熱點推薦:
您现在的位置: 電腦知識網 >> 電腦故障 >> 正文

WindowsXPIEEE802.11無線訪問故障排除

2013-11-12 00:03:09  來源: 電腦故障 

  Windows XP 故障排除工具
  
  Windows XP 中用於診斷無線連接的工具是網絡連接文件夾和跟蹤
  
  網絡連接文件夾
  
  網絡連接文件夾和 Windows XP 通知圖標提供了關於身份驗證狀態的信息 如果某次身份驗證需要用戶提供附加信息比如從多個用戶證書中作出選擇則會顯示一個文本氣球來通知用戶網絡連接文件夾中對應於無線網絡適配器的連接名稱下面的文本指明了該連接的狀態
  
  圖 顯示了對 Windows XP網絡連接文件夾中的某個無線連接可用的信息
  

 
  圖 網絡連接文件夾中的一個無線網絡連接

  在 Windows XP Service Pack (SP) 中修復功能已經針對無線連接作了增強 您可以通過無線連接的修復上下文菜單選項或通過某個連接的狀態對話框的支持選項卡上的修復按鈕來訪問修復功能 當您修復某個無線連接時它將被禁用然後再被啟用這樣可以清除無線網絡適配器上的許多錯誤
  
  當運行 Windows XP 的無線客戶端嘗試建立無線連接時它將經歷以下身份驗證狀態這些狀態在網絡連接文件夾和新的無線連接狀態對話框以及無線網絡連接對話框中表示為該無線連接的狀態
  
  正在驗證身份需要用於連接到無線網絡的憑據
  
  正在嘗試身份驗證 正在與無線網絡交換憑據以便對無線連接進行身份驗證
  
  身份驗證沒有成功 用於連接到無線網絡的憑據無效身份驗證失敗
  
  已連接 用於連接到無線網絡的憑據有效
  
  在身份驗證成功之後運行 Windows XP SP 的無線客戶端就會嘗試獲得一個有效的 IP 地址配置並經歷下列狀態這些狀態在網絡連接文件夾和新的無線連接狀態對話框以及無線網絡連接對話框中表現為該無線連接的狀態
  
  正在獲取網絡地址 正在使用動態主機配置協議 (DHCP) 來獲得 IP 地址配置
  
  受限或沒有連接 無法聯系到 DHCP 服務器並且被分配到一個 / 范圍內的自動專用 IP 尋址(APIPA) 地址 無線特定 (adhoc) 網絡不會顯示這個狀態這些網絡通常沒有 DHCP 服務器 相反無線特定網絡連接的狀態將顯示為已連接
  
  已連接 已聯系到 DHCP 服務器並獲得一個有效的 IP 地址配置
  
  這些改進為用戶和網絡故障排除人員提供了關於無線連接進展情況(從最初的聯系到有效 IP 地址的分配)的更多信息
  
  如果無線連接獲得一個 APIPA 地址Windows XP SP 將使用如下消息在桌面通知區域發出警告該連接受限或沒有連接 您可能無法訪問 Internet 或某些網絡資源 有關更多信息請單擊這個消息 當您單擊這個消息時Windows XP 將顯示該無線連接的狀態對話框的支持選項卡您可以通過該選項卡查看附加細節或嘗試修復該連接
  
  此外當您獲得該連接的狀態時可以在常規選項卡上查看信號強度在支持選項卡上查看 IP 地址配置 如果無線適配器具有一個自動專用 IP 尋址(APIPA) 地址 (/) 或已配置的備用 IP 地址則身份驗證已經失敗而 Windows XP 無線客戶端仍在聯系無線 AP 如果身份驗證失敗而聯系仍在進行則無線適配器將被啟用TCP/IP 將執行常規的配置過程 如果沒有找到 DHCP 服務器它將自動配置一個 APIPA 或備用地址
  
  對於 Windows Service Pack (SP) 或更高版本或者帶 Microsoft X Authentication Client 的 Windows Service Pack (SP)可使用 Ipconfig 工具來顯示無線網絡適配器的適配器狀態和 IP地址配置
  
  跟蹤
  
  為了獲得關於 Windows XP無線零配置(Wireless Zero Configuration) 服務和 EAP 身份驗證過程的詳細信息您必須在命令提示符下使用以下命令來啟用跟蹤
  
  netsh ras set tracing * enabled
  
  為了獲得關於無線零配置服務如何連接到無線網絡的詳細信息可再次嘗試建立該無線連接並查看 SystemRoot\Tracing 文件夾中的 Wzcdlglog 和 Wzctracelog 文件
  
  為了獲得關於 EAP 身份驗證過程的詳細信息可再次嘗試身份驗證過程然後查看 SystemRoot\Tracing 文件夾中的 Eapollog 和 Rastlslog 文件
  
  有關跟蹤的更多信息請參見本文中的IAS 故障排除工具
  
  對於 Windows 您可以使用相同的方法來啟用跟蹤以便查看 SystemRoot\Tracing 文件夾中的 Rastlslog 文件
  
  服務器名稱
  
  對於 Windows XP SPWindows XP SPWindows Server 或 Windows SP您可以在智能卡或其他 EAP 類型的屬性的連接到這些服務器中指定必須對無線客戶端進行身份驗證的服務器名稱該選項可在無線網絡屬性的身份驗證選項卡上找到 服務器的名稱必須與身份驗證服務器的名稱相匹配否則身份驗證就會失敗 顯示了 Windows XP SPWindows XP SP 和 Windows Server 中的智能卡和其他證書EAP 類型的默認屬性
  

 
  圖 Windows XP SPWindows XP SP 和 Windows Server 中的智能卡和其他證書EAP 類型的屬性
  

  對於沒有安裝 Service Pack 的 Windows XP 和 Windows 如果無線客戶端正在驗證服務器證書(默認是啟用的)而服務器名稱結尾為如下時才連接字符串不正確身份驗證就會失敗 在對應於無線 LAN 網絡適配器的無線連接的屬性中在身份驗證選項卡上的智能卡和其他證書EAP 類型的屬性中檢驗該字符串是否正確 顯示了沒有安裝 Service Pack 的 Windows XP 和 Windows 中的智能卡和其他證書EAP 類型的默認屬性
  

 
  圖 沒有安裝 Service Pack 的 Windows XP 中的智能卡和其他證書EAP 類型的屬性
  

  有關 Windows XP 無線客戶端問題的一般疑難解答請參見 Microsoft 知識庫文章QHow to Troubleshoot Wireless Network Connections in Windows XP
  
  對於基於 Windows Server 的無線客戶端您可以使用新的無線監視器(Wireless Monitor) 管理單元它可用於查看無線 AP 和無線客戶端事件信息
  
  無線 AP 故障排除工具
  
  用於診斷無線 AP 的工具取決於隨無線 AP 提供的工具集和管理軟件 例如
  
  有些無線 AP 提供了信號強度分析工具您可以使用它們來診斷低信號強度和覆蓋區域問題
  
  無線 AP 也可能提供一個 PING 功能它使用標准或專用的無線協議來檢查無線 AP 的可達性
  
  無線 AP 還可能支持簡單網絡管理協議 (SNMP) 和 管理信息基 (MIB)
  
  有關無線 AP 故障排除工具和技術的更多信息請參見隨無線 AP 一起提供的文檔
  
  IAS 故障排除工具
  
  為了幫助您搜集信息以便排除 IAS 問題可以使用以下故障排除工具
  
  IAS 事件日志記錄和事件查看器
  
  網絡監視器
  
  跟蹤
  
  SNMP 服務
  
  系統監視器計數器
  
  IAS 事件日志記錄和事件查看器
  
  為了在系統事件日志中診斷 IAS 身份驗證嘗試請確保啟用所有類型的 IAS 事件(拒絕放棄和成功的身份驗證事件)的日志記錄 這在Internet 驗證服務管理單元中的 IAS 服務器屬性的服務選項卡上是默認啟用的
  
  下面是成功的身份驗證事件的一個說明性示例(事件來源IAS事件 ID
  
  User was granted access
  FullyQualifiedUserName = /Users/Client
  NASIPAddress =
  NASIdentifier =
  ClientFriendlyName = Building Wireless AP
  ClientIPAddress =
  NASPortType = WirelessIEEE
  NASPort =
  PolicyName = Wireless Remote Access Policy
  AuthenticationType = EAP
  EAPType = Smart Card or other Certificate
  
  失敗的身份驗證事件為事件來源IAS事件 ID
  
  查看這個日志中的身份驗證嘗試對於診斷遠程訪問策略是有用的 當您配置了多個遠程訪問策略時可以使用系統事件日志來確定接受或拒絕連接嘗試的遠程訪問策略的名稱(參見事件描述中的 PolicyName) 啟用 IAS 事件日志記錄並閱讀系統事件日志中的 IAS 身份驗證事件的文本對於診斷失敗的 IAS 身份驗證最為有用
  
  網絡監視器
  
  可以使用 Microsoft Systems Management Server 或 Windows Server 和 Windows Server 系列中提供的網絡監視器來捕捉和查看發送到 IAS 服務器以及從 IAS 服務器發出的 RADIUS 身份驗證和記帳消息 網絡監視器包括一個 RADIUS 分析器您可以使用該分析器來查看 RADIUS 消息的屬性和診斷連接問題
  
  跟蹤
  
  Windows Server 具有一個全面的跟蹤功能您可以使用該功能來診斷特定組件的復雜問題 您可以在 Windows Server 啟用那些組件以便使用 Netsh 命令將特定組件或所有組件的跟蹤信息記錄到文件中 為了啟用或禁用特定組件的跟蹤可以使用如下語法
  
  netsh ras set tracingComponentenabled|disabled
  
  其中Component 是在注冊表中的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing 下面找到的組件列表中的某個組件 例如為了啟用 IASRAD 組件的跟蹤該命令應該是
  
  netsh ras set tracing iasrad enabled
  
  雖然您可以逐個啟用組件跟蹤但是一次啟用所有組件的跟蹤然後查看以IAS開頭的日志文件和 Rastlslog 文件這樣通常更加有用
  
  為了啟用所有組件的跟蹤可使用以下命令
  
  netsh ras set tracing * enabled
  
  為了禁用所有組件的跟蹤可使用以下命令
  
  netsh ras set tracing * disabled
  
  生成的日志文件將存儲在 Systemroot\tracing 文件夾中
  
  跟蹤會消耗系統資源因而應該謹慎地將跟蹤用於幫助識別網絡問題 在捕捉到跟蹤信息或識別出問題之後應該立即禁用跟蹤 不要在多處理器計算機上將跟蹤保留為啟用狀態
  
  SNMP 服務
  
  可以使用簡單網絡管理協議(SNMP) 服務來監視 IAS 服務器的狀態信息 IAS 支持RADIUS 身份驗證服務器 MIB (RFC )RADIUS 記帳服務器 MIB (RFC )
  
  系統監視器計數器
  
  可以使用系統監視器來監視特定組件和程序進程的資源使用情況 有了系統監視器您可以使用圖表和報告來判斷服務器對 IAS 的使用效率如何並且同時識別和診斷潛在的問題
  
  可以使用系統監視器來監視下列 IAS 相關的性能對象
  
  IAS 記帳客戶端
  
  IAS 記帳服務器
  
  IAS 身份驗證客戶端
  
  IAS 身份驗證服務器
  
  診斷 IAS 身份驗證和授權
  
  為了診斷最常見的 IAS 身份驗證和授權問題可檢驗以下內容
  
  無線 AP 是否能夠訪問 IAS 服務器
  
  為測試這點可嘗試從 IAS 服務器 ping 無線 AP 的未受控制的端口的 IP 地址 此外還要確保 IPSec 策略IP 數據包篩選器和限制網絡流量的其他機制沒有阻止 RADIUS 消息(UDP 端口 )在無線 AP 和為其配置的 IAS 服務器之間的交換
  
  每個 IAS 服務器/無線 AP對都配置了一個公共的共享機密
  
  如果使用第三方證書頒發機構則檢驗 IAS 服務器是否能夠訪問 Interent 資源來執行它自己的計算機證書和無線客戶端證書的證書吊銷檢查 有關更多信息請參見 Enterprise Deployment of Secure Networks Using Microsoft Windows中的使用第三方 CA
  
  IAS 服務器能夠訪問全局編錄服務器和 Active Directory 域控制器
  
  IAS 服務器的計算機帳戶是相應域的RAS 和 IAS 服務器組的成員
  
  用戶或計算機帳戶沒有被鎖定過期被禁用或者建立連接的時間符合允許的登錄時間
  
  用戶帳戶沒有被遠程訪問帳戶鎖定所鎖定
  
  遠程訪問帳戶鎖定是一個身份驗證計數是一種設計用於防止用戶密碼遭受在線字典攻擊的鎖定機制 有關更多信息請參見Internet Authentication Service for Windows 白皮書中的Remote Access Account Lockout地址為 /remoteaccess/iasasp
  
  連接已獲得授權 對於授權連接嘗試的參數必須
  
  至少匹配一個遠程訪問策略的所有條件
  
  通過用戶帳戶(設置為允許訪問)被授予遠程訪問權限或者如果對該用戶帳戶選中了通過遠程訪問策略控制訪問選項那麼必須對第一個匹配的遠程訪問策略的遠程訪問權限選中授予遠程訪問權限選項
  
  匹配配置文件的所有設置
  
  匹配用戶或計算機帳戶的撥入屬性的所有設置
  
  為了獲得拒絕連接嘗試的遠程訪問策略的名稱請確保啟用 IAS 事件日志記錄並查找事件來源為 IAS事件 ID 被設置為 的事件在事件消息的文本中查找 PolicyName 字段後面的遠程訪問策略名稱
  
  如果將 Active Directory 域從混合模式改為本機模式IAS 服務器將不再能夠驗證合法的連接請求 您必須重新啟動域中的每個域控制器來復制該變更
  
  驗證無線客戶端的證書
  
  為便於 IAS 服務器驗證無線客戶端的證書無線客戶端發送的證書鏈中的每個證書的以下條件必須為真
  
  當前日期必須在證書的有效期內
  
  證書在頒發時被賦予一系列的有效期在該有效期之前證書不能被使用在該有效期之後證書被視為過期
  
  證書沒有被吊銷
  
  已頒發的證書可以在任何時間吊銷 每個頒發 CA 通過發布一個最新的證書吊銷列表 (CRL)維護一個不再被視為有效的證書的列表 默認情況下IAS 服務器檢查無線客戶端的證書鏈(從無線客戶端證書到根 CA 的證書系列)中的所有證書的吊銷情況 如果證書鏈中的任何證書已被吊銷證書驗證就會失敗 這個行為可以通過本主題中稍後將要描述的注冊表設置來修改
  
  為了在證書管理單元中查看某個證書的 CRL 分發點可使用證書屬性單擊詳細信息選項卡然後再單擊 CRL 分發點字段
  
  證書吊銷驗證僅在 CRL 發布時和分發系統中才會起作用 如果不經常更新證書中的 CRL已吊銷的證書仍然可以使用並被視為有效因為 IAS 檢查的已發布 CRL 已經過期
  
  證書具有有效的數字簽名
  
  CA 會對它們頒發的證書進行數字簽名 IAS 服務器通過從證書的頒發 CA 獲得公鑰然後執行數學計算來驗證數字簽名從而檢驗證書鏈中每個證書(根 CA 證書例外)的數字簽名
  
  無線客戶端證書還必須具有客戶端身份驗證證書目的(也稱為增強型密鑰用法 [Enhanced Key UsageEKU])(OID )並且證書的使用者備用名稱屬性中必須包含一個有效用戶帳戶的 UPN 或者一個有效計算機帳戶的 FQDN
  
  為了在證書管理單元中查看某個證書的 EKU請在內容窗格中雙擊該證書單擊詳細信息選項卡然後單擊增強型密鑰用法字段 為了在證書管理單元中查看某個證書的使用者備用名稱屬性請在內容窗格中雙擊該證書單擊詳細信息選項卡然後單擊使用者備用名稱字段
  
  最後為了信任無線客戶端提供的證書鏈IAS 服務器必須在其受信任的根證書頒發機構存儲區中安裝無線客戶端證書的頒發 CA 的根 CA 證書
  
  此外IAS 服務器會檢驗EAP響應/身份(EAPResponse/Identity) 消息中發送的身份是否與證書的使用者備用名稱屬性中的名稱相同 這樣可以防止惡意用戶偽裝成一個不同於EAP響應/身份消息中指定的用戶
  
  IAS 服務器上的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\ 中的下列注冊表設置可以修改 EAPTLS 在執行證書吊銷時的行為
  
  IgnoreNoRevocationCheck
  
  當設置為 即使 IAS 沒有執行或無法完成客戶端的證書鏈中的證書(根證書除外)吊銷檢查它也允許 EAPTLS 客戶端建立連接 通常吊銷檢查會因為證書沒有包括 CRL 信息而失敗
  
  IgnoreNoRevocationCheck 默認被設置為 (禁用) 除非服務器完成了客戶端的證書鏈(包括根證書)的吊銷檢查並確認沒有任何證書已被吊銷否則 EAPTLS 客戶端就不能建立連接
  
  當證書沒有包括 CRL 分發點時(比如那些第三方頒發的證書)您可以使用這個注冊表條目來對客戶端進行身份驗證
  
  IgnoreRevocationOffline
  
  當設置為 即使存儲 CRL 的服務器在網絡上不可用IAS 也會允許 EAPTLS 客戶端建立連接 IgnoreRevocationOffline 默認被設置為 除非 IAS 完成了客戶端的證書鏈的吊銷檢查並確認沒有任何證書已被吊銷否則它就不允許客戶端建立連接 當 EAPTLS 無法連接到存儲吊銷列表的服務器時它就會認為該證書的吊銷檢查已經失敗
  
  將 IgnoreRevocationOffline 設置為 可以防止證書驗證因為糟糕的網絡條件阻止了吊銷檢查的成功完成而失敗
  
  NoRevocationCheck
  
  當設置為 IAS 阻止 EAPTLS 執行無線客戶端證書的吊銷檢查 吊銷檢查檢驗無線客戶端的證書以及它的證書鏈中的證書是否已被吊銷 NoRevocationCheck 默認被設置為
  
  NoRootRevocationCheck
  
  當設置為 IAS 阻止 EAPTLS 執行無線客戶端的根 CA 證書的吊銷檢查 NoRootRevocationCheck 默認被設置為 這個條目僅取消客戶端的根 CA 證書的吊銷檢查 吊銷檢查仍然會針對無線客戶端的證書鏈中的其余證書照常執行
  
  當證書沒有包括 CRL 分發點時(比如那些第三方頒發的證書)您可以使用這個條目來對客戶端進行身份驗證 而且這個條目還可以在證書吊銷列表離線或過期時防止證書相關的延遲
  
  所有這些注冊表設置都必須作為 DWORD 類型來添加並具有有效值 無線客戶端不使用這些設置
  
  驗證無線客戶端的 MSCHAP v 憑據
  
  當使用 PEAPMSCHAP v 而不是 EAPTLS 來進行身份驗證時無線客戶端發送的用戶名和密碼必須與一個有效的用戶帳戶的憑據相匹配 IAS 服務器對 MSCHAP v 憑據的成功驗證依賴以下條件
  
  用戶名的域部分對應於 IAS 服務器所在的域或者與 IAS 服務器所在的域具有雙向信任的域
  
  用戶名的帳戶名部分對應於域中的一個有效帳戶
  
  密碼是該帳戶的正確密碼
  
  為了檢驗憑據可讓無線客戶端的用戶使用一台已經連接到網絡的計算機登錄他們的域比如使用一個以太網連接(如果可能的話)
  
  驗證 IAS 服務器的證書
  
  為了使無線客戶端驗證 IAS 服務器的證書來進行 EAPTLS 或 PEAPMSCHAP v 身份驗證IAS 服務器發送的證書鏈中的每個證書的以下條件必須為真
  
  當前日期必須在證書的有效期內
  
  當證書被頒發時它們被賦予一系列有效期在有效期之前證書不能被使用在有效期之後證書被視為已經過期
  
  證書具有有效的數字簽名
  
  CA 要對它們頒發的證書進行數字簽名 無線客戶端通過從證書的頒發 CA 獲得公鑰然後執行數學計算來驗證數字簽名從而檢驗證書鏈中每個證書的數字簽名
  
  此外IAS 服務器計算機證書還必須具有服務器身份驗證 EKU(OID ) 為了在證書管理單元中查看某個證書的 EKU可在內容窗格中雙擊該證書單擊詳細信息選項卡然後單擊增強型密鑰用法字段
  
  最後為了信任 IAS 服務器提供的證書鏈無線客戶端必須在其受信任的根證書頒發機構存儲區中安裝 IAS 服務器證書的頒發 CA 的根 CA 證書
  
  注意無線客戶端不會對 IAS 服務器的計算機證書的證書鏈中的證書執行證書吊銷檢查 這裡假設無線客戶端還沒有建立到網絡的物理連接因而無法訪問 Web 頁或其他資源來檢查證書吊銷情況
  
  結束語
  
  本文描述了用於診斷 IEEE 無線連接的不同工具和技術 對於 Windows XP可使用網絡連接和跟蹤功能中的信息 對於無線 AP可使用 AP 的診斷功能 對於 IAS可使用事件日志記錄記帳日志記錄網絡監視器和跟蹤功能 為了診斷 IAS 驗證和證書驗證可使用本文中提供的列表和信息


From:http://tw.wingwit.com/Article/Fault/201311/10553.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.