La autenticación no se realice correctamente cuando se utiliza PEAP-MS-CHAP-v2 como método de autenticación para una conexión 802.1X en Windows Vista, Windows XP, Windows Server 2003 y Windows 2000

Síntomas

Al utilizar Protected Extensible autenticación protocolo Microsoft Challenge Handshake Authentication Protocol versión 2 (PEAP-MS-CHAP-v2) como método de autenticación para una conexión 802.1X, autenticación de equipo puede no tener éxito. Si la autenticación de equipo es el único método de autenticación que se utiliza para establecer una conexión, la conexión no puede tener éxito.

Causa

Cuando se alcanza la fecha de caducidad de la contraseña del equipo, el servicio Net Logon puede forzar las credenciales del equipo local para que caduque mientras el equipo está sin conexión. Por lo tanto, la contraseña de inicio de sesión puede no coincidir con la contraseña en el controlador de dominio y el equipo no puede autenticarse correctamente. Para restablecer la contraseña utilizando un controlador de dominio, el equipo debe establecer una conexión de red a través de un puerto no seguro.

Solución alternativa

Para evitar este problema, utilice uno de los métodos siguientes:

Método 1: Utilizar la autenticación de equipo y usuario

Utilice la autenticación de equipo y usuario. Aunque la autenticación de equipo no tiene éxito, autenticación de usuario establece una conexión segura. Por lo tanto, se restablece la contraseña del equipo.

Método 2: Utilizar EAP-TLS en lugar de PEAP-MS-CHAP-v2

Utilice Extensible autenticación Protocol-Transport Layer Security (EAP-TLS) en lugar de PEAP-MS-CHAP-v2.

Más información

Salida de la pila de llamadas

Registro de inicio de sesión de cliente

06/27 12:51:22 [INIT] Group Policy is not defined for Netlogon06/27 12:51:22 [INIT] Following are the effective values after parsing
06/27 12:51:22 [INIT] DBFlag = 0 (0x0)
06/27 12:56:30 [SESSION] DOMAIN: NlChangePassword: Doing it.
06/27 12:56:31 [SESSION] DOMAIN: NlChangePassword: Flag password changed in LsaSecret
06/27 12:56:31 [DNS] Cache: DOMAIN DOMAIN.org.: Found existing domain cache entry
......
06/27 13:00:30 [MISC] NetpDcGetName: DOMAIN similar query failed recently 0
06/27 13:00:30 [CRITICAL] DOMAIN: NlDiscoverDc: Cannot find DC.
06/27 13:00:30 [CRITICAL] DOMAIN: NlSessionSetup: Session setup: cannot pick trusted DC
06/27 13:00:30 [MISC] Eventlog: 5719 (1) "DOMAIN" 0xc000005e c000005e ^...
06/27 13:00:30 [MISC] DsGetDcName function called: Dom:DOMAIN Acct:(null) Flags: DS BACKGROUND NETBIOS RET_DNS
06/27 13:00:30 [DNS] Cache: DOMAIN (null): Found existing domain cache entry
06/27 13:00:30 [MISC] NetpDcGetName: DOMAIN similar query failed recently 10
06/27 13:00:30 [MISC] DsGetDcName function returns 1355: Dom:DOMAIN Acct:(null) Flags: DS BACKGROUND NETBIOS RET_DNS
06/27 13:00:30 [SESSION] DOMAIN: NlSetStatusClientSession: Set connection status to c000005e
06/27 13:00:30 [SESSION] DOMAIN: NlSessionSetup: Session setup Failed
06/27 13:00:30 [INIT] Started successfully
....
06/27 13:16:27 [CRITICAL] NetpDcGetNameNetbios: DOMAIN: Cannot NlBrowserSendDatagram. (1C) 53
06/27 13:16:27 [CRITICAL] NetpDcGetName: DOMAIN: IP and Netbios are both done.
06/27 13:16:27 [CRITICAL] DOMAIN: NlDiscoverDc: Cannot find DC.
06/27 13:16:27 [CRITICAL] DOMAIN: NlGetAnyDCName: Discovery failed c000005e
06/27 13:16:27 [CRITICAL] DsrGetSiteName: NlGetAnyDCName failed. Returning site '(null)' from local cache.
06/27 13:16:27 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: IP TIMESERV AVOIDSELF BACKGROUND
06/27 13:16:27 [DNS] Cache: DOMAIN (null): Found existing domain cache entry
06/27 13:16:27 [MISC] NetpDcGetName: DOMAIN similar query failed recently 10
06/27 13:16:27 [MISC] DsGetDcName function returns 1355: Dom:(null) Acct:(null) Flags: IP TIMESERV AVOIDSELF BACKGROUND
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E <==STATUS_NO_LOGON_SERVERS
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E
06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E
06/27 13:16:30 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN
06/27 13:16:30 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E

Registro de cliente RASCHAP

[1116] 06-27 13:23:19:802: ChapBegin(fS=0,bA=0x81)[1116] 06-27 13:23:19:802: ChapBegin done.
[1116] 06-27 13:23:19:802: ChapMakeMessage,RBuf=00000000
[1116] 06-27 13:23:19:802: ChapCMakeMessage...
[1116] 06-27 13:23:19:802: CS_Initial
[1116] 06-27 13:23:19:802: EapMSChapv2MakeMessage
[1116] 06-27 13:23:19:802: EapMSChapv2CMakeMessage
[1116] 06-27 13:23:19:802: EMV2_Initial
[1116] 06-27 13:23:19:802: ChapMakeMessage,RBuf=000D6CA3
[1116] 06-27 13:23:19:802: ChapCMakeMessage...
[1116] 06-27 13:23:19:802: CS_WaitForChallenge
[1116] 06-27 13:23:19:802: MakeResponseMessage...
[1116] 13:23:19:802: GetChallengeResponse
[1116] 13:23:19:802: RegisterLSA
[1116] 13:23:19:802: GetChallengeResponse Success
[1116] 06-27 13:23:19:802: GetChallengeResponse=0
02 0A 00 4B 31 2D E1 54 DF 84 54 AC D3 2A 19 17 |...K1-.T..T..*..|
D9 C3 19 69 18 00 00 00 00 00 00 00 00 30 83 68 |...i.........0.h|
65 71 F2 D8 B1 F3 62 31 12 FF CF A7 5A C3 BF 48 |eq....b1....Z..H|
00 0E 02 4A FD 00 68 6F 73 74 2F 63 72 65 73 65 |...J..host/crese|
6E 74 2E 62 65 65 72 2E 6F 72 67 00 00 00 00 00 |nt.DOMAIN.org.....|
[1116] 06-27 13:23:19:852: EapMSChapv2MakeMessage
[1116] 06-27 13:23:19:852: EapMSChapv2CMakeMessage
[1116] 06-27 13:23:19:852: EMV2_ResponseSend
[1116] 06-27 13:23:19:852: ChapMakeMessage,RBuf=000D936B
[1116] 06-27 13:23:19:852: ChapCMakeMessage...
[1116] 06-27 13:23:19:852: CS_ResponseSent
[1116] 06-27 13:23:19:852: Message received...
04 0A 00 34 45 3D 36 39 31 20 52 3D 31 20 43 3D |...4E=691 R=1 C=| <== 691 IS ERROR_AUTHENTICATION_FAILURE
37 46 31 33 34 45 46 36 42 35 35 32 42 36 37 36 |7F134EF6B552B676|
44 44 37 43 43 38 33 31 45 30 32 42 45 41 37 30 |DD7CC831E02BEA70|
20 56 3D 33 00 00 00 00 00 00 00 00 00 00 00 00 | V=3............|
[1116] 06-27 13:23:19:852: GetInfoFromFailure...
[1116] 06-27 13:23:19:852: 'C=' challenge provided,bytes=16...
7F 13 4E F6 B5 52 B6 76 DD 7C C8 31 E0 2B EA 70 |.N..R.v.|.1.+.p|
[1116] 06-27 13:23:19:852: GetInfoFromFailure done,e=691,r=1,v=3
[1116] 06-27 13:23:19:852: Retry :| ex=11 ts=11
[1116] 06-27 13:23:52:879: EapMSChapv2End
[1116] 06-27 13:23:52:879: ChapEnd

Registro de inicio de sesión de servidor

06/27 13:23:20 [MISC] DOMAIN: DsGetDcName function returns 0: Dom:DOMAIN Acct:(null) Flags: DSP NETBIOS RET_DNS 06/27 13:23:20 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered
06/27 13:23:20 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Returns 0xC000006A <==STATUS_WRONG_PASSWORD
06/27 13:23:54 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Entered
06/27 13:23:54 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Returns 0xC000006A
06/27 13:24:24 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Entered
06/27 13:24:24 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Returns 0xC000006A
06/27 13:24:57 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Entered
06/27 13:24:57 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Returns 0xC000006A
06/27 13:25:27 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Entered
06/27 13:25:27 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Returns 0xC000006A
06/27 13:26:00 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Entered
06/27 13:26:00 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from Returns 0xC000006A
06/27 13:26:09 [MISC] DOMAIN: DsGetDcName function called: Dom:DOMAIN.org Acct:(null) Flags: DS BACKGROUND RET_DNS
06/27 13:26:09 [DNS] NetpDcFindDomainEntry: DOMAIN DOMAIN.org.: Found domain cache entry with quality 2/6
06/27 13:26:09 [DNS] Cache: DOMAIN DOMAIN.org.: Found existing domain cache entry
06/27 13:26:09 [MAILSLOT] Received ping from COMPUTER.DOMAIN.org (null) on <Local>

Nota: El servicio netlogon mantiene dos contraseñas, la actual y la contraseña anterior. Cuando llegue el momento para cambiar a lo largo, netlogon genera una nueva contraseña, almacena la contraseña actual en el almacén de contraseña anterior y escribe la nueva contraseña en el almacén de la contraseña actual. A continuación, intenta insertar la contraseña actual en el controlador de dominio.

Si el equipo está sin conexión en el momento (o en cuarentena en espera de 802.1X para elaborar y hacer PEAP), se retrocede y hacerlo más tarde. Pero la nueva contraseña se considera la contraseña actual por netlogon. Esto no es problema para Netlogon, tal y como se tratará la contraseña anterior en caso de que se produce un error en la contraseña actual. Ahora, el problema con la comunicación de 802.1X con netlogon es que puede 802.1X actualmente sólo tener acceso a la contraseña actual, que, en este escenario, todavía no se conoce en el DC.
Propiedades

Id. de artículo: 904943 - Última revisión: 17 feb. 2017 - Revisión: 2

Comentarios