Autenticação pode não ter êxito quando você usa o PEAP-MS-CHAP-v2 como o método de autenticação para uma conexão 802.1X no Windows Vista, Windows XP, Windows Server 2003 e Windows 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 904943 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Quando você usa o Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-MS-CHAP-v2) como o método de autenticação para uma conexão 802.1X, a autenticação do computador pode não ter êxito. Se a autenticação do computador for o único método de autenticação usado para estabelecer uma conexão, a conexão pode não terá êxito.

Causa

Quando a data de expiração é alcançada para a senha do computador, o serviço logon de rede pode forçar as credenciais do computador local para expirar enquanto o computador estiver off-line. Portanto, a senha de logon pode não corresponde à senha no controlador de domínio e o computador não é possível autenticar com êxito. Para redefinir a senha usando um controlador de domínio, o computador deve estabelecer uma conexão de rede por meio de uma porta não segura.

Como Contornar

Para contornar este problema, use um dos seguintes métodos:

Método 1: Usar autenticação de computador e usuário

Use a autenticação do computador e usuário. Embora a autenticação do computador não tiver êxito, a autenticação do usuário estabelece uma conexão segura. Portanto, a senha do computador é redefinida.

Método 2: Usar EAP-TLS em vez de PEAP-MS-CHAP-v2

Use o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), em vez de PEAP-MS-CHAP-v2.

Mais Informações

Saída de pilha de chamadas

Log de logon de rede do cliente

06/27 12:51:22 [INIT] Group Policy is not defined for Netlogon
06/27 12:51:22 [INIT] Following are the effective values after parsing
06/27 12:51:22 [INIT]    DBFlag = 0 (0x0)
06/27 12:56:30 [SESSION] DOMAIN: NlChangePassword: Doing it.
06/27 12:56:31 [SESSION] DOMAIN: NlChangePassword: Flag password changed in LsaSecret
06/27 12:56:31 [DNS] Cache: DOMAIN DOMAIN.org.: Found existing domain cache entry
......
06/27 13:00:30 [MISC] NetpDcGetName: DOMAIN similar query failed recently 0
06/27 13:00:30 [CRITICAL] DOMAIN: NlDiscoverDc: Cannot find DC.
06/27 13:00:30 [CRITICAL] DOMAIN: NlSessionSetup: Session setup: cannot pick trusted DC
06/27 13:00:30 [MISC] Eventlog: 5719 (1) "DOMAIN" 0xc000005e c000005e   ^...
06/27 13:00:30 [MISC] DsGetDcName function called: Dom:DOMAIN Acct:(null) Flags: DS BACKGROUND NETBIOS RET_DNS 
06/27 13:00:30 [DNS] Cache: DOMAIN (null): Found existing domain cache entry
06/27 13:00:30 [MISC] NetpDcGetName: DOMAIN similar query failed recently 10
06/27 13:00:30 [MISC] DsGetDcName function returns 1355: Dom:DOMAIN Acct:(null) Flags: DS BACKGROUND NETBIOS RET_DNS 
06/27 13:00:30 [SESSION] DOMAIN: NlSetStatusClientSession: Set connection status to c000005e
06/27 13:00:30 [SESSION] DOMAIN: NlSessionSetup: Session setup Failed
06/27 13:00:30 [INIT] Started successfully
....
06/27 13:16:27 [CRITICAL] NetpDcGetNameNetbios: DOMAIN: Cannot NlBrowserSendDatagram. (1C) 53
06/27 13:16:27 [CRITICAL] NetpDcGetName: DOMAIN: IP and Netbios are both done.
06/27 13:16:27 [CRITICAL] DOMAIN: NlDiscoverDc: Cannot find DC.
06/27 13:16:27 [CRITICAL] DOMAIN: NlGetAnyDCName: Discovery failed c000005e
06/27 13:16:27 [CRITICAL] DsrGetSiteName: NlGetAnyDCName failed. Returning site '(null)' from local cache.
06/27 13:16:27 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: IP TIMESERV AVOIDSELF BACKGROUND 
06/27 13:16:27 [DNS] Cache: DOMAIN (null): Found existing domain cache entry
06/27 13:16:27 [MISC] NetpDcGetName: DOMAIN similar query failed recently 10
06/27 13:16:27 [MISC] DsGetDcName function returns 1355: Dom:(null) Acct:(null) Flags: IP TIMESERV AVOIDSELF BACKGROUND 
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E  <==STATUS_NO_LOGON_SERVERS
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E
06/27 13:16:30 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:30 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E

Cliente RASCHAP log

[1116] 06-27 13:23:19:802: ChapBegin(fS=0,bA=0x81)
[1116] 06-27 13:23:19:802: ChapBegin done.
[1116] 06-27 13:23:19:802: ChapMakeMessage,RBuf=00000000
[1116] 06-27 13:23:19:802: ChapCMakeMessage...
[1116] 06-27 13:23:19:802: CS_Initial
[1116] 06-27 13:23:19:802: EapMSChapv2MakeMessage
[1116] 06-27 13:23:19:802: EapMSChapv2CMakeMessage
[1116] 06-27 13:23:19:802: EMV2_Initial
[1116] 06-27 13:23:19:802: ChapMakeMessage,RBuf=000D6CA3
[1116] 06-27 13:23:19:802: ChapCMakeMessage...
[1116] 06-27 13:23:19:802: CS_WaitForChallenge
[1116] 06-27 13:23:19:802: MakeResponseMessage...
[1116] 13:23:19:802: GetChallengeResponse
[1116] 13:23:19:802: RegisterLSA
[1116] 13:23:19:802: GetChallengeResponse Success
[1116] 06-27 13:23:19:802: GetChallengeResponse=0
02 0A 00 4B 31 2D E1 54 DF 84 54 AC D3 2A 19 17 |...K1-.T..T..*..|
D9 C3 19 69 18 00 00 00 00 00 00 00 00 30 83 68 |...i.........0.h|
65 71 F2 D8 B1 F3 62 31 12 FF CF A7 5A C3 BF 48 |eq....b1....Z..H|
00 0E 02 4A FD 00 68 6F 73 74 2F 63 72 65 73 65 |...J..host/crese|
6E 74 2E 62 65 65 72 2E 6F 72 67 00 00 00 00 00 |nt.DOMAIN.org.....|
[1116] 06-27 13:23:19:852: EapMSChapv2MakeMessage
[1116] 06-27 13:23:19:852: EapMSChapv2CMakeMessage
[1116] 06-27 13:23:19:852: EMV2_ResponseSend
[1116] 06-27 13:23:19:852: ChapMakeMessage,RBuf=000D936B
[1116] 06-27 13:23:19:852: ChapCMakeMessage...
[1116] 06-27 13:23:19:852: CS_ResponseSent
[1116] 06-27 13:23:19:852: Message received...
04 0A 00 34 45 3D 36 39 31 20 52 3D 31 20 43 3D |...4E=691 R=1 C=|  <== 691 IS ERROR_AUTHENTICATION_FAILURE
37 46 31 33 34 45 46 36 42 35 35 32 42 36 37 36 |7F134EF6B552B676|
44 44 37 43 43 38 33 31 45 30 32 42 45 41 37 30 |DD7CC831E02BEA70|
20 56 3D 33 00 00 00 00 00 00 00 00 00 00 00 00 | V=3............|
[1116] 06-27 13:23:19:852: GetInfoFromFailure...
[1116] 06-27 13:23:19:852: 'C=' challenge provided,bytes=16...
7F 13 4E F6 B5 52 B6 76 DD 7C C8 31 E0 2B EA 70 |.N..R.v.|.1.+.p|
[1116] 06-27 13:23:19:852: GetInfoFromFailure done,e=691,r=1,v=3
[1116] 06-27 13:23:19:852: Retry :| ex=11 ts=11
[1116] 06-27 13:23:52:879: EapMSChapv2End
[1116] 06-27 13:23:52:879: ChapEnd

Log de logon de rede do servidor

06/27 13:23:20 [MISC] DOMAIN: DsGetDcName function returns 0: Dom:DOMAIN Acct:(null) Flags: DSP NETBIOS RET_DNS 
06/27 13:23:20 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered
06/27 13:23:20 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A <==STATUS_WRONG_PASSWORD
06/27 13:23:54 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered
06/27 13:23:54 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A
06/27 13:24:24 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered
06/27 13:24:24 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A
06/27 13:24:57 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered
06/27 13:24:57 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A
06/27 13:25:27 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered
06/27 13:25:27 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A
06/27 13:26:00 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered
06/27 13:26:00 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A
06/27 13:26:09 [MISC] DOMAIN: DsGetDcName function called: Dom:DOMAIN.org Acct:(null) Flags: DS BACKGROUND RET_DNS 
06/27 13:26:09 [DNS] NetpDcFindDomainEntry: DOMAIN DOMAIN.org.: Found domain cache entry with quality 2/6
06/27 13:26:09 [DNS] Cache: DOMAIN DOMAIN.org.: Found existing domain cache entry
06/27 13:26:09 [MAILSLOT] Received ping from COMPUTER.DOMAIN.org (null) on <Local>

Observação: O serviço netlogon mantém duas senhas, atual e a senha anterior. Quando chega a hora para alterar ao longo, netlogon, gera uma nova senha armazena a senha atual no armazenamento de senha anterior e grava a nova senha para o armazenamento de senha atual. Depois disso, ele tenta enviar a senha atual para o controlador de domínio.

Se o computador estiver off-line no momento (ou em quarentena aguardando 802.1X surgir e fazer PEAP), ela será retirada e mais tarde. Mas a nova senha é considerada a senha atual pelo netlogon. Isso não é problema para Netlogon, pois ele tentará a senha anterior caso falhe a senha atual. Agora o problema com a comunicação do 802.1X com netlogon é no momento que o 802.1X pode acessar somente a senha atual, que, nesse cenário, não é conhecida no controlador de domínio ainda.

Propriedades

ID do artigo: 904943 - Última revisão: quarta-feira, 17 de março de 2010 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Business
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Home Premium N
  • Windows 7 Professional
  • Windows 7 Professional N
  • Windows 7 Release Candidate
  • Windows 7 Starter
  • Windows 7 Starter N
  • Windows 7 Ultimate
  • Windows 7 Ultimate N
Palavras-chave: 
kbmt kbtshoot kbprb KB904943 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 904943

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com