Autenticação poderá não ter êxito quando utiliza o PEAP-MS-CHAP v2 como o método de autenticação para uma ligação X 802.1 no Windows Vista, Windows XP, Windows Server 2003 e Windows 2000

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de Abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 904943
Sintomas
Quando utiliza protegido Extensible Authentication Protocol-Microsoft protocolo de autenticação Challenge Handshake versão 2 (PEAP-MS-CHAP-v2) como o método de autenticação para uma ligação X 802.1, autenticação de computador pode não ter êxito. Se a autenticação de computador for o método de autenticação só é utilizado para estabelecer uma ligação, a ligação poderá não ter êxito.
Causa
Quando a data de expiração for atingida para a palavra-passe do computador, o serviço de início de sessão de rede pode forçar as credenciais do computador local para expirar enquanto o computador está offline. Assim, a palavra-passe de início de sessão pode não coincidir com a palavra-passe no controlador de domínio e o computador não é possível autenticar com êxito. Para repor a palavra-passe utilizando um controlador de domínio, o computador tem de estabelecer uma ligação de rede através de uma porta não segura.
Como contornar
Para contornar este problema, utilize um dos seguintes métodos:

Método 1: Utilizar a autenticação de computador e utilizador

Utilize a autenticação de computador e utilizador. Embora a autenticação de computador não tiver êxito, a autenticação de utilizador estabelece uma ligação segura. Por conseguinte, é reposta a palavra-passe do computador.

Método 2: Utilizar EAP-TLS, em vez do PEAP-MS-CHAP v2

Utilize o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) em vez do PEAP-MS-CHAP v2.
Mais Informação

Chamar pilha de saída

Registo de início de sessão de rede do cliente

06/27 12:51:22 [INIT] Group Policy is not defined for Netlogon06/27 12:51:22 [INIT] Following are the effective values after parsing06/27 12:51:22 [INIT]    DBFlag = 0 (0x0)06/27 12:56:30 [SESSION] DOMAIN: NlChangePassword: Doing it.06/27 12:56:31 [SESSION] DOMAIN: NlChangePassword: Flag password changed in LsaSecret06/27 12:56:31 [DNS] Cache: DOMAIN DOMAIN.org.: Found existing domain cache entry......06/27 13:00:30 [MISC] NetpDcGetName: DOMAIN similar query failed recently 006/27 13:00:30 [CRITICAL] DOMAIN: NlDiscoverDc: Cannot find DC.06/27 13:00:30 [CRITICAL] DOMAIN: NlSessionSetup: Session setup: cannot pick trusted DC06/27 13:00:30 [MISC] Eventlog: 5719 (1) "DOMAIN" 0xc000005e c000005e   ^...06/27 13:00:30 [MISC] DsGetDcName function called: Dom:DOMAIN Acct:(null) Flags: DS BACKGROUND NETBIOS RET_DNS 06/27 13:00:30 [DNS] Cache: DOMAIN (null): Found existing domain cache entry06/27 13:00:30 [MISC] NetpDcGetName: DOMAIN similar query failed recently 1006/27 13:00:30 [MISC] DsGetDcName function returns 1355: Dom:DOMAIN Acct:(null) Flags: DS BACKGROUND NETBIOS RET_DNS 06/27 13:00:30 [SESSION] DOMAIN: NlSetStatusClientSession: Set connection status to c000005e06/27 13:00:30 [SESSION] DOMAIN: NlSessionSetup: Session setup Failed06/27 13:00:30 [INIT] Started successfully....06/27 13:16:27 [CRITICAL] NetpDcGetNameNetbios: DOMAIN: Cannot NlBrowserSendDatagram. (1C) 5306/27 13:16:27 [CRITICAL] NetpDcGetName: DOMAIN: IP and Netbios are both done.06/27 13:16:27 [CRITICAL] DOMAIN: NlDiscoverDc: Cannot find DC.06/27 13:16:27 [CRITICAL] DOMAIN: NlGetAnyDCName: Discovery failed c000005e06/27 13:16:27 [CRITICAL] DsrGetSiteName: NlGetAnyDCName failed. Returning site '(null)' from local cache.06/27 13:16:27 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: IP TIMESERV AVOIDSELF BACKGROUND 06/27 13:16:27 [DNS] Cache: DOMAIN (null): Found existing domain cache entry06/27 13:16:27 [MISC] NetpDcGetName: DOMAIN similar query failed recently 1006/27 13:16:27 [MISC] DsGetDcName function returns 1355: Dom:(null) Acct:(null) Flags: IP TIMESERV AVOIDSELF BACKGROUND 06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E  <==STATUS_NO_LOGON_SERVERS06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E06/27 13:16:29 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN06/27 13:16:29 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E06/27 13:16:30 [SESSION] I_NetLogonGetAuthData: (null) DOMAIN06/27 13:16:30 [CRITICAL] I_NetLogonGetAuthData: DOMAIN: failed C000005E

Cliente RASCHAP registo

[1116] 06-27 13:23:19:802: ChapBegin(fS=0,bA=0x81)[1116] 06-27 13:23:19:802: ChapBegin done.[1116] 06-27 13:23:19:802: ChapMakeMessage,RBuf=00000000[1116] 06-27 13:23:19:802: ChapCMakeMessage...[1116] 06-27 13:23:19:802: CS_Initial[1116] 06-27 13:23:19:802: EapMSChapv2MakeMessage[1116] 06-27 13:23:19:802: EapMSChapv2CMakeMessage[1116] 06-27 13:23:19:802: EMV2_Initial[1116] 06-27 13:23:19:802: ChapMakeMessage,RBuf=000D6CA3[1116] 06-27 13:23:19:802: ChapCMakeMessage...[1116] 06-27 13:23:19:802: CS_WaitForChallenge[1116] 06-27 13:23:19:802: MakeResponseMessage...[1116] 13:23:19:802: GetChallengeResponse[1116] 13:23:19:802: RegisterLSA[1116] 13:23:19:802: GetChallengeResponse Success[1116] 06-27 13:23:19:802: GetChallengeResponse=002 0A 00 4B 31 2D E1 54 DF 84 54 AC D3 2A 19 17 |...K1-.T..T..*..|D9 C3 19 69 18 00 00 00 00 00 00 00 00 30 83 68 |...i.........0.h|65 71 F2 D8 B1 F3 62 31 12 FF CF A7 5A C3 BF 48 |eq....b1....Z..H|00 0E 02 4A FD 00 68 6F 73 74 2F 63 72 65 73 65 |...J..host/crese|6E 74 2E 62 65 65 72 2E 6F 72 67 00 00 00 00 00 |nt.DOMAIN.org.....|[1116] 06-27 13:23:19:852: EapMSChapv2MakeMessage[1116] 06-27 13:23:19:852: EapMSChapv2CMakeMessage[1116] 06-27 13:23:19:852: EMV2_ResponseSend[1116] 06-27 13:23:19:852: ChapMakeMessage,RBuf=000D936B[1116] 06-27 13:23:19:852: ChapCMakeMessage...[1116] 06-27 13:23:19:852: CS_ResponseSent[1116] 06-27 13:23:19:852: Message received...04 0A 00 34 45 3D 36 39 31 20 52 3D 31 20 43 3D |...4E=691 R=1 C=|  <== 691 IS ERROR_AUTHENTICATION_FAILURE37 46 31 33 34 45 46 36 42 35 35 32 42 36 37 36 |7F134EF6B552B676|44 44 37 43 43 38 33 31 45 30 32 42 45 41 37 30 |DD7CC831E02BEA70|20 56 3D 33 00 00 00 00 00 00 00 00 00 00 00 00 | V=3............|[1116] 06-27 13:23:19:852: GetInfoFromFailure...[1116] 06-27 13:23:19:852: 'C=' challenge provided,bytes=16...7F 13 4E F6 B5 52 B6 76 DD 7C C8 31 E0 2B EA 70 |.N..R.v.|.1.+.p|[1116] 06-27 13:23:19:852: GetInfoFromFailure done,e=691,r=1,v=3[1116] 06-27 13:23:19:852: Retry :| ex=11 ts=11[1116] 06-27 13:23:52:879: EapMSChapv2End[1116] 06-27 13:23:52:879: ChapEnd

Registo do servidor de início de sessão de rede

06/27 13:23:20 [MISC] DOMAIN: DsGetDcName function returns 0: Dom:DOMAIN Acct:(null) Flags: DSP NETBIOS RET_DNS 06/27 13:23:20 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered06/27 13:23:20 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A <==STATUS_WRONG_PASSWORD06/27 13:23:54 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered06/27 13:23:54 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A06/27 13:24:24 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered06/27 13:24:24 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A06/27 13:24:57 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered06/27 13:24:57 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A06/27 13:25:27 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered06/27 13:25:27 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A06/27 13:26:00 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Entered06/27 13:26:00 [LOGON] DOMAIN: SamLogon: Network logon of DOMAIN\COMPUTER$ from  Returns 0xC000006A06/27 13:26:09 [MISC] DOMAIN: DsGetDcName function called: Dom:DOMAIN.org Acct:(null) Flags: DS BACKGROUND RET_DNS 06/27 13:26:09 [DNS] NetpDcFindDomainEntry: DOMAIN DOMAIN.org.: Found domain cache entry with quality 2/606/27 13:26:09 [DNS] Cache: DOMAIN DOMAIN.org.: Found existing domain cache entry06/27 13:26:09 [MAILSLOT] Received ping from COMPUTER.DOMAIN.org (null) on <Local>

Nota O serviço netlogon mantém duas palavras-passe, actual e a palavra-passe anterior. Quando chega a altura para alterar, netlogon, gera uma nova palavra-passe armazena a palavra-passe actual no armazenamento da palavra-passe anterior e escreve a nova palavra-passe para o arquivo de palavra-passe actual. Depois disto, tentará enviar a palavra-passe actual para o DC.

Se o computador estiver offline na altura (ou quarentena aguarda 802.1X para chegar e proceda PEAP), irá efectuar a segurança e fazê-lo mais tarde. Mas a nova palavra-passe é considerada a palavra-passe actual pelo serviço netlogon. Não é nenhum problema para Netlogon, este tentará a palavra-passe anterior no caso de falha a palavra-passe actual. Agora o problema com a comunicação 802.1X com o serviço netlogon é actualmente que 802.1X podem aceder apenas a palavra-passe actual, o que, neste cenário, não é conhecida no DC ainda.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 904943 - Última Revisão: 03/17/2010 06:54:27 - Revisão: 2.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Premium, Windows Vista Home Basic, Windows Vista Business, Windows 7 Enterprise, Windows 7 Enterprise N, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Home Premium N, Windows 7 Professional, Windows 7 Professional N, Windows 7 Release Candidate, Windows 7 Starter, Windows 7 Starter N, Windows 7 Ultimate, Windows 7 Ultimate N

  • kbmt kbtshoot kbprb KB904943 KbMtpt
Comentários