【产品型号】
H3C iMC EIA/UAM
【涉及版本】
H3C iMC EIA/UAM所有版本
【问题描述】
H3C iMC EIA/ UAM配合Windows AD服务器进行PEAP-Mschapv2认证时,如果AD服务器更新了KB3205404或者KB3172729补丁且重启AD服务器后,域账户再次认证时就会出现EIA/ UAM连接域控异常的情况,导致用户认证失败,该问题必现。
注意:KB3205404属于SSU(累计)补丁,由以下四个子补丁组成,通过微软补丁服务器自动更新时一般会自动安装如下四个补丁:
KB3210137
KB3210135
KB3205378
KB3210132
在操作系统“控制面板”-“已安装更新”界面看到上述四个子补丁后即表示KB3205404补丁已经安装。
经微软确认,进行Mschapv2认证时,安装上述补丁的AD服务器对Radius Server发送的NTLM V1验证请求都做Reset操作,导致域控无法连接,用户认证失败。微软官方已发布类似问题的说明,关于该类问题的详细信息请参考如下链接:
对于已经更新上述补丁且存在AD Mschapv2认证的局点,可以通过修改Windows AD服务器注册表或者升级Windows AD服务器指定补丁的方式解决。
方法一:修改AD服务器注册表
以管理员身份登录Windows AD服务器,运行注册表编辑器:
在注册表编辑器左导航栏定位到如下目录:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanManServer
在右侧显示栏中右击DependOnService进行修改,如下图所示:
如下图所示,在弹出对话框的数值数据栏中输入:SamSS、Srv、2Srv,点击确定。
退出注册表编辑器,重启Windows AD服务器。重启完成后进行Mschapv2认证,认证恢复正常。
方法二:升级Windows AD服务器指定的补丁
在微软官网下载如下补丁,注意请按照本发文的描述顺序安装补丁。
1、从 https://support.microsoft.com/en-us/kb/2919442下载 KB2919442,选择独立安装包下载。安装该补丁后重启Windows AD服务器。
2、从https://support.microsoft.com/en-us/kb/2919355下载 KB2919355所有子补丁,下载方式同步骤1。注意按照clearcompressionflag.exe、KB2919355、KB2932046、KB2959977、KB2937592、KB2938439、KB2934018的顺序分别安装,详见下图安装指导:
3、从https://support.microsoft.com/en-us/kb/3000850页面下载KB3000850包含的全部补丁,下载方式同上。
按顺序分别安装KB3000850、KB3003057、KB3016437、KB3014442
注意KB3016437补丁只有在Windows Server 2012R2服务器作为AD域控服务器时需要安装,其他情况均不用安装KB3016437补丁。
4、按照如上方式从https://support.microsoft.com/en-us/kb/3013769页面下载KB3013769独立安装包,安装后重启AD服务器。
5、重启AD服务器后查看所有已更新的补丁如下图所示,确认上述补丁全部安装后再次进行Mschapv2认证即可恢复正常。
注:各补丁的详细安装指导可参考微软官网: https://support.microsoft.com/en-us/help/。