Errore di autenticazione da server NON Windows NTLM o Kerberos

Questo articolo fornisce una soluzione a diversi problemi di errore di autenticazione in cui i server NTLM e Kerberos non possono autenticare computer basati su Windows 7 e Windows Server 2008 R2. Ciò è causato da differenze nel modo in cui i token di associazione di canale sono handle.

Si applica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Numero KB originale: 976918

Sintomi

Windows 7 e Windows Server 2008 R2 supportano la protezione estesa per l'autenticazione integrata che include il supporto per il token di associazione di canale (CBT) per impostazione predefinita.

È possibile che si verifichino uno o più dei sintomi seguenti:

• I client Windows che supportano l'associazione di canale non possono essere autenticati da un server Kerberos non Windows.
• Errori di autenticazione NTLM dai server proxy.
• Errori di autenticazione NTLM da server NTLM non Windows.
• Errori di autenticazione NTLM quando esiste una differenza di tempo tra il client e il controller di dominio o il server del gruppo di lavoro.

Causa

Windows 7 e Windows Server 2008 R2 supportano la protezione estesa per l'autenticazione integrata. Questa funzionalità migliora la protezione e la gestione delle credenziali durante l'autenticazione delle connessioni di rete tramite LWA (Integrated Windows Authentication).

Questo valore è ON per impostazione predefinita. Quando un client tenta di connettersi a un server, la richiesta di autenticazione viene associata al nome dell'entità servizio (SPN) usato. Inoltre, quando l'autenticazione viene eseguita all'interno di un canale TLS (Transport Layer Security), può essere associata a tale canale. NTLM e Kerberos forniscono informazioni aggiuntive nei messaggi per supportare questa funzionalità.

Inoltre, i computer Windows 7 e Windows 2008 R2 disabilitano LMv2.

Risoluzione

Per gli errori in cui i server NTLM o Kerberos non Windows hanno esito negativo durante la ricezione di CBT, rivolgersi al fornitore per una versione che gestisce correttamente CBT.

Per gli errori in cui i server NTLM non Windows o i server proxy richiedono LMv2, rivolgersi al fornitore per una versione che supporti NTLMv2.

Soluzione alternativa

Per controllare il comportamento di protezione estesa, creare la sottochiave del Registro di sistema seguente:

• Nome chiave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
• Nome valore: SuppressExtendedProtection
• Digitare: DWORD

Per i client Windows che supportano l'associazione di canale che non vengono autenticati da server Kerberos non Windows che non gestiscono correttamente il CBT:

1. Impostare il valore della voce del Registro di sistema su 0x01. In questo modo Kerberos verrà configurato per non generare token CBT per le applicazioni senza patch.
2. Se il problema non viene risolto, impostare il valore della voce del Registro di sistema su 0x03. In questo modo Kerberos non verrà mai configurato per la generazione di token CBT.

È consigliabile installare l'aggiornamento seguente dal sito Java Sun e riabilitare la protezione estesa: modifiche nella versione 1.6.0_19 (6u19).

Per i client Windows che supportano l'associazione di canali che non vengono autenticati da server NTLM non Windows che non gestiscono correttamente il CBT, impostare il valore della voce del Registro di sistema su 0x01. In questo modo NTLM verrà configurato per non generare token CBT per le applicazioni senza patch.

Per i server NTLM non Windows o i server proxy che richiedono LMv2, impostare sul valore della voce del Registro di sistema su 0x01. In questo modo NTLM verrà configurato per fornire risposte LMv2.

Per lo scenario in cui la differenza di tempo è troppo grande:

1. Correggere l'orologio del client in modo che rifletta l'ora nel controller di dominio o nel server del gruppo di lavoro.
2. Se il problema non viene risolto, impostare il valore della voce del Registro di sistema su 0x01. In questo modo NTLM verrà configurato per fornire risposte LMv2 che non sono soggette a un'asimmetria temporale.

Che cos'è CBT (token di associazione del canale)?

Il token di associazione di canale (CBT) fa parte della protezione estesa per l'autenticazione. CBT è un meccanismo per associare un canale sicuro TLS esterno all'autenticazione del canale interno, ad esempio Kerberos o NTLM.

CBT è una proprietà del canale sicuro esterno usato per associare l'autenticazione al canale.

La protezione estesa viene eseguita dal client che comunica l'SPN e il CBT al server in modo antimanomissione. Il server convalida le informazioni di protezione estesa in base ai criteri e rifiuta i tentativi di autenticazione per i quali non ritiene di essere la destinazione prevista. In questo modo, i due canali diventano associati crittograficamente.

La protezione estesa è ora supportata in Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Dichiarazione di non responsabilità

Gli articoli di pubblicazione rapida forniscono informazioni direttamente dall'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono create in risposta a argomenti emergenti o univoci o sono destinate a integrare altre informazioni knowledge base.

Microsoft e/o i suoi fornitori non rilasciano dichiarazioni o garanzie circa l'idoneità, l'affidabilità o l'accuratezza delle informazioni contenute nei documenti e negli elementi grafici correlati pubblicati su questo sito Web (i "materiali") per qualsiasi scopo. I materiali possono includere imprecisioni tecniche o errori tipografici e possono essere modificati in qualsiasi momento senza preavviso.

Nella misura massima consentita dalla legge applicabile, Microsoft e/o i suoi fornitori declinano ed escludono tutte le rappresentazioni, le garanzie e le condizioni, espresse, implicite o legali, incluse, a titolo esemplificativo, rappresentazioni, garanzie o condizioni di titolo, non violazione, condizioni o qualità soddisfacenti, commerciabilità e idoneità per uno scopo specifico, per quanto riguarda i materiali.