端進行連線。IgnoreRevocationOffline 預設為 0。除非完成用戶端憑證鏈結的撤銷檢查,並確認未撤銷任何憑證,否則 IAS 不允許用戶端連線。用戶端無法連線至儲存撤銷清單的伺服器時,EAP-TLS 會將憑證視為撤銷檢查失敗。

    為避免因網路狀況不佳而導致其撤銷檢查無法順利完成,您可以將 IgnoreRevocationOffline 設定為 1 來防止憑證驗證失敗。

  • NoRevocationCheck

    設定為 1 時,IAS 會讓 EAP-TLS 無法執行無線用戶端憑證的撤銷檢查。撤銷檢查會確認無線用戶端的憑證,且尚未撤銷其憑證鏈結中的憑證。NoRevocationCheck 預設為 0。

  • NoRootRevocationCheck

    設定為 1 時,IAS 會讓 EAP-TLS 無法執行無線用戶端根 CA 憑證的撤銷檢查。NoRootRevocationCheck 預設為 0。此項目只會排除用戶端根 CA 憑證的撤銷檢查。撤銷檢查仍然會在無線用戶端憑證鏈結的其餘憑證上執行。

    憑證未含 CRL 發佈點 (例如來自協力廠商的發佈點) 時,您可以使用此項目來驗證用戶端。此項目也可以防止在憑證撤銷清單離線或到期時發生的憑證相關延遲。

您必須將這些登錄設定全部都新增為 DWORD 類型,而且有效值必須為 0 或 1。無線用戶端不會使用這些設定。

驗證無線用戶端的 MS-CHAP v2 憑證

使用 PEAP-MS-CHAP v2 進行驗證時,無線用戶端所傳送的名稱和密碼必須符合有效使用者或電腦帳戶的認證。IAS 伺服器進行的成功 MS-CHAP v2 認證驗證取決於下列各項:

  • 帳戶名稱的網域部分對應於 IAS 伺服器的網域,或與 IAS 伺服器網域具有雙向信任的網域。

  • 帳戶名稱的帳戶名稱部分對應於網域中的有效帳戶。

  • 密碼即為帳戶的正確密碼。

若要確認使用者認證,請讓無線用戶端的使用者使用已連線至網路的電腦 (例如使用乙太網路連線 (如果可能)) 登入至他們的網域。

驗證 IAS 伺服器的憑證

若要讓無線用戶端驗證 IAS 伺服器憑證,以進行 EAP-TLS 或 PEAP-MS-CHAP v2 驗證,則 IAS 伺服器所傳送之憑證鏈結中的每個憑證的下列各項都必須為真:

  • 目前日期必須是在憑證的有效日期內。

  • 憑證具有有效的數位簽章。

此外,IAS 伺服器電腦憑證必須要有伺服器驗證 EKU (OID 1.3.6.1.5.5.7.3.1)。若要在憑證嵌入式管理單元中檢視憑證的 EKU,請按兩下內容窗格中的憑證,並按一下 [詳細資料] 索引標籤,然後按一下 [增強金鑰使用方法] 欄位。

最後,若要信任 IAS 伺服器所提供的憑證鏈結,則無線用戶端必須要在其信任根憑證授權存放區中,安裝 IAS 伺服器憑證之發出 CA 的根 CA 憑證。

請注意,無線用戶端尚未執行 IAS 伺服器電腦憑證之憑證鏈結中憑證的憑證撤銷檢查。這項假設是無線用戶端還沒有與網路進行實體連線,因此無法存取網頁或其他資源,以檢查憑證撤銷。

摘要

本文說明用來疑難排解 802.1X 驗證之 IEEE 802.11 無線連線的各種工具和技巧。如果是 Windows XP 和 Windows Server 2003 型無線用戶端,請使用 [網路連線] 中的資訊和追蹤功能。如果是 Windows Server 2003 型無線用戶端,請使用 [無線監視器] 嵌入式管理單元。如果是無線 AP,請使用 AP 的疑難排解功能。如果是 IAS,請使用事件記錄、帳戶處理記錄、網路監視器和追蹤功能。

相關連結

請參閱下列資源,以取得進一步資訊:

顯示: