Print

关于Windows AD服务器更新KB3205404KB3172729补丁后导致Mschapv2认证失败的解决方案的技术公告

2017-05-15 发表

【产品型号】

H3C iMC EIA/UAM

【涉及版本】

H3C iMC EIA/UAM所有版本

【问题描述】

H3C iMC EIA/ UAM配合Windows AD服务器进行PEAP-Mschapv2认证时,如果AD服务器更新了KB3205404或者KB3172729补丁且重启AD服务器后,域账户再次认证时就会出现EIA/ UAM连接域控异常的情况,导致用户认证失败,该问题必现。

注意:KB3205404属于SSU(累计)补丁,由以下四个子补丁组成,通过微软补丁服务器自动更新时一般会自动安装如下四个补丁:

KB3210137

KB3210135

KB3205378

KB3210132

在操作系统“控制面板”-“已安装更新”界面看到上述四个子补丁后即表示KB3205404补丁已经安装。

经微软确认,进行Mschapv2认证时,安装上述补丁的AD服务器对Radius Server发送的NTLM V1验证请求都做Reset操作,导致域控无法连接,用户认证失败。微软官方已发布类似问题的说明,关于该类问题的详细信息请参考如下链接:

https://support.microsoft.com/en-us/help/2976994/shared-folder-in-windows-server-2012-r2-or-windows-8.1-cannot-be-accessed-by-using-smb-version-1-protocol

对于已经更新上述补丁且存在AD Mschapv2认证的局点,可以通过修改Windows AD服务器注册表或者升级Windows AD服务器指定补丁的方式解决。

方法一:修改AD服务器注册表

以管理员身份登录Windows AD服务器,运行注册表编辑器:

在注册表编辑器左导航栏定位到如下目录:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanManServer

在右侧显示栏中右击DependOnService进行修改,如下图所示:

如下图所示,在弹出对话框的数值数据栏中输入:SamSSSrv2Srv,点击确定。

退出注册表编辑器,重启Windows AD服务器。重启完成后进行Mschapv2认证,认证恢复正常。

方法二:升级Windows AD服务器指定的补丁

在微软官网下载如下补丁,注意请按照本发文的描述顺序安装补丁。

1、 https://support.microsoft.com/en-us/kb/2919442下载 KB2919442,选择独立安装包下载。安装该补丁后重启Windows AD服务器。

2、https://support.microsoft.com/en-us/kb/2919355下载 KB2919355所有子补丁,下载方式同步骤1。注意按照clearcompressionflag.exeKB2919355KB2932046KB2959977KB2937592KB2938439KB2934018的顺序分别安装,详见下图安装指导:

3、https://support.microsoft.com/en-us/kb/3000850页面下载KB3000850包含的全部补丁,下载方式同上。

按顺序分别安装KB3000850KB3003057KB3016437KB3014442

注意KB3016437补丁只有在Windows Server 2012R2服务器作为AD域控服务器时需要安装,其他情况均不用安装KB3016437补丁。

4、按照如上方式从https://support.microsoft.com/en-us/kb/3013769页面下载KB3013769独立安装包,安装后重启AD服务器。

5、重启AD服务器后查看所有已更新的补丁如下图所示,确认上述补丁全部安装后再次进行Mschapv2认证即可恢复正常。

注:各补丁的详细安装指导可参考微软官网: https://support.microsoft.com/en-us/help/