无线-PC客户端

终端侧排查

1. 检查无线配置档是否对所有用户生效

这是最容易被忽略的一点。域用户登录前，系统需要先通过无线认证。如果配置档只对当前用户生效，登录前就无法调用认证信息。

• 操作方法：

  1. 打开 控制面板 → 网络和共享中心 → 管理无线网络。

  2. 找到对应的 SSID，右键点击选择 属性。

  3. 在 连接 选项卡下，确认 网络可用性 显示为 “所有用户”。如果不是，需要删掉这个网络，重新连接时选择 “将此网络保存为所有用户” 再试。

2. 关闭无线网卡的电源管理

Windows 为了省电，有时会过早关闭无线网卡，导致开机登录时网卡还没准备好。

• 操作方法：

  1. 打开 设备管理器 → 找到 网络适配器 → 右键你的无线网卡 → 属性。

  2. 在 电源管理 选项卡里，取消勾选 “允许计算机关闭此设备以节约电源”。

3. 检查无线网卡驱动

驱动版本过旧或网卡本身不支持某些认证模式，也会导致连接失败。

• 可以去笔记本官网或网卡厂商（如 Intel、Realtek）官网，下载安装最新版无线网卡驱动。

 网络侧排查

如果终端没问题，就需要看 AC 和 Radius 服务器之间的认证链路了。

1. 核心：用 test-aaa 测试认证服务器是否可达

这是判断故障点的关键。可以直接在 AC 上用命令模拟一次认证，看 AC 和 Radius 服务器之间的通信是否正常。

• 命令：

  test-aaa user password radius-scheme <radius方案名>

  • 如果显示 Timeout 或 Error：说明 AC 到 Radius 服务器不通或认证被拒，需要继续往下排查。

• 如果显示 Success：说明 AC 到 Radius 服务器的通信没问题，故障大概率在客户端的配置或 AC 的无线服务模板上。

2. 如果 test-aaa 超时

• 检查网络连通性：确保 AC 能 ping 通 Radius 服务器 IP。

• 检查防火墙：务必关闭 Windows 服务器（Radius 服务器）上的防火墙，或放行 UDP 1812（认证）、1813（计费）端口。

• 核对 AC 配置：

  • 共享密钥 (key authentication) 是否正确？

  • NAS-IP (nas-ip) 是否为 AC 连接 Radius 服务器使用的真实 IP？

  • 用户名格式：建议配置 user-name-format without-domain，避免带上域名后缀。

3. 如果 test-aaa 成功，但电脑连不上

重点检查 AC 的无线服务模板和 Radius 服务器的策略。

• 看 AC 上的失败记录：登录 AC，执行下面的命令查看终端失败的详细原因，这是最直接的线索。

  display wlan client history-record mac-address <终端MAC> # 查看该终端的历史连接记录
• 如果看到 failed reason: 2136 或类似错误码，可以向技术支持或社区求助，通常对应认证报文交互问题。

• 检查 AC 上的认证配置：

  • 认证方式：无线服务模板下必须启用 802.1X 认证。

    wlan service-template <模板名>

    client-security authentication-mode dot1x dot1x domain <域名>
  • 域配置：确认服务模板下关联的 dot1x domain，其认证、授权、计费都正确引用了你测试成功的那个 Radius 方案。

• 检查 Radius 服务器（如 NPS）上的策略：

  • 客户端类型：确保策略是 “无线” 或 “所有类型”。

  • 认证方法：必须勾选 PAP 或 CHAP。很多设备默认只启用 PEAP，可能导致认证失败。

  • 网络策略：确认策略的“条件”里包含了你加域电脑所在的 Windows 安全组，并且策略是 “授予访问权限”。

如果 test-aaa 通但电脑连不上，强烈建议先查 display wlan client history-record 的失败记录，根据具体错误码去搜索或排查，定位会更精准。