Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo risolve il problema per cui le connessioni VPN a un server Windows RRAS hanno esito negativo quando si usa l'autenticazione MS-CHAPv2.
Numero KB originale: 2811487
Sintomi
Le connessioni VPN a un server Windows RRAS hanno esito negativo quando si usa il metodo di autenticazione MS-CHAPv2. Altri sintomi includono l'utente finale può ricevere un messaggio di errore simile al seguente:
errore 691 "La connessione remota è stata negata perché la combinazione di nome utente e password specificata non è riconosciuta o il protocollo di autenticazione selezionato non è consentito nel server di accesso remoto.
Inoltre, il numero di password non valido dell'utente di dominio può aumentare, causando un blocco dell'account.
Causa
Questo problema può verificarsi quando le impostazioni LmCompatibilityLevel nel controller di dominio di autenticazione sono state modificate dalle impostazioni predefinite.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Ad esempio, quando si imposta questo valore su 5 (invia solo risposta NTLMv2. Rifiuta LM & NTLM), il controller di dominio non accetterà richieste che usano l'autenticazione NTLM. Quando MS-CHAP o MS-CHAPv2 sono configurati, RAS in Windows Server 2008 R2 verrà impostato per impostazione predefinita su NTLM per l'hash della password. Poiché il controller di dominio accetta solo NTLMv2, la richiesta verrà negata.
Note
Altri test che è possibile eseguire per confermare questo problema includono:
- Testare un metodo di testo non crittografato, ad esempio PAP. Poiché l'autenticazione senza hash della password deve avere esito positivo
(AVVISO: l'autenticazione PAP deve essere usata solo per i test) - Testare MS-CHAPv2 usando le credenziali configurate localmente nel server RAS. Poiché nessuna richiesta viene inviata al controller di dominio in questo scenario, l'autenticazione deve avere esito positivo.
Risoluzione
Se è necessario usare MS-CHAPv2, è possibile abilitare l'autenticazione NTLMv2 aggiungendo questa voce del Registro di sistema:
- Selezionare Avvia>esecuzione, digitare regedit nella casella Apri e quindi selezionare OK.
- Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy - Scegliere Nuovo dal menu Modifica e quindi selezionare Valore DWORD.
- Digitare Enable NTLMv2 Compatibility (Abilita compatibilità NTLMv2) e quindi premere INVIO.
- Dal menu Modifica, selezionare Modifica.
- Nella casella dati Valore digitare 1 e quindi selezionare OK.
- Uscire dall'editor del Registro di sistema.
Note
Potrebbe essere necessario ricaricare i servizi nps nel server NPS o nel server Radius.