Introduzione
In questo documento viene descritta la soluzione del problema quando Controller di dominio Microsoft Active Directory inizia a rispondere alla notifica di errore falso con "codice di errore: 0xc000064" per le richieste di autenticazione di Cisco Identity Services Engine (ISE).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco Identity Services Engine (ISE).
- Microsoft Active Directory (MS-AD).
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Identity Services Engine (ISE) 2.4 e 2.6 su VM (piccola).
- Microsoft Active Directory (MS-AD) 2012.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, verificare di aver compreso l'impatto potenziale di qualsiasi passaggio.
Problema
Due voci di log sono state osservate (errore e operazione riuscita) nei log di controllo del visualizzatore eventi del controller di dominio per ogni richiesta di autenticazione da ISE.
L'errore è dovuto al motivo "NO_TAL_USER" e al codice di errore: 0xc0000064
Soluzione
Il comportamento è correlato al difetto CSCvf45991. Per risolvere il problema, procedere come segue.
Passaggio 1. Aggiornare ISE alla versione o alla patch in cui è stato risolto CSCvf45991.
Passaggio 2. Partecipare ad ISE per richiedere AD Domain.
Passaggio 3. Per configurare le impostazioni del Registro di sistema, selezionare Strumento avanzato > Ottimizzazione avanzata.
Nome: REGISTRO.Services\lsass\Parameters\Providers\ActiveDirectory\WorkaroundForFalseFailedLoginEvent
Passaggio 4. Valore: SÌ.
Passaggio 5. Fare clic sul pulsante Aggiorna valore.
Passaggio 6. Fare clic su Riavvia Active Directory Connector.
Nota: Il passaggio 6 consente di riavviare il servizio Connettore Active Directory.
Passaggio 7. Eseguire nuovamente il test di autenticazione ( MSCHAPV2 ) dopo l'attivazione del servizio Connettore Active Directory e la risoluzione del problema.
Passaggio 8. Il registro delle operazioni riuscite in Visualizzatore eventi in Active Directory deve essere confermato.