トラブルシューティング

接続の問題

クライアントビュー

誤ったXML

クライアントに認証用の証明書があり、次の正しいものを使用していることを確認してください。 WiFi構成プロファイル または XML.

信頼されたルートの問題

次の点を確認してください：

• RADIUSサーバーに、接続を許可する証明書を次のように指定したこと ここ

• クライアントにアクティブなRADIUSサーバー証明書を信頼されたルートとしてインポートしたこと（次のように） ここ

• ログを確認してください ログ。エラーの詳細な説明があります。もしかするとそれは この 問題です。

接続を続行しますか？

クライアントが初回接続時に検証を行う必要があり、このダイアログが表示される場合：

WiFiプロファイルでRADIUSサーバー証明書を参照し、サーバー証明書のSAN属性（FQDN）とコモンネーム（CN）を指定していることを確認してください：

サーバービュー

不明な認証局（CA）

もしあなたの ログ が以下に示すようなエラーメッセージを含んでいるなら

原因として以下のことが考えられます：

• クライアントがエラーを投げる TLS Alert read:fatal:unknown CA

  • クライアントが サーバー証明書 を知らず、接続を拒否しています。次のことを追加したことを確認してください： サーバー証明書 次のように記載されています ここ.

  • あなたは新しい/変更した サーバー証明書 を追加し、クライアント上のXMLプロファイルが古いものを使用している可能性があります。その場合は、WiFi/有線プロファイルを更新するか、証明書を追加した後に XML を再生成してクライアントに配布したことを再確認してください。

• サーバーがエラーを投げる TLS Alert write:fatal:unknown CA

  • RADIUSサーバーが認証に使用された証明書の発行者を認識していません。次のようにCAを追加してください： ここ.

証明書が不明

macOS（およびおそらく他のAppleプラットフォーム）を使用していて、あなたの ログ が以下のようなエラーメッセージを含んでいる場合

原因として以下のことが考えられます：

• あなたの 証明書サーバー名 のどこかに空白文字が含まれています あなたの または WiFi 有線

構成プロファイル。

もしあなたの ログ が以下に示すようなエラーメッセージを含んでいるなら

ERROR: (320) eap_tls: ERROR: TLS Alert write:fatal:decrypt error … それはおそらくWindowsマシン上のTPMソフトウェアのバグです。それに関する詳細は.

SCEPmanドキュメント ログ

Auth: (95878) Login incorrect (eap_tls: (TLS) Alert read:fatal:access denied): [host/kad933-161d-4aa8-aeaa-b5a4d3d53b12] ERROR: (95717) eap_tls: ERROR: (TLS) Alert read:fatal:access denied.

Infineon: 7.63.3353.0

IFX: Version 3.19 / Specification 1.2 このファームウェアのTPMを使用している場合は、ファームウェアを新しいバージョンに更新するか、キー保存プロバイダーとして「ソフトウェアKSP」を選択してください。 ピアの不正動作により続行できません

ログに次のエラーで拒否が記録されている場合

「ピアの不正動作により続行できません」 ログ が以下に示すようなエラーメッセージを含んでいるなら

- message authenticator, wrong value - buf2radmsg: message authentication failed - radsrv: ignoring request from default (8.222.246.231), validation failed のようなメッセージがあるなら、RADIUSプロキシ経由でRADIUSaaSインスタンスに接続しようとしているアクセスポイントかスイッチのいずれかが、.

RADIUSプロキシ が不一致の 共有シークレット

を使用している可能性があります。

影響を受けるアクセスポイントやスイッチを特定するには、まずエラーメッセージを展開して

proxyip

プロパティを検索し、RADIUSプロキシを特定します。プロキシが判明したら、在庫情報や特定の場所や接続できないデバイスのグループに関する知識を使って、誤設定されたネットワーク機器を特定してください。最後に、そのプロキシに対してRADIUSaaSインスタンスで設定されている値と一致するように共有シークレットを更新します。

証明書の問題

証明書チェーンを検証できませんでした

• 独自のサーバー証明書を使用したい場合、RADIUSサーバーは他の参加者（プロキシ、RadSecクライアント、接続を試みるエンドポイント）がサーバーの身元を検証できるように、完全な証明書チェーンを必要とします。 このメッセージが表示される場合は、サーバー証明書の下にCA証明書をコピー＆ペーストするか、先頭からルートまでのすべての証明書を含むPKCS#8証明書バンドルを作成してください。 管理ポータルの問題 ログイン

• RADIUSaaSのWebポータル（「RADIUSaaS管理ポータル」）にログインするには、以下の要件を満たす必要があります： ここ技術管理者として指定したUPN/メールアドレスは、次に対して認証可能である必要があります： 何らかの Microsoft Entra ID（Azure AD）（RADIUSaaSをネットワーク認証に利用するテナントのアイデンティティである必要はありません）。

• 技術管理者として指定したUPN/メールアドレスは、次のように記載された通りにあなたのRADIUSaaSインスタンスに登録されている必要があります：

  • 。初期管理者であり、誤ったユーザーを登録したと思われる場合は、 お問い合わせください

  • 。 UPN/メールアドレスに紐づくMicrosoft Entra ID（Azure AD）ユーザーオブジェクトは、RADIUSaaSエンタープライズアプリケーションに以下の権限を付与できる権利を持っている必要があります（下のスクリーンショット参照）：

• 読み取り 基本ユーザープロフィール 維持

そのアプリに与えたデータへのアクセス（リフレッシュトークン要求を許可）

あなたのMicrosoft Entra ID（Azure AD）ユーザーが必要な権限を付与する権利を持っていない場合、対応する

エンタープライズアプリケーション はMicrosoft Entra ID（Azure AD）に自動作成されません。これを回避するには、IT部門に必要な権限をユーザーに付与してもらってください。 Intune構成の問題 プロファイル割り当て.

Wi-Fi構成は、Wi-Fi、SCEP、信頼された証明書プロファイルが異なるグループに割り当てられている場合に展開されません。これらは「保留中」と表示されるか、ステータスがまったく表示されないことがあります。次のものを使用してください：

同じグループ、または「すべてのデバイス」もしくは「すべてのユーザー」

を

すべてのリンクされたプロファイルに対して

SCEPルート証明書プロファイルは、デバイス証明書（「すべてのデバイス」に割り当て）とユーザー証明書（「すべてのユーザー」に割り当て）を併用している場合、両方の「すべてのユーザー」と「すべてのデバイス」に割り当てることができます。

を

SCEP証明書

Android

• Androidは新しいバージョンでSubject alternative nameにUPNを要求するようです（デバイス証明書でも）。SCEPプロファイルにこれを追加してください（例：{{DeviceId}}@contoso.com）： Wi-Fiプロファイル Intune構成の問題 一般的なエラーコード：0xc7d24fc5 または -942518331 重要なポイントは： 次を選択すること

• ルートCA証明書 サーバー検証

  • （重要：RADIUSaaSのサーバー証明書をアップロードしないでください）

  • - および - 次を定義すること radiusサーバー名注意：このフィールドには文字数制限があるようです。問題を解決するために、サブドメインなしのドメイン部分（例：「radius-as-a-service.com」）を使用するだけでよい場合があります（「contoso.radius-as-a-service.com」の代わりに）。 Android開発者は 次のように述べています：「[...] 次の両方を構成する必要があります。

• ルートCA証明書 、およびいずれかの ドメインサフィックスマッチ