Windows 10 + WebDAV: Gegenseitige Authentifizierung fehlgeschlagen: Das Kennwort des Servers ist auf dem Domänencontroller veraltet

12

Wir haben eine vorhandene WebDAV-Installation mit einem Apache-mod_dav-WebDAV-Laufwerk, das unter einer SSL-geschützten URL mit CA-ausgestelltem Zertifikat und Basisauthentifizierung gehostet wird. MacOSX und Windows <10 können seit einigen Jahren eine Verbindung herstellen.

Mit Ausnahme eines Computers können neue Windows 10-Computer keine Verbindung zu diesem WebDAV-Server herstellen. Ein Versuch, das Netzlaufwerk zuzuordnen, führt dazu, dass die grundlegenden Authentifizierungsdaten zweimal abgefragt werden. Anschließend wird der folgende Fehler angezeigt:

The mapped network drive could not be created because the following error
has occurred:

Mutual Authentication failed: The server's password is out of date at
the domain controller.

Wenn Sie im Dialogfeld "Netzwerklaufwerk zuordnen" auf die Schaltfläche "Fertig stellen" klicken, werden ein Benutzername und ein Kennwort angefordert. Dieses Dialogfeld wird angezeigt, bevor Sie versuchen, eine Verbindung zum WebDAV-Server herzustellen. Ein gültiger Benutzername und ein gültiges Kennwort werden eingegeben. Zu diesem Zeitpunkt tritt eine Verzögerung von ca. 6 Sekunden auf, während ein Dialogfeld mit der Meldung "Versuch, eine Verbindung herzustellen" angezeigt wird. Nach dieser Verzögerung kommt eine einzelne Anfrage wie folgt auf dem WebDAV-Server an:

PROPFIND /shared HTTP/1.1
Host: 127.0.0.1:8022
User-Agent: Microsoft-WebDAV-MiniRedir/10.0.10586
translate: f
X-Forwarded-For: xx.xx.xx.xx
X-Forwarded-Host: x.x.x
X-Forwarded-Server: x.x.x
Connection: Keep-Alive

Die obige Anforderung enthält keine Authentifizierungsheader. Daher antwortet der WebDAV-Server wie erwartet wie folgt:

HTTP/1.1 401 Unauthorized
Date: Wed, 13 Jan 2016 14:18:10 GMT
Server: Apache/2.4.12 (Unix)
WWW-Authenticate: Basic realm="Xxx Xx"
Content-Length: 381
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

[content]

Unmittelbar nach Erhalt dieser Antwort werden Sie im Dialogfeld "Map Network Drive" erneut nach einem Benutzernamen und einem Kennwort gefragt. Die Eingabe des gleichen Benutzernamens und Passworts löst eine zweite Verzögerung von ca. 6 Sekunden aus. Danach wird der Fehler "Gegenseitige Authentifizierung" angezeigt, ohne dass versucht wird, den WebDAV-Server zu kontaktieren.

Einige Notizen:

  • Es gibt keinen Domänencontroller. Dies ist ein einfacher sicherer WebDAV-Server, der durch Basic Auth und SSL geschützt ist.

  • Ein Windows 10-Computer funktioniert einwandfrei, wir wissen nicht, was an diesem Computer besonders ist, und alle neuen Windows 10-Computer fallen aus.

  • Wir haben versucht, HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ WebClient \ Parameters \ BasicAuthLevel auf 2 zu ändern, und es hat keinen Unterschied gemacht (wie erwartet war der ursprüngliche Wert 1 und wir verwenden ein von der CA ausgestelltes SSL-Zertifikat).

Hat jemand dieses Problem schon einmal erlebt?

Graham Leggett
quelle
1
Versuchen Sie: (1) alle Firewalls zu deaktivieren, (2) Windows Explorer als Administrator auszuführen, (3) sicherzustellen, dass keine Zeitverschiebung vorliegt, (4) zu überprüfen, ob die Zertifizierungsstelle, die das SSL-Zertifikat ausgestellt hat, erkannt wird, (5) die Ware zu vergleichen und fehlerhafte Clientcomputer im gpedit.mscZweig Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen, die Werte aller Einträge, die mit beginnen Network security:.
Harrymc
(6) Ist das SSL-Zertifikat selbst signiert?
Harrymc
Ich kann auf gpedit.msc zugreifen, habe aber nur einen Computer (Windows 10), um die Eigenschaften zu überprüfen. Ich weiß nicht, welche Eigenschaft ich überprüfen muss ....
Felipe
Auch wenn ich den Zertifikatstatus überprüfe, ist es OK. Ich kann von Mac und Linux auf das Webdev zugreifen. Nur das Win10-Kartennetz funktioniert nicht. Aber ich greife über den Firefox der Win10 zu.
Felipe
Windows hat möglicherweise fehlerhafte Anmeldeinformationen zwischengespeichert. Sie können den Festplatten-Cache mit dem Befehl löschen certutil -urlcache * delete. In gpedit haben die Eigenschaften, die möglicherweise Auswirkungen haben, Namen, die mit "Netzwerksicherheit:" beginnen.
Harrymc