Chyba ověřování systému Windows NTLM nebo Kerberos servery

Překlady článku Překlady článku
ID článku: 976918 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

DůležitéJedná se o rychlé publikování článku. Další informace naleznete v části "Dementi".

Tento článek poskytuje opravu pro několik problémů selhání ověřování NTLM a Kerberos nelze ověřit servery Windows 7 a počítačů se systémem Windows Server 2008 R2. To je způsobeno rozdíly ve způsobu, jakým jsou tokeny vazba kanálu úchyty. Podrobné informace naleznete v tématu "Příznaky," "Vyvolat" a "Řešení" částech tohoto článku.

Stáhněte opravu tohoto problému, klepněteZobrazení a požadavek na opravu hotfix soubory ke staženípropojení, která je umístěna v levém horním rohu obrazovky.

Příznaky

Windows 7 a Windows Server 2008 R2 podporu rozšířené ochrany integrované ověřování, který obsahuje podporu pro kanál vazba Token (CBT) ve výchozím nastavení.

Můžete zaznamenat jeden nebo více následujících příznaků:
  1. Klienti systému Windows podporující vazba kanálu se nezdaří ověření Windows Kerberos server.
  2. Selhání ověřování NTLM ze serverů Proxy.
  3. Selhání ověřování NTLM ze serverů Windows NTLM.
  4. Selhání ověřování NTLM, pokud je časový rozdíl mezi klientem a serverem řadiče domény nebo pracovní skupiny.

Příčina

Windows 7 a Windows Server 2008 R2 podporují rozšířené ochrany pro integrované ověřování. Tato funkce zvyšuje ochranu a zpracování pověření při ověřování síťových připojení pomocí integrovaného ověřování systému Windows (IWA).

Ve výchozím nastavení je zapnuto. Když se klient pokouší připojit k serveru, je požadavek na ověření vázán k hlavního názvu služby (SPN) používá. Také při ověřování probíhá uvnitř kanálu protokolu TLS (Transport Layer Security), může být vázána na daném kanálu. NTLM a Kerberos poskytnout další informace ve zprávách pro podporu této funkce.

Počítače se systémem Windows 7 a Windows 2008 R2 zakažte také LMv2.

Řešení

Chyby, kdy se nedaří Windows NTLM nebo Kerberos servery při příjmu CBT, zjistíte u dodavatele pro verzi, která zpracovává CBT správně.

Kde Windows NTLM nebo proxy servery vyžadují LMv2 chyb poraďte se s dodavatelem pro verzi, která podporuje standard NTLM verze 2.

Jak potíže obejít

DůležitéTento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany zálohovat registr před úpravami je nutné. Pak můžete obnovit registr v případě problému. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
322756Postup při zálohování a obnovení registru v systému Windows

K řízení chování rozšířenou ochranu, vytvořte následující podklíč registru:
Název klíče:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Název hodnoty:SuppressExtendedProtection
Typ:DWORD
Pro klienty systému Windows, které podporují kanál vazby, které se nedaří ověřování Windows Kerberos servery, které nepracují správně CBT:
  1. Hodnotu položky registru pro "0x01." To můžete nakonfigurovat ověřování pomocí protokolu Kerberos nelze posílat CBT tokeny bez opravy zabezpečení aplikace.
  2. Pokud se problém nevyřeší, nastavte hodnotu položky registru "0x03." To můžete nakonfigurovat ověřování pomocí protokolu Kerberos nikdy vyzařování CBT tokeny.

    Poznámka:Existuje známý problém s Sun Java, které bylo určeno pro možnost, která dodavatelem může ignorovat všechny vazby z kanálů poskytnutých iniciátorovi recenze, za vrácení úspěch i v případě, že předat iniciátorovi vazby kanálů podle dokumentu RFC 4121 (http://Bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973).

    Doporučujeme nainstalovat následující aktualizaci z webu společnosti Sun Java a znovu povolit rozšířenou ochranu:
    http://Java.sun.com/javase/6/webnotes/6u19.HTML
Pro klienty systému Windows, které podporují kanál vazby, které se nedaří ověřování NTLM systému Windows servery, které nepracují správně CBT:
  • Hodnotu položky registru pro "0x01." Nakonfigurovat protokol NTLM, nikoli k emitování CBT tokeny bez opravy zabezpečení aplikace.
Pro servery Windows NTLM nebo proxy servery, které vyžadují LMv2:
  • Nastavte hodnotu položky registru "0x01." Nakonfigurovat NTLM poskytuje odpovědi na LMv2.
Scénáře, ve kterých je příliš velký rozdíl času:
  1. Oprava klienta hodiny představují čas na řadiči domény nebo pracovní skupiny serveru.
  2. Pokud se problém nevyřeší, nastavte hodnotu položky registru "0x01." Nakonfigurovat NTLM poskytnout LMv2 odpovědi, které nejsou předmětem čas zkosení.

Další informace

Co je CBT (kanál vazba Token)?

Kanál vazba Token (CBT) je součástí Rozšířená ochrana pro ověřování. CBT je mechanismus vnitřního kanálu ověřování Kerberos nebo NTLM svázat vnější zabezpečeného kanálu protokolu TLS.

CBT je vlastnost vnější zabezpečený kanál slouží k ověřování vazby na kanál.

Rozšířená ochrana je dosaženo klient komunikuje hlavní název služby a CBT server tamperproof způsobem. Server ověřuje informace o rozšířenou ochranu v souladu s jeho politikou a odmítá pokusů o ověření, které ji není věří sama byla zamýšleným cílem. Tímto způsobem dva kanály se stanou kryptograficky spojeny.

Rozšířená ochrana je nyní podporováno v systému Windows XP, Windows Vista, Windows Server 2003 a Windows Server 2008.

Další informace o Rozšířené ochraně pro ověřování v systému Windows navštivte následující Web společnosti Microsoft:
Informace o Rozšířené ochraně pro ověřování v systému Windows

ZŘEKNUTÍ SE ZÁRUK

RYCHLÉ PUBLIKOVÁNÍ ČLÁNKŮ POSKYTOVAT INFORMACE PŘÍMO V RÁMCI ORGANIZACE TECHNICKÉ PODPORY SPOLEČNOSTI MICROSOFT. INFORMACE OBSAŽENÉ V TOMTO DOKUMENTU JE VYTVOŘENA ODPOVĚĎ VZNIKAJÍCÍCH NEBO JEDINEČNÝCH TÉMAT, NEBO URČENÉ PŘÍPLATEK JINÉ ZNALOSTNÍ BÁZE KNOWLEDGE BASE INFORMACE.

MICROSOFT A JEJÍ DODAVATELÉ ZNAČKA Č UJIŠTĚNÍ ANI ZÁRUKY O VHODNOSTI, SPOLEHLIVOSTI A SPRÁVNOSTI ÚDAJŮ OBSAŽENÝCH V DOKUMENTY A SOUVISEJÍCÍ GRAFIKY PUBLIKOVÁNY NA TOMTO WEBU (DÁLE JEN "MATERIÁLY") PRO JAKÝKOLI ÚČEL. MATERIÁLY MOHOU OBSAHOVAT TECHNICKÉ NEPŘESNOSTI NEBO TYPOGRAFICKÉ CHYBY A MOHOU BÝT UPRAVENY KDYKOLI BEZ PŘEDCHOZÍHO UPOZORNĚNÍ.

V MAXIMÁLNÍM MOŽNÉM ROZSAHU POVOLENÉM PLATNÝCH PRÁVNÍCH PŘEDPISŮ, SPOLEČNOST MICROSOFT NEBO JEJÍ DODAVATELÉ LICENČNÍ PARTNEŘI SE ZŘÍKAJÍ A VYLOUČIT STÍŽNOSTI, ZÁRUK A PODMÍNEK, ZDA VÝSLOVNÉ, PŘEDPOKLÁDANÉ NEBO PŘEDPOKLÁDANÝCH VČETNĚ, ALE NENÍ OMEZEN NA PROHLÁŠENÍ, ZÁRUKY NEBO PODMÍNKY HLAVY, KTERÉ NEJSOU PROTIPRÁVNÍHO JEDNÁNÍ, USPOKOJIVÉHO STAVU NEBO JAKOSTI, OBCHODOVATELNOSTI A VHODNOSTI PRO URČITÝ ÚČEL, S OHLEDEM NA MATERIÁLY.

Vlastnosti

ID článku: 976918 - Poslední aktualizace: 12. února 2011 - Revize: 2.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Klíčová slova: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:976918

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com