Windows 10 + WebDAV: échec de l'authentification mutuelle: le mot de passe du serveur est obsolète sur le contrôleur de domaine

13

Nous avons une installation WebDAV existante avec un Apache mod_dav était un lecteur WebDAV hébergé sur une URL protégée SSL avec certificat émis par CA et authentification de base. MacOSX et Windows <10 peuvent se connecter depuis plusieurs années.

À l'exception d'une machine, les nouvelles machines Windows 10 ne parviennent pas à se connecter à ce serveur WebDAV. Une tentative de mappage du lecteur réseau entraîne deux fois les informations d'identification d'authentification de base, puis l'erreur suivante s'affiche:

The mapped network drive could not be created because the following error
has occurred:

Mutual Authentication failed: The server's password is out of date at
the domain controller.

Plus précisément, lorsque le bouton "Terminer" est enfoncé dans la boîte de dialogue Map Network Drive, un nom d'utilisateur et un mot de passe sont demandés - cette boîte de dialogue est affichée avant d'essayer d'établir une quelconque connexion avec le serveur WebDAV. Un nom d'utilisateur et un mot de passe valides sont entrés et, à ce stade, un délai d'environ 6 secondes est constaté pendant qu'une boîte de dialogue s'affiche indiquant "Tentative de connexion à". Après ce délai, une seule demande arrive sur le serveur WebDAV qui ressemble à ceci:

PROPFIND /shared HTTP/1.1
Host: 127.0.0.1:8022
User-Agent: Microsoft-WebDAV-MiniRedir/10.0.10586
translate: f
X-Forwarded-For: xx.xx.xx.xx
X-Forwarded-Host: x.x.x
X-Forwarded-Server: x.x.x
Connection: Keep-Alive

La demande ci-dessus ne contient aucun en-tête d'authentification et le serveur WebDAV répond donc comme prévu avec les informations suivantes:

HTTP/1.1 401 Unauthorized
Date: Wed, 13 Jan 2016 14:18:10 GMT
Server: Apache/2.4.12 (Unix)
WWW-Authenticate: Basic realm="Xxx Xx"
Content-Length: 381
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

[content]

Immédiatement après avoir reçu cette réponse, la boîte de dialogue Map Network Drive demande à nouveau un nom d'utilisateur et un mot de passe. La saisie du même nom d'utilisateur et du même mot de passe déclenche un deuxième délai d'environ 6 secondes, après quoi «l'erreur d'authentification mutuelle» apparaît sans aucune tentative de contacter le serveur WebDAV.

Quelques notes:

  • Il n'y a pas de contrôleur de domaine, il s'agit d'un simple serveur WebDAV sécurisé protégé par Basic Auth et SSL.

  • Une machine Windows 10 fonctionne bien, nous ne savons pas ce qui est spécial sur cette machine et toutes les nouvelles machines Windows 10 échouent.

  • Nous avons essayé de changer le HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ WebClient \ Parameters \ BasicAuthLevel à 2 et cela n'a fait aucune différence (comme prévu, la valeur d'origine était 1 et nous utilisons un certificat SSL émis par une autorité de certification).

Quelqu'un at-il déjà rencontré ce problème?

Graham Leggett
la source
1
Essayez de: (1) désactiver tous les pare-feu, (2) exécuter l'explorateur Windows en tant qu'administrateur, (3) vérifier qu'il n'y a pas de dérive d'horloge, (4) vérifier que l'autorité de certification qui a émis le certificat SSL est reconnue, (5) comparer le bon et les ordinateurs clients défectueux dans la gpedit.mscbranche Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité, les valeurs de toutes les entrées commençant par Network security:.
harrymc
(6) Le certificat SSL est-il auto-signé?
harrymc
Je peux accéder à gpedit.msc mais je n'ai qu'un seul ordinateur (Windows 10) pour vérifier les propriétés. Je ne sais pas quelle propriété je dois vérifier ....
Felipe
aussi quand je vérifie l'état du certificat, c'est OK. Je peux accéder au webdev depuis Mac et Linux. Seul le réseau de cartes Win10 ne fonctionne pas. Mais j'y accède via le Firefox du Win10.
Felipe
Windows peut avoir mis en cache des informations d'identification incorrectes - vous pouvez effacer le cache du disque par la commande certutil -urlcache * delete. Dans gpedit, les propriétés pouvant avoir un effet ont des noms qui commencent par "Sécurité réseau:".
harrymc