Shinpei Kono さん

回答ありがとうございます。

Unprotected Identity Pattern、Protected Identity Patternをhost/[username].[domain] に設定して、
Windows標準のサプリカント同じIdentity 情報をRADIUSサーバに渡していることを
オーセンティケータ（シスコ製品ではない無線LAN AP）でのshowコマンドで確認しました。
（ただ、コマンドの制限により、全ての情報を表示することはできませんでした。）

しかし、コンピュータ認証には失敗してしまいます。

RADIUSサーバ（Windows2008サーバ上のNPS : Network Policy Server）のログを確認したところ、以下のログがありました。
理由コード：１（The connection request failed due to a Network Policy Server error.）内部エラーという表示でした。
参照URL：https://technet.microsoft.com/ja-jp/library/dd197464(v=ws.10).aspx
情報が少なすぎるのですが、これ以上の調べ方が分かりませんでした。

オーセンティケータ、RADIUSサーバ共に、詳細な情報を得ることができなかったため、クライアントPCでWiresharkでパケットキャプチャを試みたのですがうまくいきませんでした。
（サプリカントにWindows標準のものを使用した場合は、802.1X認証の過程をキャプチャできたのですが、 サプリカントにNAMを使用した場合は、キャプチャできませんでした。
キャプチャ画面のスクリーンショットを添付してあります。）

他に調べ方がありましたら、お知らせいただけますでしょうか。


------------------------------------------------------------
なお、LANケーブルの抜き差しをしながら、
・コントロールパネル→ネットワークアダプタ接続でアダプタのステータスを見たり
・NAMの表示を見ていたのですが
ケーブルの抜き差しをすると、前者では「ケーブルが接続されていません」のままですが
後者では「認証中です」「認証に失敗しました」などの表示や、無線LAN接続の試行などの応答があります。
シスコ社の製品紹介で見た記憶があるのですが、NAMはWindows OSより早い段階で動く／高い優先度で動くという考えで良いのでしょうか。
仮にこの考えが正しい場合、Wiresharkでキャプチャできないことと関係はありますでしょうか。


添付の画面キャプチャは以下のとおりです。
・NamSupplicant_MachineAuth_01.png
    Network Access Managerでのコンピュータ認証に失敗した時のものです。
    EAPでフィルターしても何もヒットしません。
    NAM上では、「認証中です」「認証に失敗しました」などのメッセージが表示されますが、キャプチャ上はそのような情報を得ることができません。

・WinSupplicant_MachineAuth_01.png
    Windows標準サプリカントでのコンピュータ認証で成功した時のものです。
    EAPでフィルターしています。
    Aruba～がオーセンティケータ、Toshiba～がクライアントPCです。
 
・NamSupplicant_MachineAuth_01.png
    Network Access Managerでのユーザー認証に成功した時のものです。
    EAPでフィルターしても何もヒットしません。
    すぐにDHCPサーバからクライアントPCに対して、IPアドレス・デフォルトゲートウェイ・DNSサーバのIPアドレスといった情報がアサインされています。
    

athirano1様

ご認識のとおりクライアントPCでのパケットキャプチャは、NAM を使用すると Wireshark から取得できなくなります。代替手段として、NAM にパケットキャプチャを自動取得するオプションがあります。

[手順]
1．デスクトップのシステムトレイからAnyConnect アイコンにカーソルを置いて、Shift + Alt + L を押します。
2．AnyConnectアイコンを右クリックすると、Extended Logging というメニューが表示されるので、クリックして有効にします。
3．事象を再現させた直後に、以下から自動生成されたキャプチャファイルを取得します。
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\logs\xxx.cap

接続に使用した Wifi のアダプタ名がついたキャプチャファイルをご確認ください。ユーザログオン前に実行するコンピュータ認証であってもキャプチャ可能です。

まずはこちらから EAPレイヤで差分箇所があるかを、ご確認いただければと思います。もし原因となりそうな違いが見られないようであれば、念のため Radius パケットをキャプチャして、Radius属性から見た差分箇所がないかどうか、NPSの関連ポリシーの設定と照合しながらご確認ください。

どうぞよろしくお願い申し上げます。

Shinpei Kono さん、ご回答ありがとうございます。

拡張ロギングにより802.1X認証時のパケットキャプチャができました。
キャプチャファイルをWiresharkで開くこともできました。

Windows標準のサプリカントで802.1X（コンピュータ認証）に成功した時と
Network Access Managerで802.1X（コンピュータ認証）に失敗した時とで比較したところ、下記の違いがありました。

Client Hello、Server Helloの後のApplication Dataのやり取りにおいて、NAM使用時は
１．レスポンスの量が多いように見えます。（１回に２セットのレスポンス。画面ショットを添付します。）
２．そして認証に失敗→Identityを要求／Identityを応答といった最初の方に戻ってぐるぐる繰り返すという感じです。
３．サプリカントからのリプライ時、宛先がオーセンティケータのMACアドレスでなく "Nearest"になっています。

    サプリカント：      東芝のWindows10パソコン
    オーセンティケータ：アルバネットワークス社の無線LAN AP

この差から、何か原因を推測することは可能でしょうか。
また、キャプチャで他にも見るべき個所はありますでしょうか。

Radiusサーバでの調査は管理上の理由で難しく、なるべくサプリカントとオーセンティケータでの調査で解決したいと考えております。


■Windows標準サプリカント
１．サプリカント      →オーセンティケータ    EAPOL開始フレーム送信
２．オーセンティケータ→サプリカント          Identityを要求
３．サプリカント      →オーセンティケータ    Identityを応答（host/[username].[domain]形式）
４．オーセンティケータ→サプリカント          要求（EAP-PEAP）
５．サプリカント      →オーセンティケータ    Client Hello
６．オーセンティケータ→サプリカント          Server Hello
７．サプリカント      →オーセンティケータ    Helloに対する応答（EAP-PEAP）
８．オーセンティケータ→サプリカント          Application Data（リクエスト）
９．サプリカント      →オーセンティケータ    Application Data（レスポンス）
10．オーセンティケータ→サプリカント          Application Data（リクエスト）
11．サプリカント      →オーセンティケータ    Application Data（レスポンス）
12．オーセンティケータ→サプリカント          Application Data（リクエスト）
13．サプリカント      →オーセンティケータ    Application Data（レスポンス）
14. オーセンティケータ→サプリカント          認証成功（Successを返す）

■NAM
１．サプリカント      →オーセンティケータ    EAPOL開始フレーム送信（なぜか４回も実施）
２．オーセンティケータ→サプリカント          Identityを要求（開始フレーム数が多かったせいか、なぜか８回も実施）
３．サプリカント      →"Nearest"             Identityを応答（host/[username].[domain]形式）
４．オーセンティケータ→"Nearest"             要求（EAP-PEAP）
５．サプリカント      →"Nearest"             Client Hello
６．オーセンティケータ→サプリカント          Server Hello
７．サプリカント      →"Nearest"             Helloに対する応答（EAP-PEAP）
８．オーセンティケータ→サプリカント          Application Data（リクエスト）
９．サプリカント      →"Nearest"             Application Data（レスポンス）が２セット
10．オーセンティケータ→サプリカント          Application Data（リクエスト）
11．サプリカント      →"Nearest"             Application Data（レスポンス）が２セット
12．オーセンティケータ→サプリカント          Application Data（リクエスト）
13．サプリカント      →"Nearest"             Application Data（レスポンス）が２セット

２に戻ってIdentityを要求から同じことを繰り返す

-------------------------------------
添付ファイルについて
いずれもWiresharkでの画面キャプチャです。

・WinSupplicant_MachineAuth_11.png
    Windows標準のサプリカント使用時の、コンピュータ認証成功例（最後がSuccess）

・NamSupplicant_MachineAuth_11.png
    NAM使用時の、コンピュータ認証失敗例
    
・NamSupplicant_MachineAuth_12.png
    NAM使用時の、コンピュータ認証失敗例
    Client Hello、Server Helloの後のApplication Dataのやり取りにおいて、
    レスポンスの量が多く、１回あたり２セットのレスポンスを返しています。

athirano1 様

追加情報ありがとうございました。
Aruba AP からの Identity Request が同じタイムスタンプで多数受信している箇所は見えましたが、NAM 利用時に EAPoL Start が複数回発生した箇所は画面キャプチャには含まれていませんでした。EAPoL Start は NAM から秒間をおかずに一気に発生していましたでしょうか？それとも Identity Request を受信しないため再送しているような見え方でしょうか？

NPS が前回お知らせいただいたエラーで、Access-Reject の応答を返しているようであれば、Aruba AP から NAM に対しても EAP Failure が送信されると思われますが、NAM の画面キャプチャでは、途中でやり取りが途絶えて、ご指摘のように Aruba AP が NAM に対して Identity Request を再度やり直す動作を繰り返しています。サプリカントのキャプチャと Aruba AP/NPS 間のキャプチャを照合したり、Aruba AP/NPS で詳細なデバッグログを確認することで、詳しい状況が判明すると考えます。

なお、宛先が Nearest となっている点は、画面キャプチャを拝見するかぎり、Windows、NAMのどちらも同じであるように見受けられました。おそらく 01-80-C2-00-00-03 というマルチキャスト MAC が Wireshark で Nearest という表記になっていると思われます。EAPoL の実装としては特に問題ないと考えますが、認識が一致しない箇所があればご指摘ください。

NAM としては、EAPoL Start が何度も発生するという動作が気になりますが、画面キャプチャからの調査はかなり難しいので、お手数ですが Extended Logging を有効にしたまま事象を再現させて、AnyConnect  から DART を取得いただき、TACケースをオープンいただけますでしょうか？ DART にはNAM のデバッグログなどのほか、今回取得いただいたパケットキャプチャも含まれます。すでに取得いただいた Windows サプリカント利用時のパケットキャプチャデータも併せて、ケースにて共有いただければと思います。

AnyConenct 3.1 をご利用ですので、ASA のシリアルでケースの受付は可能です。ただ、Authenticator、AAA Server が他社製であることや、AnyConnect 3.1 もすでに開発が終了したバージョンとなり、TAC で調査可能な内容はかなり限定される点についてあらかじめご了承いただきたく思います。

どうぞよろしくお願い申し上げます。