Introduction
Este documento descreve a solução do problema quando o Controlador de Domínio do Microsoft Ative Diretory começa a responder à notificação de falha falsa com "código de erro: 0xc0000064" para solicitações de autenticação do Cisco Identity Services Engine (ISE).
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco Identity Services Engine (ISE).
- Microsoft Ative Diretory (MS-AD).
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Identity Services Engine (ISE) 2.4 e 2.6 em VM (Pequeno).
- Microsoft Ative Diretory (MS-AD) 2012.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a sua rede estiver ativa, certifique-se de que você entende o impacto potencial de qualquer etapa.
Problema
Duas entradas de log observadas (falha e êxito) nos logs de auditoria do visualizador de eventos do Controlador de domínio (DC) para cada solicitação de autenticação do ISE.
A falha ocorre com o motivo "NO_TAL_USER" e o código de erro: 0xc0000064
Solução
O comportamento está relacionado ao defeito CSCvf45991 e as seguintes etapas devem resolver o problema.
Etapa 1. Atualize o ISE para a versão ou patch em que o CSCvf45991 é corrigido.
Etapa 2. Junte-se ao ISE para desejar o domínio do AD.
Etapa 3. Para configurar Configurações do Registro, navegue para Ferramenta avançada > Ajuste avançado.
Nome: REGISTRO.Services\lsass\Parameters\Providers\ActiveDirectory\WorkaroundForFalseFailedLoginEvent
Etapa 4. Valor: YES.
Etapa 5. Clique no botão Atualizar valor.
Etapa 6. Clique em Reiniciar conector do Ative Diretory.
Note: A Etapa 6 reinicia o serviço do conector do Ative Diretory.
Passo 7. Execute novamente o teste de autenticação ( MSCHAPV2 ) depois que o serviço do conector do Ative Diretory estiver ativo e o problema for resolvido.
Etapa 8. O log de êxito da auditoria no Visualizador de Eventos no AD deve confirmar o mesmo.