Table of contents
TOC
Collapse the table of content
Expand the table of content

Solucionar problemas de autenticación

James McIllece|Última actualización: 10/03/2017
|
1 Colaborador

Se aplica a: Windows Server 2016

Este tema contiene información de solución de problemas para los problemas relacionados con problemas de los usuarios pueden tener al intentar conectar con DirectAccess mediante la autenticación de OTP. DirectAccerss OTP relacionados con eventos se registran en el equipo cliente en el Visor de eventos aplicaciones y los registros de servicios/Microsoft/Windows/OtpCredentialProvider. Asegúrate de que esté habilitado este registro para solucionar problemas con DirectAccess OTP.

Error al obtener acceso a la CA que emite certificados OTP

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). Inscripción de certificados OTP para el usuario error en el servidor de CA < CA_name >, solicitar los motivos posibles errores de error: no se puede resolver el nombre del servidor de entidad emisora de certificados, servidor de entidad emisora no puede acceder a través del primer túnel de DirectAccess o no se puede establecer la conexión con el servidor de CA.

Causa

El usuario ha proporcionado una contraseña temporal válida y el servidor DirectAccess inició la solicitud de certificado; Sin embargo, el equipo cliente no puede ponerse en contacto con la CA que emite certificados OTP para finalizar el proceso de inscripción.

Solución

En el servidor DirectAccess, ejecuta los siguientes comandos de Windows PowerShell:

  1. Obtener la lista de OTP configurado la CA emisora y comprueba el valor de 'CAServidor': Get-DAOtpAuthentication

  2. Asegúrate de que las entidades emisoras están configurados como un servidor de administración: Get-DAMgmtServer -Type All

  3. Asegúrate de que el equipo cliente ha establecido el túnel infraestructura: en el Firewall de Windows con la consola de seguridad avanzada, expanda asociaciones de seguridad o supervisión, haz clic en modo principaly asegúrate de que las asociaciones de seguridad IPsec aparecen con las direcciones remotas correctas para la configuración de DirectAccess.

Problemas de conectividad de DirectAccess server

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente)

Uno de los siguientes errores:

  • No se puede establecer una conexión al servidor de acceso remoto < DirectAccess_server_hostname > mediante la ruta de acceso base < OTP_authentication_path > y < OTP_authentication_port > de puerto. Código de error: < internal_error_code >.

  • Las credenciales de usuario no puede enviarse al servidor de acceso remoto < DirectAccess_server_hostname > mediante la ruta de acceso base < OTP_authentication_path > y < OTP_authentication_port > de puerto. Código de error: < internal_error_code >.

  • Servidor de acceso remoto < DirectAccess_server_hostname > mediante la ruta de acceso base < OTP_authentication_path > y el puerto < OTP_authentication_port > no se ha recibido una respuesta. Código de error: < internal_error_code >.

Causa

El equipo cliente no puede obtener acceso al servidor de DirectAccess por Internet, debido a problemas de cualquier red o a un servidor IIS mal configurado en el servidor DirectAccess.

Solución

Asegúrate de que funciona la conexión a Internet en el equipo cliente y asegúrate de que el servicio de DirectAccess está ejecutando y accesible a través de Internet.

No puede inscribir el certificado de inicio de sesión de DirectAccess OTP

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). No se pudo realizar la inscripción de certificado de CA < CA_name >. La solicitud no estaba firmada según lo espera el certificado de firma de OTP o el usuario no tiene permiso para inscribir.

Causa

La contraseña temporal proporcionada por el usuario es correcta, pero ha rechazado la emisora de certificados (CA) emitir el certificado de inicio de sesión OTP. La solicitud de certificado no puede iniciar sesión correctamente con el EKU correcto (directiva de aplicación de entidad de registro OTP) o el usuario no tiene el permiso "Inscripción" en la plantilla OTP DA.

Solución

Asegúrate de que los usuarios OTP DirectAccess tienen permiso para inscribir el certificado de inicio de sesión de DirectAccess OTP y que la correcta "Directiva de aplicación" se incluye en la entidad de registro DA OTP firma plantilla. Asegúrate también de que el certificado de entidad de registro de DirectAccess en el servidor de acceso remoto es válido. Consulta 3.2 Planear la plantilla de certificado OTP y 3.3 planear el certificado de entidad de registro.

Certificado de cuenta de equipo falta o no válido

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). No se puede completar la autenticación OTP porque el certificado de equipo necesario para OTP no se encuentra en el almacén de certificados de equipo local.

Causa

Autenticación de DirectAccess OTP requiere un certificado de equipo de cliente para establecer una conexión SSL con el servidor DirectAccess; Sin embargo, el certificado de equipo cliente no se encontró o no es válido, por ejemplo, si el certificado expirado.

Solución

Asegúrate de que el certificado de equipo existe y que es válido:

  1. En el equipo cliente, en la consola MMC certificados, para la cuenta de equipo Local, abre Personal/certificados.

  2. Asegúrate de que hay un certificado emitido que coincida con el nombre del equipo y haz doble clic en el certificado.

  3. En la certificado cuadro de diálogo, en la ruta de certificado ficha estado del certificado, asegúrate de que dice "este certificado es Aceptar".

Si no se encuentra un certificado válido, eliminar el certificado no válido (si existe) y volver a inscribirte para el certificado de equipo que ejecute cualquier gpupdate /Force desde un símbolo del sistema con privilegios elevados o reiniciar el equipo cliente.

Falta la entidad de certificación que emite certificados OTP

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). No se puede completar la autenticación OTP porque el servidor DA no devolvió una dirección de una entidad de certificación emisora.

Causa

No hay ninguna CA que emiten los certificados OTP configurados, o todas las entidades emisoras configurado que emiten los certificados OTP son no responde.

Solución

  1. Usa el siguiente comando para obtener la lista de entidades de certificación que emiten los certificados OTP (se muestra el nombre de entidad emisora de certificados en CAServidor): Get-DAOtpAuthentication.

  2. Si no se configura ninguna CA:

    1. Usar el comando Set-DAOtpAuthentication o la consola de administración de acceso remoto para configurar la CA que emiten OTP DirectAccess certificado de inicio de sesión.

    2. Aplicar la configuración nueva y forzar a los clientes a actualizar la configuración de GPO de DirectAccess mediante la ejecución gpupdate /Force desde un símbolo del sistema con privilegios elevados o reiniciar el equipo cliente.

  3. Si hay CA configurado, asegúrate de que estén en línea y responder a solicitudes de inscripción.

Dirección del servidor DirectAccess mal configurado

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). No se puede completar la autenticación OTP según lo esperado. No se puede determinar el nombre o dirección del servidor de acceso remoto. Código de error: < código_de_error >. El administrador del servidor debe validar la configuración de DirectAccess.

Causa

La dirección del servidor DirectAccess no está configurada correctamente.

Solución

Verificación configurado DirectAccess servidor dirección con Get-DirectAccess y corregir la dirección si se está configurado correctamente.

Asegúrate de que la configuración más reciente se implementa en el equipo cliente mediante la ejecución gpupdate /force desde un símbolo del sistema con privilegios elevados o reiniciar el equipo cliente.

Error al generar la solicitud de certificado de inicio de sesión OTP

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). No se puede inicializar la solicitud de certificado para la autenticación de OTP. No se puede generar una clave de privada, o usuario no puede acceder a la plantilla de certificado < OTP_template_name > en el controlador de dominio.

Causa

Hay dos causas posibles para este error:

  • El usuario no tiene permiso para leer la plantilla de inicio de sesión OTP.

  • El equipo del usuario no tiene acceso el controlador de dominio debido a problemas de red.

Solución

  • Revisa la configuración en la plantilla de inicio de sesión OTP de permisos y asegúrate de que todos los usuarios aprovisionados para DirectAccess OTP 'leído' permiso.

  • Asegúrate de que el controlador de dominio está configurado como un servidor de administración y que el equipo cliente puede alcanzar el controlador de dominio sobre el túnel de infraestructura. Consulta la plantilla de certificado OTP de 3,2 planeación.

Ninguna conexión con el controlador de dominio

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). No se puede establecer una conexión con el controlador de dominio con el fin de autenticación OTP. Código de error: < código_de_error >.

Causa

Hay dos causas posibles para este error:

  • El equipo del usuario no tiene conectividad de red.

  • El controlador de dominio no estarán accesible por el túnel de infraestructura.

Solución

  • Asegúrate de que el controlador de dominio está configurado como un servidor de administración, ejecuta el siguiente comando desde un símbolo del sistema de PowerShell: Get-DAMgmtServer -Type All.

  • Asegúrate de que el equipo cliente puede alcanzar el controlador de dominio sobre el túnel de infraestructura.

Proveedor OTP requiere desafío/respuesta

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). Autenticación de OTP con el servidor de acceso remoto (< DirectAccess_server_name >) para el usuario () requiere un desafío del usuario.

Causa

El proveedor OTP utilizado requiere que el usuario que proporcione credenciales adicionales en forma de un intercambio de desafío y respuesta de RADIO, que no es compatible con Windows Server 2012 DirectAccess OTP.

Solución

Configurar el proveedor OTP para que no requiera desafío/respuesta en cualquier escenario.

Plantilla de inicio de sesión OTP incorrecto

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). La plantilla de entidad emisora de certificados de usuario que solicitado un certificado no está configurado para emitir certificados OTP.

Causa

Se ha reemplazado la plantilla de inicio de sesión OTP DirectAccess y el equipo cliente está intentando autenticarse con una plantilla más antigua.

Solución

Asegúrate de que el equipo cliente está usando la configuración más reciente de OTP realizando una de las siguientes acciones:

  • Forzar una actualización de directiva de grupo ejecutando el siguiente comando desde un símbolo del sistema con privilegios elevados: gpupdate /Force.

  • Reinicia el equipo cliente.

Falta el certificado de firma de OTP

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente). No se encuentra un certificado de firma de OTP. No se puede firmar la solicitud de inscripción de certificado OTP.

Causa

El certificado de firma de DirectAccess OTP no se encuentra en el servidor de acceso remoto. por lo tanto, la solicitud de certificado de usuario no puede estar firmada por el servidor de acceso remoto. No hay ningún certificado de firma o el certificado de firma ha expirado y no se ha renovado.

Solución

Realice estos pasos en el servidor de acceso remoto.

  1. Ejecute el cmdlet de PowerShell para comprobar el nombre de plantilla del certificado de firma de configurado OTP Get-DAOtpAuthentication e inspecciona el valor de SigningCertificateTemplateName.

  2. Usar el complemento de MMC certificados para asegurarte de que existe un certificado válido inscripto desde esta plantilla en el equipo.

  3. Si no existe ningún certificado de este tipo, elimina el certificado expirado (si existe) e inscribir un nuevo certificado basado en esta plantilla.

Para crear la firma de OTP plantilla de certificado consulta Plan 3.3 el certificado de entidad de registro.

Falta o es incorrecto UPN o DN para que el usuario

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (registro de eventos de cliente)

Uno de los siguientes errores:

  • Usuario no se puede autenticar con OTP. Asegúrate de que se define un UPN el nombre de usuario en Active Directory. Código de error: < código_de_error >.

  • Usuario no se puede autenticar con OTP. Asegúrate de que se define un nombre completo del nombre de usuario en Active Directory. Código de error: < código_de_error >.

Error recibido (registro de eventos de servidor)

El nombre de usuario especificado para la autenticación OTP no existe.

Causa

El usuario no tiene el nombre Principal de usuario (UPN) o los atributos de nombre distintivo (DN) se establecen correctamente en la cuenta de usuario, estas propiedades son necesarias para el funcionamiento correcto de DirectAccess OTP.

Solución

Usa la consola de equipos y usuarios de Active Directory en el controlador de dominio para comprobar que ambos atributos están establecidas correctamente para la autenticación de usuario.

Certificado OTP no es de confianza para el inicio de sesión

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Causa

La CA que emite certificados OTP no está en la tienda NTAuth de empresa. por lo tanto, los certificados inscritos no pueden usarse para iniciar sesión. Esto puede ocurrir en entornos de dominio y multiforest multi donde no se establece entre dominios de confianza de la CA.

Solución

Asegúrate de que el certificado de la raíz de la jerarquía de entidad emisora de certificados que emite certificados OTP está instalado en la empresa almacenar certificados NTAuth del dominio al que el usuario está intentando autenticar.

Windows no pudo comprobar las credenciales de usuario

Escenario. Se produce un error del usuario autenticar con OTP con el error: "Error de autenticación debido a un error interno"

Error recibido (equipo cliente). Hubo un problema mientras Windows comprobar sus credenciales. Vuelve a intentarlo o pida al administrador para obtener ayuda.

Causa

El protocolo de autenticación de Kerberos no funciona cuando el certificado de inicio de sesión de DirectAccess OTP no incluye una CRL. El certificado de inicio de sesión de DirectAccess OTP no incluye una CRL porque ambos:

  • La plantilla de inicio de sesión de DirectAccess OTP se ha configurado con la opción no incluyen información de revocación de certificados emitidos.

  • La CA está configurada para que no publicar CRL.

Solución

  1. Para confirmar la causa de este error en la consola de administración de acceso remoto, en servidor de acceso remoto de paso 2, haz clic en editary, a continuación, en la instalación del servidor de acceso remoto asistente, haz clic en plantillas de certificado OTP. Toma nota de la plantilla de certificado que se usa para la inscripción de certificados que se emiten para la autenticación de OTP. Abrir la consola de entidad de certificación, en el panel izquierdo, haga clic plantillas de certificado, haz doble clic en el certificado de inicio de sesión OTP para ver las propiedades de la plantilla de certificado.

    Para resolver este problema, configurar un certificado para el certificado de inicio de sesión OTP y no se selecciona la no incluyen información de revocación de certificados emitidos casilla de verificación de la Server ficha del cuadro de diálogo de propiedades de plantilla.

  2. En el servidor de la CA, abre MMC de entidad emisora, haga clic con el botón secundario del mouse en la CA emisora y haz clic propiedades. En la extensiones pestaña Asegúrate de que la publicación de CRL está configurada correctamente.

© 2017 Microsoft