ClientFriendlyName = Building Wireless AP
ClientIPAddress =
NASPortType = WirelessIEEE
NASPort =
PolicyName = Wireless Remote Access Policy
AuthenticationType = EAP
EAPType = Smart Card or other Certificate
失败的身份验证事件为事件来源IAS事件 ID
查看这个日志中的身份验证尝试对于诊断远程访问策略是有用的 当您配置了多个远程访问策略时可以使用系统事件日志来确定接受或拒绝连接尝试的远程访问策略的名称(参见事件描述中的 PolicyName) 启用 IAS 事件日志记录并阅读系统事件日志中的 IAS 身份验证事件的文本对于诊断失败的 IAS 身份验证最为有用
网络监视器
可以使用 Microsoft Systems Management Server 或 Windows Server 和 Windows Server 系列中提供的网络监视器来捕捉和查看发送到 IAS 服务器以及从 IAS 服务器发出的 RADIUS 身份验证和记帐消息 网络监视器包括一个 RADIUS 分析器您可以使用该分析器来查看 RADIUS 消息的属性和诊断连接问题
跟蹤
Windows Server 具有一个全面的跟蹤功能您可以使用该功能来诊断特定组件的复杂问题 您可以在 Windows Server 启用那些组件以便使用 Netsh 命令将特定组件或所有组件的跟蹤信息记录到文件中 为了启用或禁用特定组件的跟蹤可以使用如下语法
netsh ras set tracingComponentenabled|disabled
其中Component 是在注册表中的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing 下面找到的组件列表中的某个组件 例如为了启用 IASRAD 组件的跟蹤该命令应该是
netsh ras set tracing iasrad enabled
虽然您可以逐个启用组件跟蹤但是一次启用所有组件的跟蹤然后查看以IAS开头的日志文件和 Rastlslog 文件这样通常更加有用
为了启用所有组件的跟蹤可使用以下命令
netsh ras set tracing * enabled
为了禁用所有组件的跟蹤可使用以下命令
netsh ras set tracing * disabled
生成的日志文件将存储在 Systemroot\tracing 文件夹中
跟蹤会消耗系统资源因而应该谨慎地将跟蹤用于帮助识别网络问题 在捕捉到跟蹤信息或识别出问题之后应该立即禁用跟蹤 不要在多处理器计算机上将跟蹤保留为启用状态
SNMP 服务
可以使用简单网络管理协议(SNMP) 服务来监视 IAS 服务器的状态信息 IAS 支持RADIUS 身份验证服务器 MIB (RFC )和RADIUS 记帐服务器 MIB (RFC )
系统监视器计数器
可以使用系统监视器来监视特定组件和程序进程的资源使用情况 有了系统监视器您可以使用图表和报告来判断服务器对 IAS 的使用效率如何并且同时识别和诊断潜在的问题
可以使用系统监视器来监视下列 IAS 相关的性能对象
IAS 记帐客户端
IAS 记帐服务器
IAS 身份验证客户端
IAS 身份验证服务器
诊断 IAS 身份验证和授权
为了诊断最常见的 IAS 身份验证和授权问题可检验以下内容
无线 AP 是否能够访问 IAS 服务器
为测试这点可尝试从 IAS 服务器 ping 无线 AP 的未受控制的端口的 IP 地址 此外还要确保 IPSec 策略IP 数据包筛选器和限制网络流量的其他机制没有阻止 RADIUS 消息(UDP 端口 和 )在无线 AP 和为其配置的 IAS 服务器之间的交换
每个 IAS 服务器/无线 AP对都配置了一个公共的共享机密
如果使用第三方证书颁发机构则检验 IAS 服务器是否能够访问 Interent 资源来执行它自己的计算机证书和无线客户端证书的证书吊销检查 有关更多信息请参见 Enterprise Deployment of Secure Networks Using Microsoft Windows中的使用第三方 CA
IAS 服务器能够访问全局编录服务器和 Active Directory 域控制器
IAS 服务器的计算机帐户是相应域的RAS 和 IAS 服务器组的成员
用户或计算机帐户没有被锁定过期被禁用或者建立连接的时间符合允许的登录时间
用户帐户没有被远程访问帐户锁定所锁定
远程访问帐户锁定是一个身份验证计数是一种设计用于防止用户密码遭受在线字典攻击的锁定机制 有关更多信息请参见Internet Authentication Service for Windows 白皮书中的Remote Access Account Lockout地址为 /remoteaccess/iasasp
连接已获得授权 对于授权连接尝试的参数必须
至少匹配一个远程访问策略的所有条件
通过用户帐户(设置为允许访问)被授予远程访问权限或者如果对该用户帐户选中了通过远程访问策略控制访问选项那么必须对第一个匹配的远程访问策略的远程访问权限选中授予远程访问权限选项
匹配配置文件的所有设置
匹配用户或计算机帐户的拨入属性的所有设置
为了获得拒绝连接尝试的远程访问策略的名称请确保启用 IAS 事件日志记录并查找事件来源为 IAS事件 ID 被设置为 的事件在事件消息的文本中查找 PolicyName 字段后面的远程访问策略名称
如果将 Active Directory 域从混合模式改为本机模式IAS 服务器将不再能够验证合法的连接请求 您必须重新启动域中的每个域控制器来复制该变更
验证无线客户端的证书
为便于 IAS 服务器验证无线客户端的证书无线客户端发送的证书链中的每个证书的以下条件必须为真
当前日期必须在证书的有效期内
证书在颁发时被赋予一系列的有效期在该有效期之前证书不能被使用在该有效期之后证书被视为过期
证书没有被吊销
已颁发的证书可以在任何时间吊销 每个颁发 CA 通过发布一个最新的证书吊销列表 (CRL)维护一个不再被视为有效的证书的列表 默认情况下IAS 服务器检查无线客户端的证书链(从无线客户端证书到根 CA 的证书系列)中的所有证书的吊销情况 如果证书链中的任何证书已被吊销证书验证就会失败 这个行为可以通过本主题中稍后将要描述的注册表设置来修改
为了在证书管理单元中查看某个证书的 CRL 分发点可使用证书属性单击详细信息选项卡然后再单击 CRL 分发点字段
证书吊销验证仅在 CRL 发布时和分发系统中才会起作用 如果不经常更新证书中的 CRL已吊销的证书仍然可以使用并被视为有效因为 IAS 检查的已发布 CRL 已经过期
证书具有有效的数字签名
CA 会对它们颁发的证书进行数字签名 IAS 服务器通过从证书的颁发 CA 获得公钥然后执行数学计算来验证数字签名从而检验证书链中每个证书(根 CA 证书例外)的数字签名
无线客户端证书还必须具有客户端身份验证证书目的(也称为增强型密钥用法 [Enhanced Key UsageEKU])(OID )并且证书的使用者备用名称属性中必须包含一个有效用户帐户的 UPN 或者一个有效计算机帐户的 FQDN
为了在证书管理单元中查看某个证书的 EKU请在内容窗格中双击该证书单击详细信息选项卡然后单击增强型密钥用法字段 为了在证书管理单元中查看某个证书的使用者备用名称属性请在内容窗格中双击该证书单击详细信息选项卡然后单击使用者备用名称字段
最后为了信任无线客户端提供的证书链IAS 服务器必须在其受信任的根证书颁发机构存储区中安装无线客户端证书的颁发 CA 的根 CA 证书
此外IAS 服务器会检验EAP响应/身份(EAPResponse/Identity) 消息中发送的身份是否与证书的使用者备用名称属性中的名称相同 这样可以防止恶意用户伪装成一个不同于EAP响应/身份消息中指定的用户
IAS 服务器上的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\ 中的下列注册表设置可以修改 EAPTLS 在执行证书吊销时的行为
IgnoreNoRevocationCheck
当设置为 时即使 IAS 没有执行或无法完成客户端的证书链中的证书(根证书除外)吊销检查它也允许 EAPTLS 客户端建立连接 通常吊销检查会因为证书没有包括 CRL 信息而失败
IgnoreNoRevocationCheck 默认被设置为 (禁用) 除非服务器完成了客户端的证书链(包括根证书)的吊销检查并确认没有任何证书已被吊销否则 EAPTLS 客户端就不能建立连接
当证书没有包括 CRL 分发点时(比如那些第三方颁发的证书)您可以使用这个注册表条目来对客户端进行身份验证
IgnoreRevocationOffline
当设置为 时即使存储 CRL 的服务器在网络上不可用IAS 也会允许 EAPTLS 客户端建立连接 IgnoreRevocationOffline 默认被设置为 除非 IAS 完成了客户端的证书链的吊销检查并确认没有任何证书已被吊销否则它就不允许客户端建立连接 当 EAPTLS 无法连接到存储吊销列表的服务器时它就会认为该证书的吊销检查已经失败
将 IgnoreRevocationOffline 设置为 可以防止证书验证因为糟糕的网络条件阻止了吊销检查的成功完成而失败
NoRevocationCheck
当设置为 时IAS 阻止 EAPTLS 执行无线客户端证书的吊销检查 吊销检查检验无线客户端的证书以及它的证书链中的证书是否已被吊销 NoRevocationCheck 默认被设置为
NoRootRevocationCheck
当设置为 时IAS 阻止 EAPTLS 执行无线客户端的根 CA 证书的吊销检查 NoRootRevocationCheck 默认被设置为 这个条目仅取消客户端的根 CA 证书的吊销检查 吊销检查仍然会针对无线客户端的证书链中的其余证书照常执行
当证书没有包括 CRL 分发点时(比如那些第三方颁发的证书)您可以使用这个条目来对客户端进行身份验证 而且这个条目还可以在证书吊销列表离线或过期时防止证书相关的延迟
所有这些注册表设置都必须作为 DWORD 类型来添加并具有有效值 或 无线客户端不使用这些设置
验证无线客户端的 MSCHAP v 凭据
当使用 PEAPMSCHAP v 而不是 EAPTLS 来进行身份验证时无线客户端发送的用户名和密码必须与一个有效的用户帐户的凭据相匹配 IAS 服务器对 MSCHAP v 凭据的成功验证依赖以下条件
用户名的域部分对应于 IAS 服务器所在的域或者与 IAS 服务器所在的域具有双向信任的域
用户名的帐户名部分对应于域中的一个有效帐户
密码是该帐户的正确密码
为了检验凭据可让无线客户端的用户使用一台已经连接到网络的计算机登录他们的域比如使用一个以太网连接(如果可能的话)
验证 IAS 服务器的证书
为了使无线客户端验证 IAS 服务器的证书来进行 EAPTLS 或 PEAPMSCHAP v 身份验证IAS 服务器发送的证书链中的每个证书的以下条件必须为真
当前日期必须在证书的有效期内
当证书被颁发时它们被赋予一系列有效期在有效期之前证书不能被使用在有效期之后证书被视为已经过期
证书具有有效的数字签名
CA 要对它们颁发的证书进行数字签名 无线客户端通过从证书的颁发 CA 获得公钥然后执行数学计算来验证数字签名从而检验证书链中每个证书的数字签名
此外IAS 服务器计算机证书还必须具有服务器身份验证 EKU(OID ) 为了在证书管理单元中查看某个证书的 EKU可在内容窗格中双击该证书单击详细信息选项卡然后单击增强型密钥用法字段
最后为了信任 IAS 服务器提供的证书链无线客户端必须在其受信任的根证书颁发机构存储区中安装 IAS 服务器证书的颁发 CA 的根 CA 证书
注意无线客户端不会对 IAS 服务器的计算机证书的证书链中的证书执行证书吊销检查 这里假设无线客户端还没有建立到网络的物理连接因而无法访问 Web 页或其他资源来检查证书吊销情况
结束语
本文描述了用于诊断 IEEE 无线连接的不同工具和技术 对于 Windows XP可使用网络连接和跟蹤功能中的信息 对于无线 AP可使用 AP 的诊断功能 对于 IAS可使用事件日志记录记帐日志记录网络监视器和跟蹤功能 为了诊断 IAS 验证和证书验证可使用本文中提供的列表和信息
