Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird das Problem behoben, bei dem VPN-Verbindungen mit einem Windows RRAS-Server fehlschlagen, wenn die MS-CHAPv2-Authentifizierung verwendet wird.
Ursprüngliche KB-Nummer: 2811487
Symptome
VPN-Verbindungen mit einem Windows RRAS-Server schlagen bei Verwendung der MS-CHAPv2-Authentifizierungsmethode fehl. Andere Symptome sind u. U. der Endbenutzer, die eine Fehlermeldung wie diese erhalten:
Fehler 691"Die Remoteverbindung wurde verweigert, da die von Ihnen angegebene Kombination aus Benutzername und Kennwort nicht erkannt wird oder das ausgewählte Authentifizierungsprotokoll auf dem Remotezugriffsserver nicht zulässig ist.
Darüber hinaus kann die Anzahl der ungültigen Kennwörter des Domänenbenutzers erhöht werden, was zu einer Kontosperrung führt.
Ursache
Dieses Problem kann auftreten, wenn die LmCompatibilityLevel-Einstellungen für die Authentifizierung dc von den Standardwerten geändert wurden.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Wenn Sie diesen Wert beispielsweise auf 5 festlegen (Nur NTLMv2-Antwort senden). Lehnt LM & NTLM ab), akzeptiert der DC keine Anforderungen, die die NTLM-Authentifizierung verwenden. Wenn MS-CHAP oder MS-CHAPv2 konfiguriert sind, verwendet RAS in Windows Server 2008 R2 standardmäßig NTLM, um das Kennwort zu hashen. Da der DC nur NTLMv2 akzeptiert, wird die Anforderung verweigert.
Notiz
Weitere Tests, die Sie ausführen können, um dieses Problem zu bestätigen:
- Testen Sie eine Klartextmethode wie PAP. Da das Kennwort nicht mit Hash versehen ist, sollte die Authentifizierung erfolgreich sein.
(WARNUNG: DIE PAP-Authentifizierung sollte nur für Tests verwendet werden) - Testen Sie MS-CHAPv2 mithilfe der lokal auf dem RAS-Server konfigurierten Anmeldeinformationen. Da in diesem Szenario keine Anforderung an den DC gesendet wird, sollte die Authentifizierung erfolgreich sein.
Lösung
Wenn Sie MS-CHAPv2 verwenden müssen, können Sie die NTLMv2-Authentifizierung aktivieren, indem Sie diesen Registrierungseintrag hinzufügen:
- Wählen Sie "Start>ausführen" aus, geben Sie "regedit" in das Feld "Öffnen" ein, und wählen Sie dann "OK" aus.
- Suchen Sie den folgenden Registrierungsunterschlüssel, und wählen Sie ihn aus:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy - Zeigen Sie im Menü Bearbeiten auf Neu und wählen Sie dann DWORD-Wert.
- Geben Sie NTLMv2-Kompatibilität ein, und drücken Sie dann die EINGABETASTE.
- Wählen Sie im Menü Bearbeiten die Option Ändern aus.
- Geben Sie im Datenfeld Wert den Wert 1 ein, und wählen Sie dann OK aus.
- Beenden Sie den Registrierungs-Editor.
Notiz
Möglicherweise müssen Sie NPS-Dienste auf dem NPS-Server oder dem Radius-Server neu laden.