Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Risoluzione dei problemi di autenticazione

James McIllece|Ultimo aggiornamento: 10/03/2017
|
1 Collaboratore

Si applica a: Windows Server 2016

In questo argomento contiene informazioni sulla risoluzione dei problemi relativi a problemi con gli utenti potrebbero avere durante il tentativo di connettersi a DirectAccess utilizzando l'autenticazione OTP. OTP DirectAccerss correlati gli eventi vengono registrati nel computer client nel Visualizzatore eventi in applicazioni e servizi registri/Microsoft/Windows/OtpCredentialProvider. Assicurarsi che sia abilitato questo log durante la risoluzione dei problemi relativi a OTP di DirectAccess.

Impossibile accedere alla CA che rilascia certificati OTP

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Registrazione del certificato OTP per utente non è riuscito nel server CA < nome_CA >, richieste non riuscite, possibili cause dell'errore: nome del server Autorità di certificazione non può essere risolto, non è possibile accedere tramite il primo tunnel DirectAccess server CA o non è possibile stabilire la connessione al server di autorità di certificazione.

Causa

L'utente ha fornito una password monouso valida e il server DirectAccess firma la richiesta di certificato; Tuttavia, il computer client non riesce a contattare l'autorità di certificazione che rilascia certificati OTP per completare il processo di registrazione.

Soluzione

Nel server DirectAccess, eseguire i comandi di Windows PowerShell seguenti:

  1. Ottenere l'elenco di OTP configurato le CA emittenti e controllare il valore di 'CAServer': Get-DAOtpAuthentication

  2. Assicurarsi che le autorità di certificazione siano configurati come server di gestione: Get-DAMgmtServer -Type All

  3. Assicurarsi che il computer client ha stabilito il tunnel dell'infrastruttura: nella console Windows Firewall con sicurezza avanzata, espandere associazioni di sicurezza/monitoraggio, fare clic su in modalità principalee assicurarsi che siano visualizzate le associazioni di sicurezza IPsec con gli indirizzi corretti remoti per la configurazione di DirectAccess.

Problemi di connettività del server DirectAccess

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client)

Uno degli errori seguenti:

  • Impossibile stabilire una connessione al server di accesso remoto < DirectAccess_server_hostname > tramite il percorso di base < OTP_authentication_path > e < OTP_authentication_port > la porta. Codice di errore: < internal_error_code >.

  • Le credenziali dell'utente non possono essere inviate al server di accesso remoto < DirectAccess_server_hostname > tramite il percorso di base < OTP_authentication_path > e < OTP_authentication_port > la porta. Codice di errore: < internal_error_code >.

  • Non è stata ricevuta una risposta dal server di accesso remoto < DirectAccess_server_hostname > tramite il percorso di base < OTP_authentication_path > e < OTP_authentication_port > la porta. Codice di errore: < internal_error_code >.

Causa

Il computer client non possa accedere al server DirectAccess su Internet, a causa di uno dei due problemi di rete o a una configurazione errata del server IIS nel server DirectAccess.

Soluzione

Assicurarsi che la connessione Internet nel computer client sia funzionante e assicurarsi che il servizio di DirectAccess è in esecuzione e accessibile tramite Internet.

Non è riuscito a registrare il certificato di accesso OTP di DirectAccess

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Registrazione del certificato dalla CA < nome_CA > non è riuscito. La richiesta non è stata firmata come previsto per il certificato di firma OTP o l'utente non dispone delle autorizzazioni per registrare.

Causa

La password monouso fornita dall'utente non è corretta, ma ha rifiutato l'autorità di certificazione (CA) emittente emettere il certificato di accesso OTP. La richiesta di certificato potrebbe non essere firmata con l'EKU corretto (criteri di applicazione autorità di registrazione OTP) o l'utente non dispone dell'autorizzazione "Enroll" sul modello DA OTP.

Soluzione

Assicurarsi che gli utenti OTP di DirectAccess dispongano dell'autorizzazione per registrare il certificato di accesso OTP di DirectAccess e il corretto "applicazione dei criteri" viene incluso nell'autorità di registrazione DA OTP modello di firma. Assicurarsi inoltre che il certificato dell'autorità di registrazione di DirectAccess nel server di accesso remoto sia valido. Vedere 3.2 piano il modello di certificato OTP e 3.3 piano il certificato dell'autorità di registrazione.

Certificato per account computer mancante o non valido

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Impossibile completare l'autenticazione OTP perché non è possibile trovare il certificato di computer necessario per OTP nell'archivio certificati computer locale.

Causa

L'autenticazione OTP di DirectAccess richiede un certificato del computer client per stabilire una connessione SSL con il server DirectAccess. Tuttavia, il certificato del computer client non è stata trovata oppure non è valido, ad esempio, se il certificato scaduto.

Soluzione

Assicurarsi che il certificato del computer esista e sia valido:

  1. Nel computer client, nella console MMC certificati, per l'account Computer locale, aprire personale/certificati.

  2. Assicurarsi che sia rilasciato un certificato che soddisfa le il nome del computer e doppio clic sul certificato.

  3. Nel certificato della finestra di dialogo di percorso del certificato nella scheda lo stato dei certificati, assicurarsi che sia "questo certificato è OK".

Se non viene trovato un certificato valido, eliminare il certificato non valido (se presente) e registrare nuovamente il certificato computer eseguendo una delle due gpupdate /Forceda un prompt dei comandi con privilegi elevati o il riavvio del computer client.

Autorità di certificazione che rilascia certificati OTP mancante

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Impossibile completare l'autenticazione OTP perché il server Directaccess non ha restituito un indirizzo di una CA emittente.

Causa

Non sono presenti CA che rilasciano certificati OTP configurati o tutte le CA configurata che rilasciano certificati OTP sono non risponde.

Soluzione

  1. Utilizzare il comando seguente per ottenere l'elenco di autorità di certificazione che rilasciano certificati OTP (il nome della CA è illustrato in CAServer):Get-DAOtpAuthentication.

  2. Se non vengono configurati alcuna CA:

    1. Utilizzare il comando Set-DAOtpAuthenticationo la console di gestione accesso remoto per configurare le CA che rilasciano certificati di accesso di OTP di DirectAccess.

    2. Applicare la nuova configurazione e forzare i client per aggiornare le impostazioni oggetto Criteri di gruppo DirectAccess eseguendo gpupdate /Forceda un prompt dei comandi con privilegi elevati o il riavvio del computer client.

  3. Se sono presenti le autorità di certificazione configurato, verificare che siano online e risponde alle richieste di registrazione.

Indirizzo del server DirectAccess non configurato correttamente

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Impossibile completare l'autenticazione OTP come previsto. Impossibile determinare il nome o l'indirizzo del server di accesso remoto. Codice di errore: < codice di errore >. Le impostazioni di DirectAccess devono essere convalidate dall'amministratore del server.

Causa

L'indirizzo del server DirectAccess non è configurato correttamente.

Soluzione

Controllo configurato DirectAccess server indirizzo utilizzando Get-DirectAccesse correggere l'indirizzo, se non è configurato correttamente.

Assicurarsi che le impostazioni più recenti vengono distribuite nel computer client eseguendo gpupdate /forceda un prompt dei comandi con privilegi elevati o riavviare il computer client.

Impossibile generare la richiesta di certificato OTP accesso

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Impossibile inizializzare la richiesta di certificato per l'autenticazione OTP. Impossibile generare una chiave privata, o un utente non può accedere il modello di certificato < OTP_template_name > nel controller di dominio.

Causa

Esistono due possibili cause di questo errore:

  • L'utente non dispone dell'autorizzazione per leggere il modello di accesso OTP.

  • Il computer dell'utente non può accedere il controller di dominio a causa di problemi di rete.

Soluzione

  • Esaminare le autorizzazioni per il modello di accesso OTP e assicurarsi che tutti gli utenti il provisioning per OTP di DirectAccess hanno '' dell'autorizzazione di lettura.

  • Assicurarsi che il controller di dominio è configurato come un server di gestione e che il computer client possa raggiungere il controller di dominio tramite il tunnel dell'infrastruttura. 3.2 Vedere pianificare il modello di certificato OTP.

Nessuna connessione al controller di dominio

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Impossibile stabilire una connessione con il controller di dominio ai fini dell'autenticazione OTP. Codice di errore: < codice di errore >.

Causa

Esistono due possibili cause di questo errore:

  • Connettività di rete non dispone di computer dell'utente.

  • Il controller di dominio non è accessibile tramite il tunnel dell'infrastruttura.

Soluzione

  • Assicurarsi che il controller di dominio è configurato come un server di gestione eseguendo il comando seguente da un prompt di PowerShell:Get-DAMgmtServer -Type All.

  • Assicurarsi che il computer client possa raggiungere il controller di dominio tramite il tunnel dell'infrastruttura.

Provider OTP richiede autenticazione challenge/response

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). L'autenticazione OTP con il server di accesso remoto (< DirectAccess_server_name >) per l'utente () necessaria una risposta da parte dell'utente.

Causa

Il provider di OTP richiede all'utente di specificare credenziali aggiuntive sotto forma di uno scambio di richiesta di verifica/risposta RADIUS, che non è supportata da OTP di DirectAccess di Windows Server 2012.

Soluzione

Configurare il provider OTP per non richiedere l'autenticazione challenge/response in qualsiasi scenario.

Modello di accesso OTP non corretto utilizzato

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Il modello di autorità di certificazione da cui l'utente richiesto un certificato non è configurato per rilasciare certificati OTP.

Causa

È stato sostituito il modello di accesso OTP di DirectAccess e il client sta tentando di eseguire l'autenticazione utilizzando il modello precedente.

Soluzione

Assicurarsi che il computer client utilizza la configurazione di OTP più recente effettuando una delle operazioni seguenti:

  • Forzare un aggiornamento di criteri di gruppo eseguendo il comando seguente da un prompt dei comandi con privilegi elevati:gpupdate /Force.

  • Riavviare il computer client.

Certificato di firma OTP mancante

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client). Impossibile trovare un certificato di autenticazione OTP. Impossibile firmare la richiesta di registrazione certificato OTP.

Causa

Impossibile trovare il certificato di firma OTP di DirectAccess nel server di accesso remoto. di conseguenza, la richiesta di certificato utente non può essere firmata da server di accesso remoto. Nessun certificato di firma o il certificato di firma è scaduto e non è stato rinnovato.

Soluzione

Eseguire questi passaggi nel server di accesso remoto.

  1. Controllare il configurato OTP firma nome modello del certificato eseguendo il cmdlet PowerShell Get-DAOtpAuthenticatione controllare il valore diSigningCertificateTemplateName.

  2. Utilizzare lo snap-in MMC certificati per assicurarsi che sia presente un certificato valido da questo modello registrato nel computer.

  3. Se tale certificato non esiste, eliminare il certificato scaduto (se presente) e registrazione di un nuovo certificato in base al modello.

Per creare la firma di OTP modello di certificato vedere 3.3 piano il certificato dell'autorità di registrazione.

Errata o manca UPN/nome distinto per l'utente

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (registro eventi del client)

Uno degli errori seguenti:

  • Utente non può essere autenticato con OTP. Verificare che un nome UPN è definito per il nome utente in Active Directory. Codice di errore: < codice di errore >.

  • Utente non può essere autenticato con OTP. Verificare che un nome distinto è definita per il nome utente in Active Directory. Codice di errore: < codice di errore >.

Errore ricevuto (registro eventi del server)

Il nome utente specificata per l'autenticazione OTP non esiste.

Causa

L'utente non dispone il nome dell'entità utente (UPN) o gli attributi di nome distinto (DN) sono impostate correttamente nell'account utente, queste proprietà sono necessari per il funzionamento corretto di OTP di DirectAccess.

Soluzione

Utilizzare la console Active Directory Users and Computers nel controller di dominio per verificare che entrambi gli attributi sono impostate correttamente per l'autenticazione utente.

OTP certificato non è attendibile per l'accesso

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Causa

La CA che rilascia certificati OTP non è presente nell'archivio NTAuth enterprise; di conseguenza, i certificati registrati non possono essere utilizzati per l'accesso. Ciò può verificarsi in più ambienti dominio e di più foreste in cui non viene stabilita tra domini CA attendibile.

Soluzione

Assicurarsi che il certificato della radice della gerarchia di CA che rilascia certificati OTP è installato nell'organizzazione archivio di certificati NTAuth del dominio a cui l'utente sta tentando di eseguire l'autenticazione.

Windows non è in grado di verificare le credenziali dell'utente

Scenario. Utente non riesce a eseguire l'autenticazione con OTP con l'errore: "Autenticazione non riuscita a causa di un errore interno"

Errore ricevuto (computer Client). Si è verificato un mentre Windows è stata la verifica delle credenziali. Riprovare o rivolgersi all'amministratore della Guida.

Causa

Il protocollo di autenticazione Kerberos non funziona quando il certificato di accesso OTP di DirectAccess non include un CRL. Il certificato di accesso OTP di DirectAccess non include un CRL poiché entrambe:

  • Il modello di accesso OTP di DirectAccess è stato configurato con l'opzione non includono informazioni di revoca dei certificati emessi.

  • L'autorità di certificazione non è configurato per la pubblicazione CRL.

Soluzione

  1. Per verificare la causa di questo errore, nella console di gestione accesso remoto, in passaggio 2 Server di accesso remoto, fare clic su modificae quindi il configurazione Server di accesso remoto procedura guidata, fare clic su modelli di certificato OTP. Prendere nota del modello di certificato utilizzato per la registrazione dei certificati rilasciati per l'autenticazione OTP. Aprire la console Autorità di certificazione, nel riquadro a sinistra, fare clic su modelli di certificato, fare doppio clic sul certificato di accesso OTP per visualizzare le proprietà del modello di certificato.

    Per risolvere questo problema, configurare un certificato per il certificato di accesso OTP e non si seleziona il non includono informazioni di revoca dei certificati emessi casella di controllo di Server scheda della finestra di dialogo delle proprietà del modello.

  2. Nel server CA, aprire MMC Autorità di certificazione, fare clic con il pulsante destro la CA emittente e fare clic su proprietà. Nel estensioni scheda assicurarsi che la pubblicazione di CRL sia configurata correttamente.

© 2017 Microsoft