Introducción
Este documento describe la solución del problema cuando Microsoft Active Directory Domain Controller comienza a responder a la notificación de falla falsa con "código de error: 0xc000064" para las solicitudes de autenticación de Cisco Identity Services Engine (ISE).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco Identity Services Engine (ISE).
- Microsoft Active Directory (MS-AD).
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Identity Services Engine (ISE) 2.4 y 2.6 en VM (pequeña).
- Microsoft Active Directory (MS-AD) 2012.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si su red está activa, asegúrese de comprender el impacto potencial de cualquier paso.
Problema
Se observaron dos entradas de registro (con error y éxito) en los registros de auditoría del visor de eventos del controlador de dominio (DC) para cada solicitud de autenticación de ISE.
La falla se debe a la razón "NO_SUCH_USER" y al código de error: 0xc000064
Solución
El comportamiento está relacionado con el defecto CSCvf45991 y los siguientes pasos deberían resolver el problema.
Paso 1. Actualización de ISE a la versión o parche en el que CSCvf45991 está arreglado.
Paso 2. Únase a ISE para desear AD Domain.
Paso 3. Para configurar Configuración del Registro, navegue hasta Herramienta avanzada > Ajuste avanzado.
Nombre: REGISTRY.Services\lsass\Parameters\Providers\ActiveDirectory\WorkaroundForFalseFailedLoginEvent
Paso 4. Valor: YES.
Paso 5. Haga clic en el botón Update Value.
Paso 6. Haga clic en Reiniciar el conector de Active Directory.
Nota: El paso 6 reinicia el servicio de conector de Active Directory.
Paso 7. Realice una prueba de autenticación ( MSCHAPV2 ) una vez más después de que el servicio de conector de Active Directory esté activo y se resuelva el problema.
Paso 8. El registro de auditoría correcta en Visor de eventos en AD debe confirmar lo mismo.