簡介
本文檔介紹當Microsoft Active Directory域控制器開始響應錯誤故障通知時問題的解決方案,並顯示「錯誤代碼:0xc0000064」,用於思科身份服務引擎(ISE)的身份驗證請求。
必要條件
需求
思科建議您瞭解以下主題:
- 思科身分識別服務引擎(ISE)。
- Microsoft Active Directory(MS-AD)。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- VM上的身份服務引擎(ISE)2.4和2.6(小型)。
- Microsoft Active Directory(MS-AD)2012。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何步驟的潛在影響。
問題
在域控制器(DC)的事件檢視器審計日誌中觀察到來自ISE的每個身份驗證請求的兩個日誌條目(失敗和成功)。
失敗的原因為「NO_SO_USER」和錯誤代碼:0xc0000064
解決方案
行為與缺陷CSCvf45991相關,執行以下步驟應該可以解決此問題。
步驟1.將ISE升級為CSCvf45991修復的版本或修補程式。
步驟2.加入ISE以獲取AD域。
步驟3.要配置Registry Settings,請導航至Advanced Tool > Advanced Tuning。
名稱: REGISTRY.Services\lsass\Parameters\Providers\ActiveDirectory\WorkaroundForFalseFailedLoginEvent
步驟4.值:會。
步驟5.按一下Update Value按鈕。
步驟6.按一下重新啟動Active Directory聯結器。
附註:第6步重新啟動Active Directory聯結器服務。
步驟7.在Active Directory聯結器服務啟動且問題解決後,再次執行身份驗證測試(MSCHAPV2)。
步驟8. AD中「事件檢視器」下的稽核成功日誌應予以確認。