|
Resumo Este artigo
descreve as ferramentas a serem usadas para solucionar problemas de um cliente
sem fio Windows XP, um ponto de acesso sem fio (AP) e o Serviço de Autenticação
da Internet (IAS) e como cada ferramenta é usada para reunir informações para
solução de problemas.
Ferramentas para
Solução de Problemas do Windows XP
|
 | 
|
 As
ferramentas para solucionar problemas de conexões sem fio no Windows XP são a
pasta Conexões de Rede e o rastreamento.
Pasta Conexões de RedeA pasta
Conexões de Rede e os ícones de notificação do Windows XP fornecem informações
sobre o estado da autenticação. Se uma autenticação exigir informações
adicionais do usuário, como selecionar um dos múltiplos certificados de
usuário, um balão de texto será exibido para instruir o usuário. Na pasta
Conexões de Rede, o texto sob o nome da conexão correspondente ao adaptador de
rede sem fio descreve o estado da autenticação.
A Figura 1
mostra as informações disponíveis de uma conexão de rede na pasta Conexões de
Rede do Windows XP.
Figura 1 Uma conexão de rede sem fio nas Conexões de Rede Além disso,
quando obtém o status da conexão, você pode ver a força do sinal na guia Geral
e a configuração do endereço IP na guia Suporte.
Se o
adaptador sem fio tiver um endereço APIPA (Automatic Private IP Addressing,
169.254.0.0/16) ou o endereço IP alternativo configurado, a autenticação falhou
e o cliente sem fio do Windows XP continua associado com o AP sem fio.
Se a autenticação falhar e a associação for mantida, o adaptador sem fio é
ativado e o TCP/IP executa seu processo de configuração normal.
Se um
servidor DHCP não for encontrado, ele automaticamente configura um APIPA ou um
endereço alternativo.
Rastreamento Para obter
informações detalhadas sobre o processo de autenticação EAP do Windows XP, você
deve ativar o rastreamento dos componentes EAPOL e RASTLS usando os comandos a
seguir em um prompt de comando:
netsh ras set tracing eapol
enabled
netsh ras set tracing rastls
enabled
Depois que
esses comandos forem emitidos, tente novamente o processo de autenticação e
exiba os arquivos Eapol.log e Rastls.log na pasta SystemRoot\Tracing.
Para mais
informações sobre rastreamento, consulte "Ferramentas para Solução de Problemas
de IAS" neste artigo.
No Windows
2000, você pode ativar o rastreamento do componente RASTLS.
Nomes de Servidor Se o cliente
sem fio estiver validando o certificado de servidor (ativado por padrão) e a
seqüência Conectar-se somente se o nome do servidor terminar em não
estiver correta, a autenticação falha.
Verifique
se essa seqüência está correta nas propriedades do Cartão Inteligente e de
Outro Tipo de Certificado EAP na guia Autenticação em propriedades da
conexão de rede que corresponde ao adaptador de rede LAN sem fio.
A Figura 2
mostra as propriedades padrão do Cartão Inteligente ou de Outro tipo de
certificado EAP do Windows XP (antes do Service Pack 1 [SP1]) e do Windows 2000.
Figura
2 As propriedades do Cartão Inteligente e de outro tipo de
certificado EAP
No Windows XP
SP1, você pode especificar os nomes dos servidores que devem autenticar o
cliente sem fio em Conectar a esses servidores das propriedades do
Cartão Inteligente ou de outro tipo de Certificado EAP. Os nomes dos servidores
devem corresponder aos nomes nos servidores de autenticação ou ocorrerá falha
de autenticação. A Figura 3 mostra as propriedades padrão do Cartão
Inteligente e de outro tipo de certificado EAP para o Windows XP SP1.
Figura
3 As propriedades do Cartão Inteligente e de Outro tipo de
certificado EAP para o Windows XP SP1 e posterior
Para solução de problemas gerais
de cliente sem fio do Windows XP, consulte o artigo da Base de Conhecimentos da
Microsoft 313242,
"How to Troubleshoot Wireless Network Connections in Windows XP".
Ferramentas para
Solução de Problemas em AP sem Fio
|
|
|
As
ferramentas para solução de problemas em AP sem fio variam conforme o conjunto
de ferramentas e software de gerenciamento fornecido com o AP sem fio. Por
exemplo:
·
Alguns APs sem
fio fornecem ferramentas de análise de força de sinal que você pode usar para
solucionar problemas com sinal fraco e área de cobertura.
·
Um AP sem fio
também pode fornecer um recurso PING para verificar o seu alcance usando
protocolos sem fio padrão ou proprietários.
·
Um AP sem fio
também pode oferecer suporte a Simple Network Management Protocol (SNMP) e
802.11 Management Information Base (MIB)
Consulte a
documentação fornecida com o AP sem fio para mais informações sobre ferramentas
e técnicas de solução de problemas de APs sem fio.
Ferramentas para
Solução de Problemas de IAS
|
|
|
Para ajudá-lo
a reunir informações para solucionar problemas com o IAS, as ferramentas de
solução de problemas a seguir estão disponíveis:
·
Log de Eventos
IAS e Visualizar Eventos
·
Monitor de
Rede
·
Rastreamento ·
Serviço SNMP ·
Contadores do
Monitor de Sistema
Log de Eventos e Visualizador
de Eventos do IAS
Para
solucionar problemas de tentativas de autenticação de IAS no log de eventos do
sistema, certifique-se de que o log de eventos esteja ativado para todos os
tipos de eventos do IAS (eventos de autenticação rejeitados, descartado e
bem-sucedidos). Ele é ativado por padrão na guia Serviço para as
propriedades de um servidor IAS no snap-in Serviço de Autenticação da Internet.
Aqui está um
exemplo da descrição de um evento de autenticação bem-sucedido (Fonte: IAS, ID
de evento: 1):
O usuário cliente@exemplo.com teve acesso concedido. Fully-Qualified-User-Name = example.com/Users/Client NAS-IP-Address = 10.7.0.4 NAS-Identifier = <not present> Client-Friendly-Name = Building 7 Wireless AP Client-IP-Address = 10.7.0.4 NAS-Port-Type = Wireless-IEEE 802.11 NAS-Port = 6 Policy-Name = Wireless Remote Access Policy Authentication-Type = EAP EAP-Type = Smart Card or other Certificate Eventos de autenticação com
falhas são Fonte: IAS, ID de Evento: 2.
Visualizar as
tentativas de autenticação nesse log é útil para solucionar problemas nas
diretivas de acesso remoto. Quando tem múltiplas diretivas de acesso remoto
configuradas, você pode usar o log de eventos de sistema para determinar o nome
da diretiva de acesso remoto que aceitou ou rejeitou a tentativa de conexão.
(consulte Policy-Name na descrição do evento). Ativar o log de eventos
IAS e ler o texto dos eventos de autenticação IAS no log de eventos do sistema
é a melhor forma de solucionar problemas de falhas em autenticação IAS.
Monitor de Rede Você pode
usar o Monitor de Rede, disponível nas famílias do Microsoft Systems Management
Server ou do Windows 2000 Server e do Windows Server 2003, ou um analisador de
pacote comercial (também conhecido como sniffer de rede), para capturar e
exibir a autenticação RADIUS e contabilizar mensagens que são enviadas de/para
o servidor IAS. O Monitor de Rede inclui um analisador de RADIUS, que você pode
usar para ver os atributos de uma mensagem de RADIUS e solucionar problemas de
conexão.
RastreamentoO Windows 2000
tem um recurso de rastreamento extenso que pode ser usado para solucionar
problemas complexos em componentes específicos. Você pode permitir que os
componentes no Windows 2000 Server registrem informações de rastreamento para
arquivos usando o comando Netsh ou através do registro.
Ativando o Rastreamento com
Netsh
Você pode
usar o comando Netsh para ativar e desativar os componentes específicos ou para
todos os componentes. Para ativar e desativar rastreamento para um componente
específico, use a sintaxe a seguir:
netsh ras set tracingComponente enabled|disabled onde Componente é um componente
na lista de componentes localizada no registro do Windows 2000 em
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing.
Por exemplo, para ativar o rastreamento do componente IASRAD, o comando é:
netsh ras set tracing iasrad
enabled
Para ativar o
rastreamento para todos os componentes, use o comando a seguir:
netsh ras set tracing * enabled Os
componentes mais úteis para rastreamento de autenticações EAP-TLS são os
seguintes:
·
IASHLPR (o
arquivo Iashlpr.log na pasta SystemRoot\tracing)
·
IASPIPE (o
arquivo Iaspipe.log na pasta SystemRoot\tracing)
·
IASRAD (no
arquivo Iasrad.log da pasta SystemRoot\tracing)
·
IASSAM (no
arquivo Iassam.log na pasta SystemRoot\tracing)
·
IASSDO (no
arquivo Iassdo.log na pasta SystemRoot\tracing)
·
IASUSERR (no
arquivo Iasuserr.log na pasta SystemRoot\tracing)
·
RASTLS (no
arquivo Rastls.log na pasta SystemRoot\tracing)
Os comandos
netsh correspondentes são:
netsh ras set tracing iashlpr
enabled
netsh ras set tracing iaspipe
enabled
netsh ras set tracing iasrad
enabled
netsh ras set tracing iassam
enabled
netsh ras set tracing iassdo
enabled
netsh ras set tracing iasuserr
enabled
netsh ras set tracing rastls
enabled
Ativar
Rastreamento através do Registro
Você também
pode ativar a função de rastreamento alterando as configurações no registro do
Windows 2000 em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing.
É possível
ativar o rastreamento de cada componentes definindo os valores de registro
descritos posteriormente. Você pode ativar e desativar o rastreamento de
componentes enquanto o serviço Roteamento e Acesso Remoto (RAS) está em
execução. Cada componentes é capaz de rastrear e ser exibido como uma subchave
da chave de registro precedente.
Para ativar o
rastreamento de cada componente, você pode configurar as seguintes entradas de
valor de registro para cada chave de protocolo:
EnableFileTracingREG_DWORD Sinalizador Você pode ativar as informações
de rastreamento de log para um arquivo definindo EnableFileTracing para 1. O
valor padrão é 0.
FileDirectoryREG_EXPAND_SZ caminho Você pode
alterar o local padrão dos arquivos de rastreamento definindo Caminho para
o caminho desejado. O nome do arquivo de registro é o nome do componente para o
qual o rastreamento está ativado. Por padrão, os arquivos de registro são
colocados na pasta SystemRoot\Tracing.
FileTracingMaskREG_DWORD Nível das Informações de Rastreamento Registradas FileTracingMask
determina que informações de rastreamento são registradas no arquivo. O valor
padrão é a máscara máxima de 0xFFFF0000.
MaxFileSizeREG_DWORD Tamanho do Arquivo de Registro Você pode
alterar o tamanho máximo do arquivo de registro definindo valores diferentes
para o MaxFileSize. O valor padrão é 0x10000 (64K).
O rastreamento
consome recursos do sistema e deve ser usado com cautela para ajudar a
identificar os problemas de rede. Após o rastreamento ser capturado ou o
problema ser identificado, você deve desativar o rastreamento imediatamente.
Não deixe o rastreamento ativado nos computadores do multiprocessador.
Serviços SNMP Você pode
usar o serviço SNMP (Simple Network Management Protocol) para monitorar
informações de status para o seu servidor IAS. O IAS oferece suporte ao
Servidor de Autenticação de RADIUS MIB (RFC 2619) e o Servidor de Estatística
RADIUS MIB (RFC 2621).
Contadores do Monitor do
Sistema
Você pode
usar o Monitor do Sistema para monitorar o uso dos recursos de componentes e
processos específicos do programa. Com o Monitor do Sistema, é possível usar os
gráficos e relatórios para determinar com que grau de eficiência o seu servidor
usa o ISA e, identificar e solucionar problemas em potencial.
Você pode
usar o Monitor do Sistema para monitorar os objetos de desempenho relacionados
ao IAS:
·
Cliente de
Estatística IAS
·
Servidor de
Estatística IAS
·
Cliente de
Autenticação IAS
·
Servidor de
Autenticação IAS
Solucionar
Problemas de Autenticação e Autorização IAS
|
|
|
Para solucionar os problemas mais
comuns de autenticação e autorização de IAS, verifique o seguinte:
·
O AP sem fio
pode ter acesso aos servidores IAS.
Para testar
isso, tente fazer o ping do endereço IP da porta não controlada do AP sem fio a
partir dos servidores IAS. Além disso, certifique-se de que as diretivas de
IPSec, os filtros de pacote IP e outros mecanismos que restringem o tráfego de
rede não estejam impedindo a troca de mensagens de RADIUS (portas UDP 1812 e
1813) entre o AP sem fio e seus servidores IAS configurados.
·
Cada par de
servidor IAS/AP sem fio está configurado com um segredo compartilhado em comum.
·
Os servidores
IAS podem acessar o servidor do Catálogo Global e um controlador de domínio do
Active Directory
·
As contas dos
servidores IAS são membros do grupo de Servidores IAS e RAS dos domínios
apropriados.
·
A conta de
usuário ou computador não está bloqueada, expirada, desativada ou o horário em
que a conexão está sendo feita corresponde a um horário de logon permitido.
·
A conta de
usuário não foi bloqueada pelo bloqueio de conta de acesso remoto.
O bloqueio da
conta de acesso remoto é um mecanismo de contabilização de autenticação e
bloqueio criado para evitar um ataque de dicionário on-line a uma senha de
usuário. Para mais informações,
consulte "Bloqueio
de Acesso Remoto” no Serviço de Autenticação da Internet para o Windows 2000".
·
A conexão é
autorizada. Para autorização, os parâmetros da tentativa de conexão devem:
·
Atender a
todas as condições de, pelo menos, uma diretiva de acesso remoto.
·
Ter permissão
de acesso remoto através da conta de usuário (definida para Permitir acesso)
ou, se a conta de usuário tiver a opção Controlar acesso através de diretiva de
acesso remoto selecionada, a permissão de acesso remoto da primeira
diretiva de acesso remoto correspondente deve ter a opção Conceder permissões de
acesso remoto selecionada.
·
Corresponder a
todas as configurações do arquivo.
·
Corresponder a
todas as configurações de propriedades de discagem da conta de usuário ou
computador.
Para obter o
nome da diretiva de acesso remoto que rejeitou a tentativa de conexão,
certifique-se de que o registro de eventos IAS esteja ativo e procure eventos
que tenham IAS como origem com o ID de Evento definido para 2. No texto da
mensagem de evento, procure o nome da diretiva de acesso remoto no campo Policy-Name.
·
Se você tiver
acabado de trocar o seu domínio Active Directory do modo combinado para o modo
nativo, os servidores IAS não poderão mais autenticar as solicitações de
conexão válidas. Você terá que reiniciar todos os controladores de domínio no
domínio para a alteração ser duplicada.
Validando o
Certificado de Cliente sem Fio
Para o
servidor IAS validar o certificado do cliente sem fio, as seguintes afirmações
devem ser verdade para cada certificado na cadeia de certificados enviada pelo
cliente sem fio:
·
A data atual
deve estar dentro das datas de validade do certificado.
Quando os
certificados são emitidos, eles são emitidos com um intervalo de datas válidas,
antes do qual eles não podem ser usados e após o qual são considerados
expirados.
·
O certificado
não foi revogado.
Os
certificados emitidos podem ser revogados a qualquer momento. Cada Autoridade
de Certificação mantém uma lista de certificados que não devem mais ser
considerados válidos publicando uma lista de revogação de certificados (CRL)
atualizada. Por padrão, o servidor IAS verifica todos os certificados na cadeia
de certificados do cliente sem fio (as séries de certificados do certificado do
cliente sem fio até a Autoridade de Certificação raiz) para revogação. Se algum
dos certificados na cadeia tiver sido revogado, a validação do certificado
falha. Esse comportamento pode ser modificado com configurações de registros
descritas posteriormente neste tópico.
Para exibir
os pontos de distribuição da CRL de um certificado no snap-in Certificados,
obtenha as propriedades do certificado, clique na guia Detalhes e, em
seguida, clique no campo Pontos de Distribuição da CRL.
O bom
funcionamento da validação da revogação de certificados depende do bom
funcionamento do sistema de distribuição e publicação da CRL. Se a CRL de um
certificado não for atualizada com freqüência, um certificado que foi revogado
pode continuar sendo usado e considerado válido porque a CRL publicada que o
servidor IAS está verificando está desatualizada.
·
O certificado
tem uma assinatura digital válida.
As
Autoridades Certificadoras assinam o certificado que emitem. O servidor IAS
verifica a assinatura digital de cada certificado na cadeia, com exceção do
certificado da Autoridade Certificadora raiz, obtendo a chave pública da
Autoridade Certificadora que emite o certificado e validando matematicamente a
assinatura digital.
O certificado
do cliente sem fio também teve ter o mesmo objetivo do certificado de
Autenticação de Cliente (também conhecido como Enhanced Key Usage [EKU]) (OID
1.3.6.1.5.5.7.3.2) e deve conter um UPN de uma conta de usuário válida ou FQDN
de conta de computador válido para a propriedade Nome Alternativo de Assunto do
certificado.
Para exibir o
EKU de um certificado no snap-in Certificados (para Windows XP e Windows 2000),
clique duas vezes no certificado no painel de conteúdo, clique na guia Detalhes
e depois no campo Uso de chave avançado. Para exibir a propriedade do
nome alternativo do assunto de um certificado no snap-in Certificados, clique
duas vezes no certificado no painel de conteúdo, clique na guia Detalhes
e depois clique no campo Nome alternativo do assunto.
Finalmente,
para confiar na cadeia de certificados oferecida pelo cliente sem fio, o
Servidor IAS deve ter o certificado da Autoridade de Certificação raiz emissora
instalado no armazenamento de Autoridades de Certificação Raiz Confiáveis.
Além disso, o
servidor IAS verifica se a identidade enviada na mensagem de
Resposta/Identidade EAP é igual ao nome da propriedade do certificado no Nome
Alternativo de Assunto. Isso impede que um usuário mal intencionado finja ser
um usuário diferente do especificado na mensagem de Resposta/Identidade EAP.
As seguintes
configurações de registro em
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 no
servidor IAS podem modificar o comportamento do EAP-TLS ao executar a revogação
de certificados:
·
IgnoreNoRevocationCheck
Quando
definido para 1, o IAS permite que os clientes EAP-TLS conectem-se mesmo quando
não executa ou não consegue concluir uma verificação de revogação na cadeia de
certificados do cliente (excluindo o certificado raiz). Normalmente, as
verificações de revogação falham porque o certificado não inclui informações de
CRL.
IgnoreNoRevocationCheck
é definido para 0 (desativado) por padrão. Um cliente EAP-TLS não consegue se
conectar, a menos que o servidor complete a verificação de revogação da cadeia
de certificados do cliente (incluindo o certificado raiz) e verifique que
nenhum dos certificados foi revogado.
Você pode
usar essa entrada para autenticar clientes quando o certificado não inclui
pontos de distribuição de CRL, como os de terceiros.
·
IgnoreRevocationOffline
Quando
definido para 1, o IAS permite que clientes EAP-TLS se conectem mesmo quando o
servidor que armazena uma CRL não está disponível na rede.
IgnoreRevocationOffline é definido para 0 por padrão. O IAS não permite que
clientes sejam conectados, a menos que ele consiga concluir uma verificação de
revogação da sua cadeia de certificados e verifique que nenhum dos certificados
foi revogado. Quando ele não consegue se conectar a um servidor que armazena
uma lista de revogação, o EAP-TLS considera que o certificado falhou na
verificação da revogação.
Definir
IgnoreRevocationOffline para 1 impede falha na validação de certificado
decorrente de condições de rede inadequadas que prejudiquem a verificação da
revogação.
·
NoRevocationCheck
Quando
definido para 1, o IAS impede que o EAP-TLS execute uma verificação de
revogação do certificado de cliente sem fio. A verificação de revogação
verifica se o certificado do cliente sem fio e os outros certificados nessa
cadeia de certificados não foram revogados. NoRevocationCheck é definido para 0
por padrão.
·
NoRootRevocationCheck
Quando
definido para 1, o IAS impede que o EAP-TLS execute uma verificação de
revogação de certificado da Autoridade Certificadora raiz do cliente sem fio.
NoRootRevogationCheck é definido para 0 por padrão. Essa entrada só elimina a
verificação de revogação do certificado da Autoridade Certificadora raiz. Uma
verificação de revogação continua sendo executada no restante da cadeia de
certificados do cliente sem fio.
Você pode
usar essa entrada para autenticar clientes quando o certificado não inclui
pontos de distribuição de CRL, como os de terceiros. Além disso, essa entrada
pode evitar atrasos relacionados à certificação que ocorrem quando uma lista de
revogação de certificados está offline ou expira.
Todas essas
configurações de registro devem ser adicionadas a um tipo DWORD e têm os
valores válidos de 0 ou 1. O cliente sem fio não usa essas configurações.
Validando as
Credenciais MS-CHAP v2 do Cliente sem Fio
Quando você
estiver usando o PEAP/MS-CHAP v2 para autenticação, em vez do EAP-TLS, o nome
do usuário e a senha enviados pelo cliente sem fio devem corresponder às
credenciais de uma conta de usuário válida. O êxito na validação das
credenciais MS-CHAP v2 pelo servidor IAS depende do seguinte:
·
A parte do
domínio do nome do usuário corresponde a um domínio do servidor IAS ou a um
domínio que tenha confiança bilateral com o domínio do servidor IAS.
·
A parte de
nome da conta no nome do usuário corresponde a uma conta válida no domínio.
·
A senha é a
senha correta para a conta.
Para
verificar as credenciais, faça o usuário do cliente sem fio fazer o login no
seu domínio usando um computador que já esteja conectado na rede, como
uma conexão Ethernet (se possível).
Validando o
Certificado do Servidor IAS
Para o
cliente sem fio validar o certificado do servidor IAS para autenticação EAPTLS
ou PEAP/CHAP-v2, os seguintes itens devem ser verdadeiros para todos os
certificados na cadeia de certificados enviados pelo servidor IAS:
·
A data atual
deve estar dentro das datas de validade do certificado.
Quando os
certificados são emitidos, eles têm um intervalo de datas válidas, antes do
qual eles não podem ser usados e após o qual são considerados expirados.
·
O certificado
tem uma assinatura digital válida.
As
Autoridades Certificadoras assinam o certificado que emitem. O cliente sem fio
verifica a assinatura digital de cada certificado na cadeia, com a exceção do
certificado da Autoridade Certificadora raiz, obtendo a chave pública da
Autoridade Certificadora que emite o certificado e validando matematicamente a
assinatura digital.
Além disso, o
certificado do computador do servidor IAS deve ter o EKU de Autenticação de
Servidor (OID 1.3.6.1.5.5.7.3.1). Para exibir o EKU de um certificado no
snap-in Certificados, clique duas vezes no certificado no painel de conteúdo,
clique na guia Detalhes e depois clique no campo Uso de chave avançada.
Finalmente,
para confiar na cadeia de certificados oferecida pelo Servidor IAS, o cliente
sem fio deve ter o certificado da Autoridade Certificadora raiz emissora do
Servidor IAS instalado no armazenamento de Autoridades de Certificação Raiz
Confiáveis.
Observe que o
cliente sem fio não executa revogação de certificado verificando os
certificados na cadeia do certificado do computador do servidor IAS. Ele
pressupõe que o cliente sem fio ainda não tem uma conexão física à rede e,
portanto, não pode acessar uma página na Web ou outro recurso para verificar a
revogação do certificado.
Resumo |
| 
|
Este
artigo descreve as várias ferramentas e técnicas para solucionar problemas em
conexões IEEE 802.11b sem fio. Para o Windows XP, use as informações em
Conexões de Rede e no recurso de rastreamento. Para APs sem fio, use os
recursos de solução de problemas do AP. Para IAS, use o log de eventos,
estatísticas do registro, Monitor de Rede e o recurso de rastreamento. Para
solucionar problemas de validação do IAS e de certificados, use as listas e
informações fornecidas nesse artigo.
Links
Relacionados
|
|
|
Consulte os recursos a seguir para mais informações:
·
Site
sobre Wi-Fi na Web
·
Site de Serviço de Autenticação na Internet ·
Site de Serviços de Segurança ·
Cliente
de Autenticação Microsoft 802.1X
Para as últimas informações sobre
o Windows XP, consulte o
Site do Windows XP na Web.
|