# トラブルシューティング ## 接続の問題 ### クライアントビュー #### 間違った XML {% hint style="warning" %} サインインに証明書が必要なため接続できません。IT サポート担当者に連絡してください。 {% endhint %} ![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/k8FhkMHpqVOne7UXpLzC/image.png) クライアントに認証用の証明書があり、正しいものを使用していることを確認してください [WiFi 構成プロファイル](https://docs.radiusaas.com/ja/purofairu/microsoft-intune/wifi-profile) または [XML](https://docs.radiusaas.com/ja/ptaru/settings/trusted-roots#xml). #### 信頼されたルートの問題 {% hint style="warning" %} このネットワークに接続できません。 {% endhint %} ![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/g3XbpcPNSLDJPrr96nYr/image.png) 次のことを実施したことを確認してください: * RADIUS サーバーに、接続を許可する証明書を次のように指定した [こちら](https://docs.radiusaas.com/ja/ptaru/settings/trusted-roots#add) * アクティブな RADIUS サーバー証明書を、クライアントに信頼されたルートとして次のようにインポートした [こちら](https://docs.radiusaas.com/ja/purofairu/microsoft-intune/trusted-root#to-add-a-trusted-root-profile-for-your-clients) * 確認してください [ログ](https://docs.radiusaas.com/ja/ptaru/insights/log#logs)。エラーの詳細な説明があります。もしかすると [こちら](#fatal-decrypt-error) の問題かもしれません。 #### 接続を続行しますか? {% hint style="warning" %} 接続を続行しますか? \ この場所で Corporate WiFi が見つかると思われる場合は、そのまま接続してください。そうでない場合は、同じ名前の別のネットワークである可能性があります。 証明書の詳細を表示します。 {% endhint %} クライアントが初回接続時に確認を必要とし、このダイアログが表示される場合: ![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/8uYG1oXtvKS2IJkLbQyL/image.png) WiFi プロファイルで RADIUS サーバー証明書を参照し、サーバー証明書の SAN 属性 (FQDN) と共通名 (CN) を指定していることを確認してください:

サーバー証明書の SAN 属性 (FQDN) と共通名 (CN) を表示しています

### サーバービュー #### 不明な CA 次の [ログ](https://docs.radiusaas.com/ja/ptaru/insights/log#logs) に、以下に示すものと同様のエラーメッセージが含まれている場合 ``` ERROR: (14872) eap_tls: ERROR: SSL says error 20 : unable to get local issuer certificate ERROR: (14872) eap_tls: ERROR: TLS Alert write:fatal:unknown CA Error: tls: TLS_accept: Error in error Auth: (14872) Login incorrect (eap_tls: SSL says error 20 : unable to get local issuer certificate): [host/8dc38402-20fb-41db-a8f3-4e4e95637173/] (from client contoso port 1 cli 18-9K-EA-0H-7F-C5) ``` 次のような原因が考えられます: * クライアントでエラーが発生 `TLS Alert read:fatal:unknown CA` * クライアントが **サーバー証明書** を認識しておらず、接続を拒否しています。追加したことを確認してください **サーバー証明書** 次のように [こちら](https://docs.radiusaas.com/ja/purofairu/microsoft-intune/trusted-root#adding-a-trusted-root-profile-for-your-clients). * 新しい **サーバー証明書** を変更/追加したのに、クライアント上の XML プロファイルが古いものを使用している場合。その場合は、WiFi/有線プロファイルを更新したか、証明書を追加した後に [XML](https://docs.radiusaas.com/ja/ptaru/settings/trusted-roots#xml) を再生成して、クライアントにプッシュしたことを再確認してください。 * サーバーでエラーが発生 `TLS Alert write:fatal:unknown CA` * RADIUS サーバーが、認証に使用された証明書の発行者を認識していません。CA を次のように追加してください [こちら](https://docs.radiusaas.com/ja/ptaru/settings/trusted-roots#add). #### 証明書が不明 macOS(および場合によっては他の Apple プラットフォーム)を使用していて、次の [ログ](https://docs.radiusaas.com/ja/ptaru/insights/log#logs) に、以下に示すものと同様のエラーメッセージが含まれている場合 ``` eap_tls: (TLS) TLS - Alert read:fatal:certificate unknown ``` 次のような原因が考えられます: * どこかにスペース文字が存在します **証明書サーバー名** あなたの [WiFi](https://docs.radiusaas.com/ja/purofairu/microsoft-intune/wifi-profile/apple-devices) または [有線](https://docs.radiusaas.com/ja/purofairu/microsoft-intune/wired-profile/mac) 構成プロファイル。 #### 復号エラー | アクセスが拒否されました 次の [ログ](https://docs.radiusaas.com/ja/ptaru/insights/log#logs) に、以下に示すものと同様のエラーメッセージが含まれている場合 ``` Auth: (312) Login incorrect (eap_tls: TLS Alert write:fatal:decrypt error): [host/00128t09-cbna-469c-9768-2783d28eikl9/] (from client contoso port 1 cli 84-FD-D1-8C-0E-33) ERROR: (320) eap_tls: ERROR: TLS Alert write:fatal:decrypt error Error: tls: TLS_accept: Error in error ``` ... その場合、おそらく Windows マシン上の TPM ソフトウェアの不具合です。その詳細は、次の場所で確認できます [SCEPman のドキュメント](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail). 次のようなものがログに表示される場合 [ログ](https://docs.radiusaas.com/ja/ptaru/insights/log#logs) ``` ERROR: (95878) eap_tls: ERROR: (TLS) Alert read:fatal:access denied Auth: (95878) Login incorrect (eap_tls: (TLS) Alert read:fatal:access denied): [host/kad933-161d-4aa8-aeaa-b5a4d3d53b12] ERROR: (95717) eap_tls: ERROR: (TLS) Alert read:fatal:access denied ``` ... その原因は 2 つ考えられます。1 つは、WiFi プロファイルがサーバー検証用に間違ったルート証明書を参照していることです。プロファイルが正しく設定されていることを確認してください。正しく設定されているのに問題が続く場合は、KSP を次に設定してみてください [**Software KSP**](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail). {% hint style="warning" %} Key Storage Provider (KSP) の設定は、エンドユーザー証明書の秘密鍵の保存場所を決定します。TPM に保存する方がソフトウェア保存よりも安全です。TPM が鍵の盗難を防ぐための追加のセキュリティ層を提供するからです。ただし、 **一部の古い TPM ファームウェアバージョンには不具合があり** TPM で保護された秘密鍵で作成された一部の署名が無効になります。このような場合、Wi-Fi および VPN 接続で一般的な EAP 認証には証明書を使用できません。影響を受ける TPM ファームウェアバージョンには次が含まれます: * STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100 * Intel: 11.8.50.3399, 2.0.0.2060 * Infineon: 7.63.3353.0 * IFX: Version 3.19 / Specification 1.2 このファームウェアで TPM を使用している場合は、ファームウェアを新しいバージョンに更新するか、鍵の保存プロバイダーとして「Software KSP」を選択してください。 {% endhint %} #### ピアの動作が異常なため続行できません ログに次のエラーによる拒否が含まれている場合 *「ピアの動作が異常なため続行できません」* これは、主に信頼設定が正しくないために、クライアントが RADIUS サービスとの通信を停止したことを示します。この場合は、影響を受けるデバイス上の証明書を確認してください。 #### 共有 RADIUS シークレットが間違っています (proxy) [ログ](https://docs.radiusaas.com/ja/ptaru/insights/log#logs) に、以下に示すものと同様のエラーメッセージが含まれている場合 ``` - メッセージ認証子、値が誤っています - buf2radmsg: メッセージ認証に失敗しました - radsrv: default (8.222.246.231) からの要求を無視しています。検証に失敗しました ``` その場合、RADIUSaaS インスタンスに経由で接続しようとしているアクセスポイントまたはスイッチのいずれかが [RADIUS Proxy](https://docs.radiusaas.com/ja/ptaru/settings/settings-proxy) 不一致の [共有シークレット](https://docs.radiusaas.com/ja/ptaru/settings/settings-server#properties-1). 影響を受けるアクセスポイントまたはスイッチを特定するには、まずエラーメッセージを展開して次を検索し、RADIUS プロキシを確認します `proxyip` プロパティ。プロキシが分かったら、インベントリと、ネットワークに接続できない特定の場所またはデバイスグループに関する知識を使って、誤設定されたネットワークデバイスを特定します。最後に、そのプロキシに対して RADIUSaaS インスタンスで構成されている値と一致するように共有シークレットを更新します。 ## 証明書の問題 ### 証明書チェーンを検証できませんでした
独自のサーバー証明書を使用する場合、RADIUS サーバーは他の参加者(Proxy、RadSec クライアント、接続を試みるエンドポイント)がサーバーのIDを検証できるように、完全な証明書チェーンを必要とします。 \ このメッセージが表示された場合は、テキストフィールドでサーバー証明書の下に CA 証明書をコピー&ペーストするか、先頭からルートまでのすべての証明書を含む PCKS8 証明書バンドルを作成してください。 ## 管理ポータルの問題 ### ログイン RADIUSaaS Web ポータル(「RADIUSaas Admin Portal」)にログインするには、次の要件を満たす必要があります: * 技術管理者として指定した UPN/メールアドレスが、次に対して認証可能である必要があります **いずれかの** Microsoft Entra ID (Azure AD)(そのユーザーが所属するテナントが、ネットワーク認証に RADIUSaaS を利用するテナントである必要はありません)。 * 技術管理者として指定した UPN/メールアドレスが、次のように RADIUSaaS インスタンスに登録されている必要があります [こちら](https://docs.radiusaas.com/ja/ptaru/settings/permissions)。最初の管理者である場合は、 [お問い合わせください](https://www.radius-as-a-service.com/help/) 登録したユーザーが間違っていると思われる場合。 * UPN/メールアドレスの背後にある Microsoft Entra ID (Azure AD) ユーザー オブジェクトは、RADIUSaaS Enterprise Application に次の権限を付与できる権限を持っている必要があります(下のスクリーンショットを参照): * **基本ユーザー プロファイルを** 読み取り * **維持** アクセスしたデータへのアクセス権を維持する(更新トークンの要求を許可する)\ ![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/zBRh87CJ75R1N8hz7mZF/Screenshot_2022-04-11_at_09_31_26.png) * Microsoft Entra ID (Azure AD) ユーザーに必要な権限を付与する権限がない場合、対応する **Enterprise Application** は Microsoft Entra ID (Azure AD) に自動作成されません。これを回避するには、IT 部門にユーザーへ必要な権限を付与してもらってください。 ## Intune 構成の問題 ### プロファイル割り当て Wi-Fi、SCEP、および信頼された証明書のプロファイルが異なるグループに割り当てられていると、Wi-Fi 構成は展開されません。「保留中」と表示されるか、まったくステータスが表示されないことがあります。次の項目には **同じグループまたは「すべてのデバイス」または「すべてのユーザー」** を **すべての関連プロファイル**. デバイス証明書(「すべてのデバイス」に割り当て)とユーザー証明書(「すべてのユーザー」に割り当て)の両方を使用している場合は、SCEP ルート証明書プロファイルを「すべてのユーザー」と「すべてのデバイス」の両方に割り当てることができます。 ### SCEP 証明書 #### Android Android の新しいバージョンでは、Subject Alternative Name に UPN が必要なようです(デバイス証明書の場合でも)。SCEP プロファイルにこれを追加してください(例: {{DeviceId}}@contoso.com):
### Wi-Fi プロファイル #### Android 一般的なエラーコード: 0xc7d24fc5 または -942518331 重要なポイントは次のとおりです: * 次を選択します **ルート CA 証明書** を **サーバー検証** (重要: RADIUSaaS のサーバー証明書をアップロードしないでください)\ \&#xNAN;**- および -** * 次を定義します **radius サーバー名** * 注: このフィールドには文字数制限があるようです。問題を解決するには、「contoso.radius-as-a-service.com」ではなく「radius-as-a-service.com」のように、サブドメインを含めずにドメイン部分のみを使用するとよいでしょう。 * [Android 開発者](https://developer.android.com/guide/topics/connectivity/wifi-enterprise) は次のように述べています:「\[...] を構成する必要があります **ルート CA 証明書と**、さらに次のいずれかを **ドメインサフィックスの一致** または代替サブジェクトの一致」したがって、MDM は Wi-Fi 構成にルート証明書を追加した後、「setAltSubjectMatch」または「setDomainSuffixMatch」を使用できます。Intune では「setDomainSuffixMatch」を使用しているようで、「radius-as-a-service.com」だけで十分です。 * 場合によっては **ID プライバシー** が必要です(例: Android キオスク デバイス / Android Enterprise 専用で見られます)