关于Windows AD服务器更新KB3205404KB3172729补丁后导致Mschapv2认证失败的解决方案的技术公告

【产品型号】

H3C iMC EIA/UAM

【涉及版本】

H3C iMC EIA/UAM所有版本

【问题描述】

H3C iMC EIA/ UAM配合Windows AD服务器进行PEAP-Mschapv2认证时，如果AD服务器更新了KB3205404或者KB3172729补丁且重启AD服务器后，域账户再次认证时就会出现EIA/ UAM连接域控异常的情况，导致用户认证失败，该问题必现。

注意：KB3205404属于SSU（累计）补丁，由以下四个子补丁组成，通过微软补丁服务器自动更新时一般会自动安装如下四个补丁：

KB3210137

KB3210135

KB3205378

KB3210132

在操作系统“控制面板”-“已安装更新”界面看到上述四个子补丁后即表示KB3205404补丁已经安装。

经微软确认，进行Mschapv2认证时，安装上述补丁的AD服务器对Radius Server发送的NTLM V1验证请求都做Reset操作，导致域控无法连接，用户认证失败。微软官方已发布类似问题的说明，关于该类问题的详细信息请参考如下链接：

***.***/en-us/help/2976994/shared-folder-in-windows-server-2012-r2-or-windows-8.1-cannot-be-accessed-by-using-smb-version-1-protocol

对于已经更新上述补丁且存在AD Mschapv2认证的局点，可以通过修改Windows AD服务器注册表或者升级Windows AD服务器指定补丁的方式解决。

方法一：修改AD服务器注册表

以管理员身份登录Windows AD服务器，运行注册表编辑器：

在注册表编辑器左导航栏定位到如下目录：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanManServer

在右侧显示栏中右击DependOnService进行修改，如下图所示：

如下图所示，在弹出对话框的数值数据栏中输入：SamSS、Srv、2Srv，点击确定。

退出注册表编辑器，重启Windows AD服务器。重启完成后进行Mschapv2认证，认证恢复正常。

方法二：升级Windows AD服务器指定的补丁

在微软官网下载如下补丁，注意请按照本发文的描述顺序安装补丁。

1、从 ***.***/en-us/kb/2919442下载 KB2919442，选择独立安装包下载。安装该补丁后重启Windows AD服务器。

2、从***.***/en-us/kb/2919355下载 KB2919355所有子补丁，下载方式同步骤1。注意按照clearcompressionflag.exe、KB2919355、KB2932046、KB2959977、KB2937592、KB2938439、KB2934018的顺序分别安装，详见下图安装指导：

3、从***.***/en-us/kb/3000850页面下载KB3000850包含的全部补丁，下载方式同上。

按顺序分别安装KB3000850、KB3003057、KB3016437、KB3014442

注意KB3016437补丁只有在Windows Server 2012R2服务器作为AD域控服务器时需要安装，其他情况均不用安装KB3016437补丁。

4、按照如上方式从***.***/en-us/kb/3013769页面下载KB3013769独立安装包，安装后重启AD服务器。

5、重启AD服务器后查看所有已更新的补丁如下图所示，确认上述补丁全部安装后再次进行Mschapv2认证即可恢复正常。

注：各补丁的详细安装指导可参考微软官网： ***.***/en-us/help/。