维护安全无线 LAN 解决方案(2)

  诊断性能问题
  本节主要介绍与 WLAN 安全基础结构相关联的性能问题。本章不涉及一般性的无线和有线网络性能问题。
  
  表 8.10:性能问题
   
  验证用户身份时出现计算机故障
  本解决方案对 WLAN 同时使用用户身份验证和计算机身份验证。如果没有用户登录到计算机,使用计算机域凭据在 WLAN 中进行身份验证。如果有用户登录,则使用用户的凭据在 WLAN 中重新验证身份。这种安排可使计算机在无用户登录时与 WLAN 进行通信,并使计算机被远程管理以及下载服务器 GPO 设置等。
  
  当用户登录到 WLAN 计算机时,由于要在 WLAN 中进行身份验证,因此稍微有所延迟。一直到用户被授予连接权限,计算机的身份验证 WLAN 会话始终处于活动状态。但如果计算机无法在 WLAN 中进行身份验证,这种延迟意味着在用户登录会话开始时不存在网络连接。
  
  结果可能导致一些细微问题。例如,漫游用户配置文件将无法加载,某些计算机的 GPO 设置不被应用,且用户登录脚本和基于 GPO 的软件部署(这些部署在登录过程中很早便开始运行)将失败。
  
  为了确定计算机身份验证失败的原因,应执行本指南后面的“检查用户/计算机帐户”过程。
  
  验证计算机身份时出现用户问题
  与上一情况不同,该问题很明显,且直接由受影响的用户报告。为了确定用户身份验证失败的原因,应执行“检查用户/计算机帐户”过程。
  
  诊断过程
  以下提供了上述各节提到的详细的故障排除步骤。
  
  检查用户/计算机帐户
  下面的流程图可帮助您诊断用户或计算机身份验证失败的原因。
  
  注意:流程图中箭头形状的框表示应按照该框的指示参考“检查客户端计算机”过程。
   
  检查客户端计算机
  下面的流程图可帮助您诊断客户端计算机的问题。
   
  注意:该流程图中箭头形状的框是“检查用户/计算机帐户”过程中的链接。
  
  您可在“网络连接”文件夹(位于“控制面板”中)的“详细信息”窗格中看到 WLAN 卡(该流程图显示的“禁用/启用 WLAN 卡和监视状态”步骤中需要该卡)的状态。如果启用该卡,您应看到该卡的状态经历以下阶段:
  
   正在连接
  
   正在验证身份
  
   正在获取 IP 地址(除非该地址已静态指定)
  
  监视该过程的失败点是最有用的诊断过程之一。
  
  检查 IAS
  下表列出了您怀疑某个 IAS 服务器出现问题时要执行的一系列检查。
  
  表 8.11:IAS 诊断检查
   
  检查证书颁发机构
  下表包含一系列为确定 CA 是否正确执行而执行的检查。
  
  表 8.12:CA 诊断检查
   
  检查 Active Directory 和网络服务
  下表列出了一系列可确定 Active Directory 和其他网络组件是否正常执行的相关检查。
  
  表 8.13:Active Directory 诊断检查
   
  检查无线访问点配置
  下表列出了一系列可确定无线 AP 是否正确执行的相关检查。
  
  表 8.14:无线 AP 诊断检查
   
  检查 WAN 连接
  WLAN 故障可能由不同组件之间的 WAN 连接问题引起。下表列出了最可能导致问题的项。
  
  表 8.15:WAN 诊断检查
   
  故障排除工具和技术
  本节介绍了要在故障排除过程中使用的一些技术和工具。
  
  检查客户端网络连接文件夹状态
  “网络连接”文件夹和 Windows XP 系统任务栏图标提供了有关 WLAN 身份验证状态的信息。
  
  “网络连接”文件夹(位于“控制面板”中)中的无线网络适配器下的状态文本描述了连接的当前状态。突出显示的适配器显示了有关“网络连接”文件夹的“详细信息”面板中的连接的附加信息。禁用适配器然后再重新启用将显示该适配器在尝试连接到 WLAN 并进行身份验证时的状态;该信息可以在调试客户端连接问题时使用。
  
  右键单击适配器图标并单击“状态”可查看 WLAN 信号强度(位于“常规”选项卡上)和 IP 地址详细信息(位于“支持”选项卡上)。
  
  查看事件日志中的 IAS 身份验证事件
  客户端身份验证的成功与失败事件(记录在 IAS 服务器上的系统事件日志中)均可用于故障排除。默认情况下,成功和失败的身份验证请求都启用事件日志。可以从“Internet 验证服务”MMC 中的 IAS 服务器属性的“服务”选项卡中更改此设置。
  
  查看这些事件对于解决身份验证失败很有用。下表列出了 IAS 生成的事件类型。
  
  表 8.16:IAS 身份验证请求事件
   
  每个事件都包含了有关身份验证请求的详细信息,其中包括:
  
   客户端名称
  
   AP 的 IP 地址和标识符
  
   客户端类型(应为“无线-IEEE 802.11”)
  
   远程访问策略的名称
  
   身份验证和 EAP 类型
  
   原因代码和描述
  
  如果身份验证失败,原因代码和描述常可指出问题所在(但提供的原因有时可能会误导用户或含义不明确)。下表提供了可用的原因代码。
  
  表 8.17:IAS 身份验证请求事件原因代码
  
  有时,事件日志条目中显示的信息不足以诊断问题的原因。此时您要在 IAS 客户端和 IAS 服务器上启用跟踪。以下过程对这些内容进行了介绍。
  
  在客户端计算机上启用和禁用跟踪
  Windows 支持在大多数组件中提供详细跟踪信息,以便诊断可能出现的问题。对组件启用跟踪将导致诊断的输出结果写入文本日志文件,且提供详细程度超过事件日志的详细信息。
  
  为了获取有关 WLAN 身份验证过程的详细信息,必须使用 netsh 命令对 EAP over LAN (EAPOL) 和 Remote Access Service-Transport Layer Security (RASTLS) 组件启用跟踪。启用跟踪后,重新尝试身份验证过程并检查 Eapol.log 和 Rastls.log 文件以获取问题说明(这两个文件写入 %Systemroot%\Tracing 文件夹)。
  
  在客户端计算机上启用跟踪
  
   运行以下命令:
  
  netsh ras set tracing eapol enabled
  
  netsh ras set tracing rastls enabled
  
  在客户端计算机上禁用跟踪
  
   运行以下命令:
  
  netsh ras set tracing eapol disabled
  
  netsh ras set tracing rastls disabled
  
  注意:跟踪过程将消耗大量的系统资源并创建可快速增长的日志文件。请务必在故障排除完成后禁用跟踪。
  
  在 IAS 服务器上启用和禁用跟踪
  在 IAS 上启用跟踪与在客户端上启用跟踪的方式相同。
  
  可以使用 netsh 命令对与网络身份验证相关的各种不同的组件启用和禁用跟踪。最适于对 802.1X 的 PEAP 身份验证问题启用跟踪的组件如下:
  
   IASSAM(位于 %Systemroot%\tracing 文件夹下的 Iassam.log 文件中):这是 IAS 问题最常用的跟踪文件,因为它描述了与破译(在不同的格式之间转换)用户名称、绑定域控制器和验证凭据等相关的功能。它是 IAS 跟踪文件的核心,一般在调试与验证相关问题时使用。
  
   RASTLS(位于 %Systemroot%\tracing 文件夹下的 Rastls.log 文件中):该跟踪文件用于所有 EAP 和 PEAP 相关的身份验证。该日志保存了大多数重要的调试信息,但却很难读取和理解。Microsoft 现正计划发布用于使该信息的更容易理解的文档。
  
   RASCHAP(位于 %Systemroot%\tracing 文件夹下的 Raschap.log 文件中):该跟踪文件用于所有 MS-CHAP v2 以及其他基于 CHAP 的密码身份验证操作。
  
  对以下 IAS 组件启用跟踪对解决 802.1X 身份验证问题而言通常不必要,但可能对解决其他问题有用:
  
   IASRAD(位于 %Systemroot%\tracing 文件下的 Iasrad.log 文件中):该跟踪文件记录了所有 RADIUS 协议的相关操作。它将描述服务器正在侦听的端口等设备。它对于调试无线 AP 兼容问题可能很有用。
  
   IASSDO(位于 %Systemroot%\tracing 文件夹下的 Iassdo.log 文件中):IASSDO 日志处理的事务范围从用户界面 (UI) 到用于存储服务器的配置和词典的 MDB 文件不等。该日志用于解决所有与服务或 UI 相关的问题。
  
  在 IAS 服务器上启用跟踪
  
  1.运行与所需跟踪信息类型相对应的 netsh 命令。在解决 802.1X 身份验证问题时,IASSAM、RASTLS 和 RASCHAP 日志将包含最有用的信息。
  
  netsh ras set tracing iassam enabled
  
  netsh ras set tracing rastls enabled
  
  netsh ras set tracing raschap enabled
  
  netsh ras set tracing iasrad enabled
  
  netsh ras set tracing iassdo enabled
  
  或者,运行以下命令,对所有类别的网络组件启用跟踪:
  
  netshras set tracing * enabled
  
  在 IAS 服务器上禁用跟踪
  
  1.运行如下一个或多个 netsh 命令,对上一过程中启用