Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln löser problemet med att VPN-anslutningar till en Windows RRAS-server misslyckas när du använder MS-CHAPv2-autentiseringen.
Ursprungligt KB-nummer: 2811487
Symptom
VPN-anslutningar till en Windows RRAS-server misslyckas när du använder MS-CHAPv2-autentiseringsmetoden. Andra symtom är att slutanvändaren kan få ett felmeddelande som det här:
fel 691 "Fjärranslutningen nekades eftersom kombinationen av användarnamn och lösenord som du angav inte känns igen eller att det valda autentiseringsprotokollet inte tillåts på fjärråtkomstservern.
Dessutom kan domänanvändarens antal felaktiga lösenord öka, vilket resulterar i en kontoutelåsning.
Orsak
Det här problemet kan inträffa när Inställningarna för LmCompatibilityLevel på den autentiserande domänkontrollanten har ändrats från standardinställningarna.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
När du till exempel anger det här värdet till 5 (skicka endast NTLMv2-svar. Neka LM & NTLM) accepterar inte domänkontrollanten några begäranden som använder NTLM-autentisering. När MS-CHAP eller MS-CHAPv2 har konfigurerats kommer RAS i Windows Server 2008 R2 som standard att NTLM hash lösenordet. Eftersom domänkontrollanten endast accepterar NTLMv2 nekas begäran.
Kommentar
Andra tester som du kan utföra för att bekräfta det här problemet är:
- Testa en clear text-metod, till exempel PAP. Eftersom lösenordet inte är hashad bör autentiseringen lyckas
(VARNING: PAP-autentisering bör endast användas för testning) - Testa MS-CHAPv2 med hjälp av autentiseringsuppgifter som konfigurerats lokalt på RAS-servern. Eftersom ingen begäran skickas till domänkontrollanten i det här scenariot bör autentiseringen lyckas.
Åtgärd
Om du måste använda MS-CHAPv2 kan du aktivera NTLMv2-autentisering genom att lägga till den här registerposten:
- Välj Starta>körning, skriv regedit i rutan Öppna och välj sedan OK.
- Leta upp och välj följande registerundernyckel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy - På menyn Redigera pekar du på Ny och väljer sedan DWORD-värde.
- Skriv Aktivera NTLMv2-kompatibilitet och tryck sedan på RETUR.
- På menyn Redigera väljer du Ändra.
- I rutan Värdedata skriver du 1 och väljer sedan OK.
- Avsluta Registereditorn.
Kommentar
Du kan behöva läsa in NPS-tjänster på NPS-servern eller Radius-servern igen.