# Resolução de Problemas
## Problemas de ligação
### Vista do cliente
#### XML incorreto
{% hint style="warning" %}
Não é possível ligar porque precisa de um certificado para iniciar sessão. Contacte a pessoa de apoio de TI.
{% endhint %}
Verifique se o seu cliente tem um certificado para autenticação e se está a utilizar o correto [perfil de configuração WiFi](/pt/implementacao-de-perfil/microsoft-intune/wifi-profile.md) ou [XML](/pt/portal-de-administracao/settings/trusted-roots.md#xml).
#### Problemas com a raiz de confiança
{% hint style="warning" %}
Não é possível ligar a esta rede.
{% endhint %}
Verifique se fez o seguinte:
* Informou o seu Servidor RADIUS sobre quais certificados estão autorizados a ligar, conforme descrito [aqui](/pt/portal-de-administracao/settings/trusted-roots.md#add)
* Importou o certificado ativo do Servidor RADIUS como raiz de confiança no seu cliente, conforme descrito [aqui](/pt/implementacao-de-perfil/microsoft-intune/trusted-root.md#to-add-a-trusted-root-profile-for-your-clients)
* Verifique os seus [Registos](/pt/portal-de-administracao/insights/log.md#logs). Há uma descrição detalhada do erro. Talvez seja um problema de [este](/pt/outro/troubleshooting.md#fatal-decrypt-error) .
#### Continuar a ligar?
{% hint style="warning" %}
Continuar a ligar? \
Se espera encontrar o Corporate WiFi nesta localização, avance e ligue-se. Caso contrário, pode ser outra rede com o mesmo nome.
Mostrar detalhes do certificado.
{% endhint %}
Se os seus clientes precisarem de verificar ao ligar pela primeira vez e estiver a ver esta caixa de diálogo:
Certifique-se de que referenciou o certificado do servidor RADIUS no seu perfil WiFi e forneceu o atributo SAN (FQDN) e o nome comum (CN) do certificado do servidor:
A mostrar o atributo SAN (FQDN) e o nome comum (CN) do certificado do servidor
### Vista do servidor
#### CA desconhecida
Se os seus [Registos](/pt/portal-de-administracao/insights/log.md#logs) contiverem mensagens de erro semelhantes às mostradas abaixo
```
ERRO: (14872) eap_tls: ERRO: SSL diz erro 20 : não é possível obter o certificado emissor local
ERRO: (14872) eap_tls: ERRO: TLS Alert write:fatal:unknown CA
Erro: tls: TLS_accept: Erro no erro
Autenticação: (14872) Início de sessão incorreto (eap_tls: SSL diz erro 20 : não é possível obter o certificado emissor local): [host/8dc38402-20fb-41db-a8f3-4e4e95637173/] (do cliente contoso porta 1 cli 18-9K-EA-0H-7F-C5)
```
pode ter as seguintes causas raiz:
* O cliente devolve erro `TLS Alert read:fatal:unknown CA`
* O seu cliente não conhece o **certificado do servidor** e rejeita a ligação. Verifique se adicionou o seu **certificado do servidor** conforme descrito [aqui](/pt/implementacao-de-perfil/microsoft-intune/trusted-root.md#adding-a-trusted-root-profile-for-your-clients).
* Alterou/adicionou um novo **certificado do servidor** e o seu perfil XML no cliente está a usar o antigo. Nesse caso, verifique novamente se atualizou o seu perfil WiFi/Com fios ou se regenerou o seu [XML](/pt/portal-de-administracao/settings/trusted-roots.md#xml) depois de adicionar os certificados e o enviou para os seus clientes.
* O servidor devolve erro `TLS Alert write:fatal:unknown CA`
* O seu servidor RADIUS não conhece o emissor do certificado que foi utilizado para autenticação. Adicione a sua CA conforme descrito [aqui](/pt/portal-de-administracao/settings/trusted-roots.md#add).
#### Certificado desconhecido
Se usar macOS (e possivelmente outras plataformas Apple) e se os seus [Registos](/pt/portal-de-administracao/insights/log.md#logs) contiverem mensagens de erro semelhantes à mostrada abaixo
```
eap_tls: (TLS) TLS - Alert read:fatal:certificate unknown
```
pode ter as seguintes causas raiz:
* Há um caráter de espaço algures no **Nome do servidor do certificado** no seu [WiFi](/pt/implementacao-de-perfil/microsoft-intune/wifi-profile/apple-devices.md) ou [Com fios](/pt/implementacao-de-perfil/microsoft-intune/wired-profile/mac.md) perfil de configuração.
#### Erro de desencriptação | Acesso negado
Se os seus [Registos](/pt/portal-de-administracao/insights/log.md#logs) contiverem mensagens de erro semelhantes às mostradas abaixo
```
Autenticação: (312) Início de sessão incorreto (eap_tls: TLS Alert write:fatal:decrypt error): [host/00128t09-cbna-469c-9768-2783d28eikl9/] (do cliente contoso porta 1 cli 84-FD-D1-8C-0E-33)
ERRO: (320) eap_tls: ERRO: TLS Alert write:fatal:decrypt error
Erro: tls: TLS_accept: Erro no erro
```
... então é provavelmente um bug do software TPM nas suas máquinas Windows. Pode encontrar mais informações sobre isso na [documentação do SCEPman](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
Se vir algo assim nos seus [Registos](/pt/portal-de-administracao/insights/log.md#logs)
```
ERRO: (95878) eap_tls: ERRO: (TLS) Alert read:fatal:access denied
Autenticação: (95878) Início de sessão incorreto (eap_tls: (TLS) Alert read:fatal:access denied): [host/kad933-161d-4aa8-aeaa-b5a4d3d53b12]
ERRO: (95717) eap_tls: ERRO: (TLS) Alert read:fatal:access denied
```
... pode haver duas razões. Uma é que o seu perfil WiFi está a referenciar o certificado raiz errado para validação do servidor. Certifique-se de que o seu perfil está configurado corretamente. Se estiver e ainda assim continuar a enfrentar este problema, tente definir o seu KSP como [**Software KSP**](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
{% hint style="warning" %}
A definição Key Storage Provider (KSP) determina a localização de armazenamento da chave privada para os certificados do utilizador final. O armazenamento no TPM é mais seguro do que o armazenamento em software, porque o TPM fornece uma camada adicional de segurança para evitar o roubo da chave. No entanto, existe **um bug em algumas versões mais antigas do firmware TPM** que invalida algumas assinaturas criadas com uma chave privada suportada por TPM. Nesses casos, o certificado não pode ser utilizado para autenticação EAP, como é comum nas ligações Wi-Fi e VPN. As versões de firmware TPM afetadas incluem:
* STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100
* Intel: 11.8.50.3399, 2.0.0.2060
* Infineon: 7.63.3353.0
* IFX: Versão 3.19 / Especificação 1.2
Se usar TPM com este firmware, atualize o firmware para uma versão mais recente ou selecione "Software KSP" como fornecedor de armazenamento de chaves.
{% endhint %}
#### Não é possível continuar, porque o peer está a comportar-se de forma incorreta
Se os seus Registos contiverem rejeições com o erro *"Não é possível continuar, porque o peer está a comportar-se de forma incorreta"* isto indica que o cliente parou de comunicar com o serviço RADIUS, na maioria das vezes porque as definições de confiança estão incorretas. Neste caso, verifique os certificados nos dispositivos afetados.
#### Segredo RADIUS partilhado incorreto
Se o seu (proxy) [Registos](/pt/portal-de-administracao/insights/log.md#logs) contiverem mensagens de erro semelhantes às mostradas abaixo
```
- autenticação de mensagem, valor incorreto
- buf2radmsg: falha na autenticação da mensagem
- radsrv: a ignorar pedido de default (8.222.246.231), validação falhou
```
então um dos seus pontos de acesso ou switches que está a tentar ligar à sua instância RADIUSaaS através de um [Proxy RADIUS](/pt/portal-de-administracao/settings/settings-proxy.md) está a usar um [Segredo partilhado](/pt/portal-de-administracao/settings/settings-server.md#properties-1).
Para identificar o ponto de acesso ou switch afetado, primeiro determine o proxy RADIUS expandindo a mensagem de erro e procurando a `proxyip` propriedade. Agora que conhece o proxy, use o seu inventário e o conhecimento de localizações específicas ou grupos de dispositivos que não conseguem ligar-se à sua rede para identificar o dispositivo de rede mal configurado. Por fim, atualize o segredo partilhado para corresponder ao valor configurado na sua instância RADIUSaaS para esse proxy.
## Problemas de certificado
### A cadeia de certificados não pôde ser verificada
Quando quer usar o seu próprio certificado de servidor, o seu servidor RADIUS requer a cadeia completa de certificados para permitir que outros participantes (Proxy, clientes RadSec, endpoints que tentam ligar-se) verifiquem a identidade do servidor. \
Se vir esta mensagem, copie e cole o certificado CA abaixo do certificado do servidor no campo de texto ou crie um pacote de certificados PCKS8 que inclua todos os certificados desde a folha até à raiz.
## Problemas do Portal de Administração
### Iniciar sessão
Para iniciar sessão no portal web RADIUSaaS ("RADIUSaas Admin Portal"), têm de ser cumpridos os seguintes requisitos:
* O UPN/endereço de e-mail que forneceu como administrador técnico tem de ser autenticável contra **algum** Microsoft Entra ID (Azure AD) (não tem de ser uma identidade do tenant cujos utilizadores irão utilizar o RADIUSaaS para autenticação de rede).
* O UPN/endereço de e-mail que forneceu como administrador técnico tem de ter sido registado na sua instância RADIUSaaS conforme descrito [aqui](/pt/portal-de-administracao/settings/permissions.md). No caso de ser o administrador inicial, por favor [contacte-nos](https://www.radius-as-a-service.com/help/) se acredita que registámos o utilizador errado.
* O objeto de utilizador Microsoft Entra ID (Azure AD) por trás do UPN/endereço de e-mail tem de estar autorizado a conceder à Enterprise Application RADIUSaaS as seguintes permissões (ver captura de ecrã abaixo):
* **Ler** o Perfil de Utilizador Básico
* **Manter** acesso aos dados aos quais lhe concedeu acesso (permitir o pedido de token de atualização)\
* Caso o seu utilizador Microsoft Entra ID (Azure AD) não tenha direitos para conceder as permissões necessárias, não será criada automaticamente qualquer **Enterprise Application** correspondente no seu Microsoft Entra ID (Azure AD). Para contornar isto, peça ao seu departamento de TI que conceda ao seu utilizador as permissões necessárias.
## Problemas de configuração do Intune
### Atribuição de perfil
A configuração Wi-Fi não é implementada se os perfis Wi-Fi, SCEP e certificado de confiança forem atribuídos a grupos diferentes. Podem aparecer como "Pendente" ou pode não haver qualquer estado. Utilize o **mesmo grupo ou "Todos os dispositivos" resp. "Todos os utilizadores"** para **todos os perfis associados**.
Pode atribuir o perfil de certificado raiz SCEP a "Todos os utilizadores" e a "Todos os dispositivos" se estiver a usar um certificado de dispositivo (atribuído a "Todos os dispositivos") e um certificado de utilizador (atribuído a "Todos os utilizadores").
### Certificado SCEP
#### Android
O Android parece exigir um UPN no nome alternativo do sujeito nas versões mais recentes (mesmo para certificados de dispositivo). Adicione isto no seu perfil SCEP (por exemplo, {{DeviceId}}@contoso.com):
### Perfil Wi-Fi
#### Android
Códigos de erro comuns: 0xc7d24fc5 ou -942518331
Os pontos-chave são:
* selecione o **certificado da CA raiz** para **validação do servidor** (importante: não carregue o certificado de servidor do RADIUSaaS)\
\&#xNAN;**- e -**
* defina um **nome do servidor radius**
* Nota: Parece haver um limite de caracteres para este campo. Para resolver possíveis problemas, pode usar apenas a parte do domínio sem subdomínio, como "radius-as-a-service.com" (em vez de "contoso.radius-as-a-service.com").
* [Programadores Android](https://developer.android.com/guide/topics/connectivity/wifi-enterprise) afirma: "\[...] deve configurar **tanto um certificado CA raiz**, e também um **correspondência de sufixo de domínio** ou uma correspondência de sujeito alternativo". Assim, o MDM pode usar "setAltSubjectMatch" ou "setDomainSuffixMatch" depois de adicionar um certificado raiz à configuração Wi-Fi. O Intune parece usar "setDomainSuffixMatch", uma vez que apenas "radius-as-a-service.com" é suficiente.
* por vezes **privacidade da identidade** é necessária (por exemplo, visto em dispositivos quiosque Android / Android Enterprise dedicado)
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/pt/outro/troubleshooting.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.