Error de autenticación desde el que no sean Windows NTLM o Kerberos (servidores)

Seleccione idioma Seleccione idioma
Id. de artículo: 976918 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

ImportanteSe trata de un artículo de la publicación rápido. Para obtener más información, consulte la sección "Renuncia".

En este artículo se proporciona una corrección para varios problemas de errores de autenticación en el que NTLM y Kerberos no pueden autenticar servidores de Windows 7 y los equipos basados en Windows Server 2008 R2. Esto ocurre por las diferencias en la forma en que los símbolos de enlace de canal son los identificadores. Para obtener información detallada, vea la sección "Síntomas," "Causa" y las secciones de "Resolución" de este artículo.

Para descargar la corrección para este problema, haga clic en elRevisión de la vista y solicitud de descargavínculo a la que se encuentra en la esquina superior izquierda de la pantalla.

Síntomas

Windows 7 y Windows Server 2008 R2 admiten la protección ampliada para la autenticación integrada que incluye soporte para canal de enlace de símbolo (token) (CBT) de forma predeterminada.

Puede experimentar uno o varios de los síntomas siguientes:
  1. Los clientes de Windows que admiten el enlace de canal de no ser autenticados por un servidor Kerberos no Windows.
  2. Errores de autenticación NTLM de servidores Proxy.
  3. Errores de autenticación NTLM desde servidores de que no sean Windows NTLM.
  4. Errores de autenticación NTLM cuando hay una diferencia horaria entre el cliente y el servidor de controlador de dominio o grupo de trabajo.

Causa

Windows 7 y Windows Server 2008 R2 admiten la protección ampliada para la autenticación integrada. Esta característica mejora la protección y control de credenciales para autenticar conexiones de red utilizando la autenticación de Windows integrada (IWA).

Esto está activada de forma predeterminada. Cuando un cliente intenta conectarse a un servidor, se enlaza a la solicitud de autenticación para el servicio de nombre Principal (SPN) utilizados. También cuando realiza la autenticación dentro de un canal de seguridad de capa de transporte (TLS), se puede enlazar a ese canal. NTLM y Kerberos proporcionan información adicional en sus mensajes para admitir esta funcionalidad.

Además, los equipos de Windows 7 y Windows 2008 R2 deshabilitar LMv2.

Solución

Para los errores que se producen errores que no sean Windows NTLM o Kerberos servidores cuando se reciben mediante un programa Didáctico, compruebe con el proveedor para obtener una versión que se controla mediante un programa Didáctico correctamente.

Si hay errores que requieran la LMv2 que no sean Windows NTLM servidores o servidores proxy, consulte al proveedor para obtener una versión compatible con NTLMv2.

Solución

ImportanteEsta sección, el método o la tarea se explican los pasos que le indicarán cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo hacer copia de seguridad y restaurar el registro en Windows

Para controlar el comportamiento de protección ampliada, cree la siguiente subclave del registro:
Nombre de clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Nombre de valor:SuppressExtendedProtection
Tipo:DWORD
Para los clientes de Windows que admiten el enlace de canal que no se pueden ser autenticados por servidores de Kerberos que no sean de Windows que no controlan la CBT correctamente:
  1. Establezca el valor de la entrada del registro en "0 x 01". Esto configurará Kerberos no para la emisión de tokens CBT para las aplicaciones sin revisión.
  2. Si esto no resuelve el problema, a continuación, establezca el valor de la entrada del registro para "0 x 03". Esto configurará Kerberos nunca a la emisión de tokens CBT.

    NotaHay un problema conocido con Sun Java que se ha solucionado para dar cabida a la opción que el acceptor podría pasar por alto ningún enlace de canal suministrado por el iniciador, devolviendo el éxito incluso si lo aprobó el iniciador en los enlaces de canal de acuerdo con RFC 4121)http://Bugs.sun.com/bugdatabase/view_bug.DO?bug_id=6851973).

    Le recomendamos que instale la actualización siguiente desde el sitio de Sun Java y volver a habilitar la protección total:
    http://java.sun.com/javase/6/webnotes/6u19.HTML
Para los clientes de Windows que admiten el enlace de canal que no se pueden ser autenticados por servidores que no sean Windows NTLM que no tratan correctamente el CBT:
  • Establezca el valor de la entrada del registro en "0 x 01". Esto configurará NTLM, no a la emisión de tokens CBT para las aplicaciones sin revisión.
Para que no sean Windows NTLM servidores o servidores proxy que requieran LMv2:
  • Establecer el valor de la entrada del registro en "0 x 01". Esto configurará NTLM para ofrecer respuestas de LMv2.
Para el escenario en el que la diferencia horaria es demasiado grande:
  1. Corrija el reloj del cliente se reflejan el tiempo en el controlador de dominio o servidor de grupo de trabajo.
  2. Si esto no resuelve el problema, a continuación, establezca el valor de la entrada del registro en "0 x 01". Esto configurará NTLM para proporcionar las respuestas de LMv2 que no están sujetas a un desfase temporal.

Más información

¿Qué es CBT (canal enlace Token)?

Canal de enlace de símbolo (token) (CBT) es una parte de la protección ampliada para la autenticación. CBT es un mecanismo para enlazar un canal seguro exterior de TLS para la autenticación de canales interno como, por ejemplo, Kerberos o NTLM.

CBT es una propiedad del canal seguro externa utilizada para enlazar la autenticación para el canal.

Total protection se consigue al cliente que se comunica el SPN y la CBT al servidor en modo a prueba de manipulaciones. El servidor valida la información extendida de protección de acuerdo con su política y rechaza los intentos de autenticación para el que no considera que sí ha sido el objetivo. De este modo, los dos canales criptográficamente se enlazan entre sí.

Protección total ahora es compatible en Windows XP, Windows Vista, Windows Server 2003 y Windows Server 2008.

Para obtener más información acerca de la protección total para la autenticación de Windows, visite el siguiente sitio Web de Microsoft:
Información sobre la protección total para la autenticación de Windows

RENUNCIA DE RESPONSABILIDAD

PUBLICACIÓN RÁPIDA ARTÍCULOS PROPORCIONAN INFORMACIÓN DIRECTAMENTE DESDE DENTRO DE LA ORGANIZACIÓN DE SOPORTE TÉCNICO DE MICROSOFT. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE CREA COMO RESPUESTA A EMERGENTES O ÚNICOS TEMAS, O ESTÁ PREVISTO SUPLEMENTO OTRA INFORMACIÓN DE KNOWLEDGE BASE.

MICROSOFT Y/O SUS PROVEEDORES MARCA NO GARANTÍAS NI ACERCA DE LA IDONEIDAD, LA FIABILIDAD O EXACTITUD DE LA INFORMACIÓN CONTENÍAN EN LOS DOCUMENTOS Y GRÁFICOS RELACIONADOS PUBLICADOS EN ESTE SITIO WEB (LOS "MATERIALES") PARA CUALQUIER PROPÓSITO. LOS MATERIALES PUEDEN INCLUIR IMPRECISIONES TÉCNICAS O ERRORES TIPOGRÁFICOS Y PODRÁN REVISARSE EN CUALQUIER MOMENTO SIN PREVIO AVISO.

EN LA MÁXIMA MEDIDA PERMITIDA POR LA CORRESPONDIENTE LEGISLACIÓN NI MICROSOFT NI SUS PROVEEDORES RENUNCIAN A Y EXCLUIR TODAS LAS REPRESENTACIONES, GARANTÍAS Y CONDICIONES SI SE EXPRESA, IMPLÍCITA O ESTATUTARIA, INCLUYENDO PERO NO LIMITADO A LAS REPRESENTACIONES, GARANTÍAS O CONDICIONES DE TÍTULO, NO INFRACCIÓN, CONDICIÓN SATISFACTORIA O CALIDAD, COMERCIABILIDAD E IDONEIDAD PARA UN FIN DETERMINADO, CON RESPECTO A LOS MATERIALES.

Propiedades

Id. de artículo: 976918 - Última revisión: sábado, 12 de febrero de 2011 - Versión: 2.0
La información de este artículo se refiere a:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palabras clave: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 976918

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com