Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se resuelve el problema de que las conexiones VPN a un servidor Windows RRAS produzcan un error al usar la autenticación MS-CHAPv2.
Número de KB original: 2811487
Síntomas
Se produce un error en las conexiones VPN a un servidor RRAS de Windows al usar el método de autenticación MS-CHAPv2. Otros síntomas incluyen el usuario final puede recibir un mensaje de error similar al siguiente:
error 691 "Se denegó la conexión remota porque no se reconoce la combinación de nombre de usuario y contraseña proporcionada, o no se permite el protocolo de autenticación seleccionado en el servidor de acceso remoto.
Además, el recuento de contraseñas incorrectas del usuario del dominio puede incrementarse, lo que da lugar a un bloqueo de cuenta.
Causa
Este problema puede producirse cuando se ha modificado la configuración de LmCompatibilityLevel en el controlador de dominio de autenticación a partir de los valores predeterminados.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Por ejemplo, al establecer este valor en 5 (enviar solo respuesta NTLMv2. Rechazar LM & NTLM), el CONTROLADOR de dominio no aceptará ninguna solicitud que use la autenticación NTLM. Cuando MS-CHAP o MS-CHAPv2 están configurados, RAS en Windows Server 2008 R2 tendrá como valor predeterminado NTLM para aplicar un hash a la contraseña. Dado que el controlador de dominio solo acepta NTLMv2, se denegará la solicitud.
Nota:
Otras pruebas que puede realizar para confirmar este problema incluyen:
- Pruebe un método de texto no cifrado como PAP. Dado que la contraseña no es autenticación con hash debe realizarse correctamente
(ADVERTENCIA: La autenticación PAP solo debe usarse para realizar pruebas) - Pruebe MS-CHAPv2 mediante credenciales configuradas localmente en el servidor RAS. Dado que no se envía ninguna solicitud al controlador de dominio en este escenario, la autenticación debe realizarse correctamente.
Solución
Si debe usar MS-CHAPv2, puede habilitar la autenticación NTLMv2 agregando esta entrada del Registro:
- Seleccione Iniciar>ejecución, escriba regedit en el cuadro Abrir y, a continuación, seleccione Aceptar.
- Busque y seleccione la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy
- En el menú Editar, seleccione Nuevo y a continuación, Valor DWORD.
- Escriba Enable NTLMv2 Compatibility (Habilitar compatibilidad NTLMv2) y presione ENTRAR.
- En el menú Edición, seleccione Modificar.
- En el cuadro de datos Valor, escriba 1 y, a continuación, seleccione Aceptar.
- Salga del Editor del Registro.
Nota:
Es posible que tenga que volver a cargar los servicios NPS en el servidor NPS o en el servidor Radius.