Résolution des problèmes

Cause : L'utilisateur a tapé un nom d'utilisateur ou un mot de passe incorrect.

Solution : Vérifiez si le nom d'utilisateur et le mot de passe du compte Windows 2000 de l'utilisateur sont tapés correctement et si le compte est valide pour le domaine par rapport auquel IAS authentifie l'utilisateur.

Cause : Il se peut que le remplacement de domaine soit configuré incorrectement ou dans le mauvais ordre, ce qui empêche le contrôleur de domaine de reconnaître le nom d'utilisateur.

Solution : Corrigez les règles de remplacement du domaine.

Voir aussi : Noms de domaine, Configurer le remplacement du domaine dans IAS

Cause : Si le serveur d'accès distant est membre d'un domaine et que la réponse de l'utilisateur ne contient pas de nom de domaine, le nom de domaine du serveur d'accès distant est utilisé.

Solution : Pour utiliser un nom de domaine différent de celui du serveur IAS, sur l'ordinateur qui exécute IAS, affectez à la clé de Registre suivante le nom du domaine que vous voulez utiliser :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy

 Important

• Une modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, il est conseillé de sauvegarder les données de valeur stockées dans l'ordinateur.

Cause : Certains NAS suppriment automatiquement le nom de domaine du nom d'utilisateur avant de transmettre ce dernier à un serveur RADIUS.

Solution : Désactivez le mécanisme qui supprime le nom de domaine du nom d'utilisateur. Pour plus d'informations, consultez la documentation relative à votre serveur d'accès au réseau.

Cause : Il se peut que l'utilisateur emploie le protocole CHAP sans que Active Directory soit configuré pour utiliser les mots de passe en clair.

Solution : Pour utiliser l'authentification CHAP avec IAS, configurez le profil d'appel entrant d'un utilisateur ou d'un groupe pour employer le protocole CHAP. Le NAS et le programme de numérotation de l'utilisateur (par exemple Connection Manager) doivent eux aussi être configurés pour utiliser l'authentification CHAP. De plus, vous devez activer CHAP sur le contrôleur du domaine. Après que vous avez activé les mots de passe à cryptage réversible dans un domaine, tous les utilisateurs doivent changer de mot de passe pour pouvoir à nouveau être authentifiés dans ce domaine.

Voir aussi : Activer les mots de passe à cryptage réversible dans un domaine

Cause : L'utilisateur essaie de s'authentifier en employant une méthode d'authentification qui n'est pas prise en charge sur cet ordinateur. Par exemple, il se peut que l'utilisateur emploie un type EAP qui n'a pas été installé.

Solution : Modifiez le profil d'appel entrant pour autoriser le protocole en question.

Voir aussi : Pour configurer l'authentification

Cause : Il se peut qu'une stratégie d'accès distant refuse l'accès à l'utilisateur.

Solution : Vérifiez la liste de stratégies pour être sûr que vous n'avez pas exclu d'utilisateurs dont l'accès devrait être autorisé. Vérifiez le journal des événements pour voir si l'utilisateur essaie d'établir la connexion avec des paramètres interdits par une stratégie d'accès distant (par exemple une tentative de connexion durant une période où l'accès n'est pas autorisé, l'utilisation d'un type de port incorrect et non autorisé, l'appel à partir d'un numéro de téléphone incorrect et non autorisé ou l'appel d'un numéro de téléphone de NAS non autorisé). Il se peut que vous deviez adapter en conséquence les stratégies d'accès distant, afin d'autoriser l'accès de l'utilisateur.

Cause : Il se peut que les stratégies d'accès distant ne soient pas dans le bon ordre.

Solution : L'autorisation est accordée ou refusée par la première stratégie dont les conditions s'appliquent à l'utilisateur qui essaie de se connecter. Utilisez le bouton Monter pour faire monter dans la liste la stratégie qui autorise l'accès des utilisateurs ayant rencontré des problèmes.

Cause : Si le verrouillage de compte est activé, il se peut que l'échec de tentatives d'accès antérieures ait provoqué le verrouillage du compte d'utilisateur.

Solution : Augmentez le seuil de verrouillage de compte employé pour les appels entrants.

Voir aussi : Verrouillage de compte

Cause : Si le verrouillage de compte est activé, il se peut que l'échec de tentatives d'accès antérieures ait provoqué le verrouillage du compte d'utilisateur.

Solution : Demandez à l'utilisateur d'attendre la réinitialisation de l'horloge des tentatives infructueuses, ou réinitialisez le compte manuellement (si l'utilisateur ne peut pas attendre).

Voir aussi : Verrouillage de compte

Cause : Il se peut que l'accès à distance soit refusé à l'utilisateur.

Solution : Sur le contrôleur du domaine (ou dans le composant Utilisateurs et groupes locaux), vérifiez les informations sur l'utilisateur pour déterminer s'il bénéficie d'une autorisation pour l'accès distant. Si l'accès distant est refusé, ce paramètre a priorité sur toute stratégie d'accès distant qui autorise l'accès.

Cause : IAS est configuré pour authentifier les utilisateurs en fonction du Gestionnaire des comptes de sécurité (SAM, Security Accounts Manager) local, et l'utilisateur ne figure pas dans la base de données d'utilisateurs locale.

Solution : Ajoutez le serveur IAS à Active Directory.

Voir aussi : Pour permettre au serveur IAS d'afficher les objets utilisateur dans Active Directory

Cause : Il peut y avoir un problème de communication entre le NAS et IAS, ou entre IAS et le contrôleur du domaine ou le serveur de catalogue global.

Solution : Utilisez la commande ping pour vérifier la communication avec le contrôleur du domaine ou le serveur de catalogue global. Si ping fonctionne, essayez de vous connecter au serveur en utilisant la commande net use \\nom_serveur\partage.

Voir aussi : Si aucune information de paquet n'apparaît dans le journal IAS, vérifiez dans le journal des événements de Windows 2000 si la tentative de connexion a dépassé le délai d'attente. Pour plus d'informations sur la configuration du journal IAS, consultez Fichiers journaux compatibles base de données ou Fichiers journaux au format IAS, selon le format de fichier journal que vous avez choisi d'utiliser.

Cause : Il se peut que l'utilisateur emploie le protocole CHAP sans que Active Directory soit configuré pour utiliser les mots de passe en clair.

Solution : Pour utiliser l'authentification CHAP avec IAS, configurez le profil d'appel entrant d'un utilisateur ou d'un groupe pour employer le protocole CHAP. Le NAS et le programme de numérotation de l'utilisateur (par exemple Connection Manager) doivent eux aussi être configurés pour utiliser l'authentification CHAP. De plus, vous devez activer CHAP sur le contrôleur du domaine.

Voir aussi : Activer les mots de passe à cryptage réversible dans un domaine

Cause : Les secrets partagés sur le serveur IAS et le NAS ne sont pas identiques.

Solution : Vérifiez que les deux secrets partagés sont tapés correctement avec les mêmes majuscules et les mêmes minuscules.

Cause : Certains NAS requièrent des secrets partagés plus courts.

Solution : Essayez de modifier le secret partagé sur les deux ordinateurs en choisissant une chaîne de moins de 10 caractères.

Cause : Certains NAS ne reconnaissent pas tous les caractères acceptés par IAS pour le secret partagé.

Solution : Essayez de modifier le secret partagé en n'utilisant que des caractères alphanumériques.

Cause : Il se peut que le NAS envoie des paquets qui ne correspondent pas au format attendu par IAS.

Solution :Cliquez avec le bouton droit sur Service d'authentification Internet, puis cliquez sur Propriétés. Vérifiez que la case à cocher Enregistrer les demandes d'authentification rejetées ou ignorées est activée, puis affichez le journal des événements de Windows 2000 pour voir si le NAS envoie des paquets inattendus ou mal formés. Si tel est le cas, vous devrez peut-être définir certains attributs propres au fournisseur dans IAS pour résoudre les problèmes de communication avec votre NAS.

Voir aussi : Consultez la documentation de votre NAS.

Cause : IAS ne parvient pas à se connecter au domaine.

Solution : Vérifiez que IAS effectue l'authentification par rapport au nom de domaine correct. Si le nom du domaine est correct, vérifiez que le serveur IAS est membre de ce domaine, ou qu'il existe une relation d'approbation entre ce domaine et celui dont fait partie le serveur IAS.

Cause : IAS n'a pas l'autorisation d'afficher les objets utilisateur dans Active Directory.

Solution : Ajoutez le serveur IAS à Active Directory.

Voir aussi : Pour permettre au serveur IAS d'afficher les objets utilisateur dans Active Directory

Cause : Le compte d'utilisateur est dans une forêt Active Directory différente de celle dont fait partie le serveur IAS.

Solution : Utilisez un serveur proxy RADIUS pour router la demande d'authentification vers un serveur IAS membre de l'autre forêt Active Directory.

Cause : La paramètre activé dans la stratégie d'accès distant ou le compte d'utilisateur n'est pas activé ou pris en charge dans le NAS. Si votre site utilise un service à distance sous-traité, assurez-vous également que ce paramètre est pris en charge ou permis par le proxy RADIUS de votre fournisseur de services Internet, car un utilisateur peut ne pas être en mesure de se connecter si le NAS prend en charge tous les paramètres activés par une stratégie d'accès distant mais que le proxy RADIUS ne prend pas en charge certains de ces paramètres. Par exemple :

• L'utilisateur essaie d'utiliser le cryptage 128 bits, IAS a activé ce cryptage dans une stratégie d'accès distant, mais le service de routage et d'accès distant ne l'a pas activé.
• La stratégie d'accès distant prend en charge un attribut de rappel pour le NAS, mais le rappel n'est pas activé sur le NAS ou le proxy RADIUS.

Solution : Assurez-vous que les paramètres de la stratégie d'accès distant ou du compte d'utilisateur sont tous pris en charge et activés par votre NAS.

• Pour l'exemple du cryptage 128 bits, activez le paramètre de sécurité Maximal sur le serveur de routage et d'accès distant. (Si vous ne l'avez pas activé sur ce serveur auparavant, il se peut que vous deviez installer Microsoft Encryption Pack.)
• Pour l'exemple du rappel, consultez la documentation de votre serveur NAS. Dans le cas d'un service à distance sous-traité, contactez votre fournisseur de services Internet pour vous assurer que le proxy RADIUS prend en charge le rappel.

Voir aussi : Cryptage des données

Cause : Votre NAS ou proxy RADIUS peut nécessiter un paramètre qui n'a pas été configuré dans la stratégie d'accès distant sur IAS ou le compte d'utilisateur. Par exemple :

• Il se peut que votre NAS requière un routage tramé, mais ce type de routage n'est pas défini par défaut sur IAS.
• Votre NAS peut nécessiter la compression TCP/IP Van Jacobsen, qui n'est pas activé sur IAS par défaut.
• Si l'attribut RADIUS Framed-MTU est activé sur le NAS et non sur IAS, les utilisateurs ne peuvent pas ouvrir de session.

Solution : Assurez-vous que les paramètres pour votre NAS correspondent aux paramètres de la stratégie d'accès distant ou du compte d'utilisateur. Si vous utilisez un service à distance sous-traité, vérifiez auprès du fournisseur de services Internet qui gère le proxy RADIUS que les paramètres du proxy correspondent aux paramètres de la stratégie d'accès distant ou du compte d'utilisateur. Les solutions suivantes correspondent à ces exemples.

Solution : Activez l'attribut RADIUS Framed-Routing.

1. Dans IAS, cliquez sur Stratégies d'accès distant, puis double-cliquez sur la stratégie qui s'applique aux utilisateurs qui ne peuvent pas ouvrir de session.
2. Cliquez sur Modifier le profil, sur l'onglet Avancé, puis sur Ajouter.
3. Dans la liste des attributs RADIUS disponibles, double-cliquez sur Framed-Routing.
4. Dans la zone Valeur d'attribut, cliquez sur Aucune.

Solution : Configurez IAS pour utiliser la compression TCP/IP Van Jacobsen.

1. Dans IAS, cliquez sur Stratégies d'accès distant, puis double-cliquez sur la stratégie qui s'applique aux utilisateurs qui ne peuvent pas ouvrir de session.
2. Cliquez sur Modifier le profil, sur l'onglet Avancé, puis sur Ajouter.
3. Dans la liste des attributs RADIUS disponibles, double-cliquez sur Framed-Compression.
4. Dans la zone Valeur d'attribut, cliquez sur Van Jacobsen TCP/IP header compression.

Solution : Vérifiez que le paramétrage de l'attribut Framed-MTU sur IAS est le même que sur votre NAS.

1. Dans IAS, cliquez sur Stratégies d'accès distant, puis double-cliquez sur la stratégie qui s'applique aux utilisateurs qui ne peuvent pas ouvrir de session.
2. Cliquez sur Modifier le profil, sur l'onglet Avancé, puis sur Ajouter.
3. Dans la liste des attributs RADIUS disponibles, double-cliquez sur Framed-MTU.
4. Cliquez sur Valeur d'attribut, puis tapez la valeur qui correspond au paramétrage de votre NAS.

Cause :  le server IAS n'est pas configuré correctement. Par exemple :

• Les secrets partagés sur le serveur IAS et le NAS ne sont pas identiques.
• Si IAS envoie le paquet Access-Accept en utilisant une carte réseau différente de celle à travers laquelle le paquet Access-Request a été reçu, le NAS ne reconnaît pas le paquet.

Solution : Vérifiez vos paramètres IAS. Pour l'exemple dans lequel IAS envoie le paquet Access-Accept en utilisant une carte réseau différente de celle à travers laquelle le paquet Access-Request a été reçu, contrôlez les itinéraires et les métriques attribués au NAS. Si cela ne résout pas le problème, modifiez les paramètres du port pour IAS et indiquez les adresses IP que IAS doit utiliser. Pour effectuer cette opération :

• Cliquez avec le bouton droit sur IAS, puis cliquez sur Propriétés.
• Sous l'onglet RADIUS, cliquez sur Authentification et tapez l'adresse IP du NAS et du port, séparées par deux-points (par exemple : 10.10.10.10:1812, 10.10.10.10:1645).

Voir aussi : Dans la documentation de votre NAS, consultez ces attributs ou les autres attributs qui doivent être envoyés par le serveur IAS avec un paquet Access-Accept. Soit IAS envoie un attribut que le NAS ne peut pas mettre en oeuvre, soit le NAS requiert des attributs que IAS n'inclut pas dans le paquet Access-Accept.

Cause : Si la requête est renvoyée à travers un proxy RADIUS, il se peut que celui-ci ne prenne pas en charge des extensions nécessaires à la mise en oeuvre de certaines fonctionnalités. Par exemple :

• si vous voulez que les utilisateurs emploient l'authentification EAP, le proxy RADIUS doit prendre en charge les signatures numériques (conformément aux extensions RADIUS).
• Si vous voulez que les utilisateurs se connectent à travers des tunnels obligatoires, le proxy RADIUS doit prendre en charge le cryptage du mot de passe de tunnel.
• Si vous voulez que les connexions emploient Microsoft Encryption, le proxy RADIUS doit prendre en charge le cryptage de clés MPPE.

Solution : Vérifiez dans la documentation de votre proxy RADIUS s'il prend en charge les extensions nécessaires aux fonctionnalités que vous voulez utiliser.

Cause : Il se peut qu'une stratégie d'accès distant autorise l'accès de ces utilisateurs.

Solution : Vérifiez la liste de stratégies pour être sûr que vous n'avez pas inclus d'utilisateurs auxquels l'accès devrait être refusé.

Cause : Les propriétés d'appel entrant de l'objet utilisateur doivent être définies de façon à annuler l'effet de la stratégie d'accès distant.

Solution : Vérifiez les propriétés d'appel entrant de l'objet utilisateur.

Voir aussi : Pour configurer les contraintes pour les appels entrants, Propriétés d'appel entrant d'un compte d'utilisateur

Cause : Il se peut que les stratégies d'accès distant ne soient pas dans le bon ordre.

Solution : L'autorisation est accordée ou refusée par la première stratégie dont les conditions s'appliquent à l'utilisateur qui essaie de se connecter. Utilisez le bouton Monter pour faire monter dans la liste la stratégie qui refuse l'accès aux utilisateurs.

Cause : IAS n'est pas configuré pour enregistrer les demandes d'authentification rejetées ou ignorées.

Solution : Configurez IAS pour enregistrer les demandes d'authentification rejetées ou ignorées dans le journal des événements de Windows 2000 et vérifiez si des paquets mal formés sont enregistrés. Il se peut que le NAS requière un secret partagé différent pour la gestion des comptes RADIUS. Vérifiez que le secret partagé de la gestion des comptes est le même que celui de l'authentification.

Voir aussi : Enregistrement des événements pour IAS

Cause : Il se peut que le profil d'appel entrant pour la stratégie d'accès distant ne soit pas configuré pour permettre le cryptage CHAP.

Solution : Vérifiez le paramétrage du profil d'appel entrant pour être sûr que la configuration de IAS permet l'authentification CHAP.

Solution : Vérifiez si votre NAS est configuré pour CHAP. Pour plus d'informations, consultez la documentation relative à votre serveur d'accès au réseau.

Solution : Vérifiez si le contrôleur du domaine est configuré pour stocker les mots de passe à cryptage réversible.

Voir aussi : Activer les mots de passe à cryptage réversible dans un domaine

Cause : Les mots de passe ne sont stockés sous une forme cryptée réversible qu'après avoir été réinitialisés.

Solution : Lorsque vous autorisez le stockage des mots de passe sous une forme cryptée réversible, les mots de passe en cours ne sont pas sous cette forme et ne sont pas automatiquement modifiés. Vous devez réinitialiser les mots de passe utilisateur ou obliger la modification de ces mots de passe, lors des connexions ultérieures des utilisateurs.

Voir aussi : Pour réinitialiser un mot de passe utilisateur, Pour modifier les propriétés d'un compte d'utilisateur

Cause : Après le passage d'un contrôleur de domaine du mode mixte au mode natif, vous devez redémarrer tous les contrôleurs de domaine pour que le changement soit répliqué.

Solution : Redémarrez les contrôleurs de domaine, et les serveurs pourront à nouveau y accéder.

Cause : Lorsqu'un serveur de routage et d'accès distant est configuré pour utiliser l'authentification RADIUS, IAS est le seul moyen d'accéder aux stratégies d'accès distant.

Solution : Ce comportement est voulu.