> For the complete documentation index, see [llms.txt](https://docs.radiusaas.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.radiusaas.com/pt/outro/troubleshooting.md).
# Resolução de problemas
## Problemas de ligação
### Vista do cliente
#### XML errado
{% hint style="warning" %}
Não é possível ligar porque precisa de um certificado para iniciar sessão. Contacte a pessoa de suporte de TI.
{% endhint %}
Verifique se o seu cliente tem um certificado para autenticar e se está a utilizar o correto [perfil de configuração WiFi](/pt/implementacao-de-perfis/microsoft-intune/wifi-profile.md) ou [XML](/pt/portal-de-administracao/settings/trusted-roots.md#xml).
#### Problemas com a raiz de confiança
{% hint style="warning" %}
Não é possível ligar a esta rede.
{% endhint %}
Verifique se fez o seguinte:
* Indicado ao seu servidor RADIUS quais certificados têm permissão para se ligar, conforme descrito [aqui](/pt/portal-de-administracao/settings/trusted-roots.md#add)
* Importou o certificado ativo do servidor RADIUS como raiz de confiança no seu cliente, conforme descrito [aqui](/pt/implementacao-de-perfis/microsoft-intune/trusted-root.md#to-add-a-trusted-root-profile-for-your-clients)
* Verifique os seus [registos](/pt/portal-de-administracao/insights/log.md#logs). Existe uma descrição detalhada do erro. Talvez seja [este](/pt/outro/troubleshooting.md#fatal-decrypt-error) problema.
#### Continuar a ligar?
{% hint style="warning" %}
Continuar a ligar? \
Se espera encontrar a WiFi Corporativa nesta localização, avance e ligue-se. Caso contrário, pode ser uma rede diferente com o mesmo nome.
Mostrar detalhes do certificado.
{% endhint %}
Se os seus clientes precisarem de verificar ao ligar pela primeira vez e estiver a ver esta caixa de diálogo:
Certifique-se de que referenciou o certificado do servidor RADIUS no seu perfil WiFi e forneceu o atributo SAN do certificado do servidor (FQDN) e o nome comum (CN):
A mostrar o atributo SAN do certificado do servidor (FQDN) e o nome comum (CN)
### Vista do servidor
#### CA desconhecida
Se os seus [registos](/pt/portal-de-administracao/insights/log.md#logs) contêm mensagens de erro semelhantes às mostradas abaixo
```
ERRO: (14872) eap_tls: ERRO: SSL diz erro 20: não foi possível obter o certificado do emissor local
ERRO: (14872) eap_tls: ERRO: escrita do alerta TLS: fatal: CA desconhecida
Erro: tls: TLS_accept: erro ao tratar erro
Auth: (14872) início de sessão incorreto (eap_tls: SSL diz erro 20: não foi possível obter o certificado do emissor local): [host/8dc38402-20fb-41db-a8f3-4e4e95637173/] (from client contoso port 1 cli 18-9K-EA-0H-7F-C5)
```
pode ter as seguintes causas raiz:
* O cliente apresenta erro `Leitura do alerta TLS: fatal: CA desconhecida`
* O seu cliente não conhece o **certificado do servidor** e rejeita a ligação. Verifique se adicionou o seu **certificado do servidor** conforme descrito [aqui](/pt/implementacao-de-perfis/microsoft-intune/trusted-root.md#adding-a-trusted-root-profile-for-your-clients).
* Alterou/adicionou um novo **certificado do servidor** e o seu perfil XML no cliente está a usar o antigo. Nesse caso, confirme se atualizou o seu perfil WiFi/com fios ou se regenerou o seu [XML](/pt/portal-de-administracao/settings/trusted-roots.md#xml) após adicionar os certificados e o enviou para os seus clientes.
* O servidor apresenta erro `Escrita do alerta TLS: fatal: CA desconhecida`
* O seu servidor RADIUS não conhece a entidade emissora do certificado utilizado para autenticação. Adicione a sua CA conforme descrito [aqui](/pt/portal-de-administracao/settings/trusted-roots.md#add).
#### Certificado desconhecido
Se utilizar macOS (e possivelmente outras plataformas Apple) e se os seus [registos](/pt/portal-de-administracao/insights/log.md#logs) contêm mensagens de erro semelhantes à mostrada abaixo
```
eap_tls: (TLS) TLS - Leitura do alerta: fatal: certificado desconhecido
```
pode ter as seguintes causas raiz:
* Há um carácter de espaço algures no **nome do servidor do certificado** no seu [WiFi](/pt/implementacao-de-perfis/microsoft-intune/wifi-profile/apple-devices.md) ou [Com fios](/pt/implementacao-de-perfis/microsoft-intune/wired-profile/mac.md) perfil de configuração.
#### Erro de desencriptação | Acesso negado
Se os seus [registos](/pt/portal-de-administracao/insights/log.md#logs) contêm mensagens de erro semelhantes às mostradas abaixo
```
Auth: (312) início de sessão incorreto (eap_tls: TLS Alert write:fatal:decrypt error): [host/00128t09-cbna-469c-9768-2783d28eikl9/] (from client contoso port 1 cli 84-FD-D1-8C-0E-33)
ERRO: (320) eap_tls: ERRO: escrita do alerta TLS: fatal: erro de desencriptação
Erro: tls: TLS_accept: erro ao tratar erro
```
... então é provavelmente um erro no software TPM nas suas máquinas Windows. Mais informações sobre isso podem ser encontradas na [documentação do SCEPman](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
Se vir algo assim nos seus [registos](/pt/portal-de-administracao/insights/log.md#logs)
```
ERRO: (95878) eap_tls: ERRO: (TLS) alerta de leitura: fatal: acesso negado
Auth: (95878) início de sessão incorreto (eap_tls: (TLS) alerta de leitura: fatal: acesso negado): [host/kad933-161d-4aa8-aeaa-b5a4d3d53b12]
ERRO: (95717) eap_tls: ERRO: (TLS) alerta de leitura: fatal: acesso negado
```
... pode haver duas razões. Uma é que o seu perfil WiFi está a referenciar o certificado raiz errado para validação do servidor. Certifique-se de que o seu perfil está configurado corretamente. Se estiver e ainda enfrentar este problema, tente definir o seu KSP para [**Software KSP**](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
{% hint style="warning" %}
A definição Key Storage Provider (KSP) determina a localização de armazenamento da chave privada para os certificados do utilizador final. O armazenamento no TPM é mais seguro do que o armazenamento em software, porque o TPM fornece uma camada adicional de segurança para impedir o roubo de chaves. No entanto, existe **um erro em algumas versões mais antigas do firmware TPM** que invalida algumas assinaturas criadas com uma chave privada suportada por TPM. Nesses casos, o certificado não pode ser usado para autenticação EAP, como é comum nas ligações Wi-Fi e VPN. As versões afetadas do firmware TPM incluem:
* STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100
* Intel: 11.8.50.3399, 2.0.0.2060
* Infineon: 7.63.3353.0
* IFX: Version 3.19 / Specification 1.2
Se utilizar TPM com este firmware, atualize o firmware para uma versão mais recente ou selecione "Software KSP" como fornecedor de armazenamento de chaves.
{% endhint %}
#### Não é possível continuar, porque o par está a comportar-se mal
Se os seus registos contiverem rejeições com o erro *"Não é possível continuar, porque o par está a comportar-se mal"* isto indica que o cliente deixou de comunicar com o serviço RADIUS, na maioria das vezes porque as definições de confiança estão incorretas. Neste caso, verifique os certificados nos dispositivos afetados.
#### Segredo partilhado RADIUS errado
Se o seu (proxy) [registos](/pt/portal-de-administracao/insights/log.md#logs) contêm mensagens de erro semelhantes às mostradas abaixo
```
- autenticador de mensagens, valor errado
- buf2radmsg: autenticação da mensagem falhou
- radsrv: a ignorar pedido de default (8.222.246.231), validação falhou
```
então um dos seus pontos de acesso ou switches que está a tentar ligar-se à sua instância RADIUSaaS através de um [RADIUS Proxy](/pt/portal-de-administracao/settings/settings-proxy.md) está a usar um [Segredo partilhado](/pt/portal-de-administracao/settings/settings-server.md#properties-1).
Para identificar o ponto de acesso ou switch afetado, determine primeiro o proxy RADIUS expandindo a mensagem de erro e procurando a propriedade `proxyip` Agora que sabe qual é o proxy, utilize o seu inventário e o conhecimento sobre localizações específicas ou grupos de dispositivos que não conseguem ligar-se à sua rede para identificar o dispositivo de rede mal configurado. Por fim, atualize o segredo partilhado para corresponder ao valor configurado na sua instância RADIUSaaS para esse proxy.
### Resolução de problemas de ligação com registos CAPI2
Os clientes Windows usam o **API Criptográfica (CAPI2)** subsistema para tratar operações de certificados durante a autenticação EAP-TLS. Quando uma ligação falha e nem a interface do cliente nem os registos do servidor RADIUSaaS fornecem uma indicação clara da causa raiz, ativar o registo CAPI2 no dispositivo afetado pode revelar falhas de validação de certificados, erros de construção da cadeia ou problemas de acesso à chave privada que, de outra forma, seriam invisíveis.
***
#### **Passo 1: Ativar o registo CAPI2**
O registo CAPI2 está desativado por predefinição. Para o ativar:
1. Abra **Visualizador de Eventos**: **Win + R**, escreva `eventvwr.exe`, e prima **Enter**.
2. Na árvore da esquerda, expanda **Registos de Aplicações e Serviços**.
3. Expanda **Microsoft → Windows → CAPI2**.
4. Clique com o botão direito em **Operacional** e selecione **Ativar registo**.
Uma vez ativado, o Windows começará a registar todos os eventos CAPI2. Reproduza a falha de ligação. Agora tente ligar-se à rede Wi-Fi ou com fios e depois avance para o próximo passo.
> **Sugestão:** Desative novamente o registo depois de recolher os dados (**clique com o botão direito em Operacional → Desativar registo**) para evitar uso desnecessário de disco.
***
#### **Passo 2: Localizar os eventos relevantes**
Depois de reproduzir o problema, procure eventos nas seguintes origens de registo:
| Origem do registo | Caminho no Visualizador de Eventos |
| ------------------- | --------------------------------------------------------------------------------------- |
| **CAPI2** | Registos de Aplicações e Serviços → Microsoft → Windows → CAPI2 → Operacional |
| **WLAN-AutoConfig** | Registos de Aplicações e Serviços → Microsoft → Windows → WLAN-AutoConfig → Operacional |
Concentre-se nos eventos que foram registados **no momento da tentativa de ligação falhada**. Os indicadores úteis incluem:
* **CAPI2** — erros relacionados com a construção da cadeia de certificados, verificações de revogação ou acesso à chave privada (por exemplo, IDs de evento 11, 70, 90).
* **WLAN-AutoConfig** — eventos que descrevem o resultado da negociação 802.1X (por exemplo, IDs de evento 8001, 8002, 12013).
***
#### **Passo 3: Exportar e enviar os registos**
Para nos enviar os registos para análise:
1. No Visualizador de Eventos, clique com o botão direito no **Operacional** registo em **CAPI2** e selecione **Guardar todos os eventos como…**
2. Guarde o ficheiro como um **Registo de eventos (\*.evtx)** ficheiro e dê-lhe um nome descritivo, por exemplo `CAPI2__.evtx`.
3. Repita os mesmos passos para o **WLAN-AutoConfig → Operacional** registo.
4. Envie ambos os `.evtx` ficheiros para a nossa equipa de suporte em juntamente com uma breve descrição do dispositivo afetado, da versão do SO e de quando ocorre o problema.
## Problemas de certificados
### Não foi possível verificar a cadeia de certificados
Quando quiser usar o seu próprio certificado de servidor, o seu servidor RADIUS requer a cadeia completa de certificados para permitir que outros participantes (Proxy, clientes RadSec, endpoints que tentam ligar-se) verifiquem a identidade do servidor. \
Se vir esta mensagem, copie e cole o certificado da CA abaixo do certificado do servidor no campo de texto ou crie um pacote de certificados PCKS8 que inclua todos os certificados do intermediário até à raiz.
## Problemas do Portal de Administração
### Iniciar sessão
Para iniciar sessão no portal web RADIUSaaS ("RADIUSaas Admin Portal"), têm de ser cumpridos os seguintes requisitos:
* O UPN/endereço de e-mail que forneceu como administrador técnico tem de ser autenticável em **algum** Microsoft Entra ID (Azure AD) (não tem de ser uma identidade do Tenant cujos utilizadores irão utilizar o RADIUSaaS para autenticação de rede).
* O UPN/endereço de e-mail que forneceu como administrador técnico tem de ter sido registado na sua instância RADIUSaaS conforme descrito [aqui](/pt/portal-de-administracao/settings/permissions.md). Se for o administrador inicial, por favor [contacte-nos](https://www.radius-as-a-service.com/help/) se acredita que registámos o utilizador errado.
* O objeto de utilizador Microsoft Entra ID (Azure AD) por trás do UPN/endereço de e-mail tem de estar autorizado a conceder à aplicação empresarial RADIUSaaS as seguintes permissões (ver captura de ecrã abaixo):
* **Ler** o perfil básico do utilizador
* **Manter** acesso aos dados aos quais lhe concedeu acesso (permitir pedido de token de atualização)\
* Se o seu utilizador Microsoft Entra ID (Azure AD) não tiver direitos para conceder as permissões necessárias, nenhum correspondente **Aplicação Empresarial** será criada automaticamente no seu Microsoft Entra ID (Azure AD). Para contornar isto, peça ao seu departamento de TI para conceder ao seu utilizador as permissões necessárias.
## Problemas de configuração do Intune
### Atribuição de perfil
A configuração Wi-Fi não é implementada se os perfis Wi-Fi, SCEP e de certificado de confiança estiverem atribuídos a grupos diferentes. Podem aparecer como "Pendente" ou não haver estado nenhum. Utilize o **mesmo grupo ou "Todos os dispositivos" resp. "Todos os utilizadores"** para **todos os perfis ligados**.
Pode atribuir o perfil de certificado raiz SCEP a ambos "Todos os utilizadores" e "Todos os dispositivos" se tiver um certificado de dispositivo (atribuído a "Todos os dispositivos") e um certificado de utilizador (atribuído a "Todos os utilizadores") em uso.
### certificado SCEP
#### Android
O Android parece exigir um UPN em Subject Alternative Name nas versões mais recentes (mesmo para certificados de dispositivo). Adicione isto no seu perfil SCEP (por exemplo, {{DeviceId}}@contoso.com):
### perfil Wi-Fi
#### Android
Códigos de erro comuns: 0xc7d24fc5 ou -942518331
Os pontos principais são:
* selecione o **certificado da CA raiz** para **validação do servidor** (importante: não carregue o certificado do servidor do RADIUSaaS)\
\&#xNAN;**- e -**
* defina um **nome do servidor RADIUS**
* Nota: Parece haver um limite de caracteres para este campo. Para resolver possíveis problemas, pode usar apenas a parte do domínio sem subdomínio, como "radius-as-a-service.com" (em vez de "contoso.radius-as-a-service.com").
* [Os programadores Android](https://developer.android.com/guide/topics/connectivity/wifi-enterprise) afirmam: "\[...] tem de configurar **tanto um certificado da CA raiz**, e também um **correspondência de sufixo de domínio** ou uma correspondência de sujeito alternativa". Portanto, o MDM pode usar "setAltSubjectMatch" ou "setDomainSuffixMatch" depois de adicionar um certificado raiz à configuração Wi-Fi. O Intune parece usar "setDomainSuffixMatch", pelo que apenas "radius-as-a-service.com" é suficiente.
* por vezes **privacidade da identidade** é necessária (por exemplo, em dispositivos quiosque Android / Android Enterprise dedicado)
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/pt/outro/troubleshooting.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.