Errore di autenticazione Windows NTLM o Kerberos server

Traduzione articoli Traduzione articoli
Identificativo articolo: 976918 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

ImportanteSi tratta di un articolo di pubblicazione rapida. Per ulteriori informazioni, vedere la sezione "Declinazione di responsabilitā".

In questo articolo viene fornita una correzione di numerosi problemi di errore di autenticazione in quali NTLM e Kerberos server non č in grado di autenticare i computer basati su Windows Server 2008 R2 e Windows 7. Questo problema č causato dalle differenze in modo che i token di associazione del canale sono punti di controllo. Per informazioni dettagliate, vedere il ","Sintomi "Causa" e le sezioni "Risoluzione" di questo articolo.

Per scaricare la correzione di questo problema, fare clic sul pulsante diAggiornamento rapido di visualizzazione e richiesta di downloadcollegamento che si trova in alto a sinistra dello schermo.

Sintomi

Windows 7 e Windows Server 2008 R2 supporta la protezione estesa per l'autenticazione integrata che include il supporto per canale associazione Token (CBT) per impostazione predefinita.

Č possibile che si verifichi uno o pių dei seguenti sintomi:
  1. Client Windows che supportano l'associazione di canale in grado di essere autenticati da un server Kerberos non Windows.
  2. Errori di autenticazione NTLM da Server Proxy.
  3. Errori di autenticazione NTLM da server Windows NTLM.
  4. Errori di autenticazione NTLM quando non vi č differenza di orario tra client e server di controller di dominio o gruppo di lavoro.

Cause

Windows 7 e Windows Server 2008 R2 supporta la protezione estesa per l'autenticazione integrata. Questa funzionalitā consente di migliorare la protezione e la gestione delle credenziali durante l'autenticazione di connessioni di rete utilizzando l'autenticazione Windows integrata (con).

Questa č impostata su ON per impostazione predefinita. Quando un client tenta di connettersi a un server, la richiesta di autenticazione č associata per il servizio nome principale (SPN) utilizzato. Anche quando l'autenticazione viene eseguita all'interno di un canale TLS (Transport Layer Security), puō essere associato a quel canale. NTLM e Kerberos forniscono informazioni aggiuntive nei messaggi per supportare questa funzionalitā.

Inoltre, i computer Windows 7 e Windows 2008 R2 disattivare LMv2.

Risoluzione

Per gli errori in cui Windows NTLM o Kerberos server hanno esito negativo quando si ricevono CBT, verificare con il fornitore per ottenere una versione che gestisce CBT correttamente.

Per gli errori in cui i server di Windows NTLM o i server proxy richiedano LMv2, contattare il fornitore per ottenere una versione che supporta NTLMv2.

Workaround

ImportanteQuesta sezione, metodo o attivitā sono contenute procedure che consentono di indicare come modificare il Registro di sistema. Tuttavia, puō causare seri problemi se si modifica il Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, č possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
articolo 322756Come eseguire il backup e ripristinare il Registro di sistema in Windows

Per controllare il comportamento di protezione estesa, creare la seguente sottochiave del Registro di sistema:
Nome della chiave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Nome valore:SuppressExtendedProtection
Tipo:DWORD
Per i client Windows che supportano l'associazione di canale che non devono essere autenticati dal server Kerberos non Windows che non gestiscono correttamente la CBT:
  1. Impostare il valore della voce del Registro di sistema su "0 x 01." In questo modo verrā configurato Kerberos non per emettere i token CBT per le applicazioni senza patch.
  2. Se il problema persiste, impostare il valore della voce del Registro di sistema a "0 x 03." In questo modo verrā configurato Kerberos mai per emettere i token CBT.

    NotaUn problema noto con Java di Sun in cui č stato risolto per contenere l'opzione il acceptor potrebbe ignorare eventuali associazioni di canale forniti dall'iniziatore, restituendo un esito positivo anche se l'iniziatore ha superato nei binding del canale in base alla specifica RFC 4121)http://bugs.Sun.com/bugdatabase/view_bug.Do?bug_id=6851973).

    Si consiglia di installare il seguente aggiornamento dal sito Java di Sun e riattivare la protezione estesa:
    http://java.Sun.com/javase/6/webnotes/6u19.HTML
Per i client Windows che supportano l'associazione di canale che non devono essere autenticati dal server di Windows NTLM non gestiscono correttamente la CBT:
  • Impostare il valore della voce del Registro di sistema su "0 x 01." In questo modo verrā configurato NTLM non per emettere i token CBT per le applicazioni senza patch.
Per i server di Windows NTLM o server proxy che richiedono LMv2:
  • Impostare il valore della voce del Registro di sistema su "0 x 01." In questo modo verrā configurato NTLM per fornire risposte LMv2.
Per lo scenario in cui la differenza di tempo č troppo grande:
  1. Correzione dell'orologio del client in modo da riflettere l'ora sul controller di dominio o server del gruppo di lavoro.
  2. Se il problema persiste, impostare il valore della voce del Registro di sistema su "0 x 01." In questo modo verrā configurato NTLM per fornire le risposte di LMv2 che non sono soggetti a sfasamento dell'ora.

Informazioni

Che cos'č CBT (Token canale associazione)?

Canale associazione Token (CBT) č una parte di protezione estesa per l'autenticazione. CBT č un meccanismo per associare un canale protetto di TLS esterno per l'autenticazione di canale interno, ad esempio Kerberos o NTLM.

CBT č una proprietā del canale protetto esterno utilizzato per associare l'autenticazione per il canale.

Protezione estesa viene eseguita dal client di comunicare il SPN e CBT al server in modo a prova di manomissione. Il server convalida le informazioni di protezione estesa in base ai relativi criteri e rifiuta i tentativi di autenticazione per il quale non considerato se stesso per avere ricevuto la destinazione desiderata. In questo modo, i due canali crittograficamente divengono associati tra loro.

Protezione estesa č ora supportata in Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Per ulteriori informazioni sulla protezione estesa per l'autenticazione di Windows, visitare il seguente sito Web Microsoft:
Informazioni sulla protezione estesa per l'autenticazione di Windows

DECLINAZIONE DI RESPONSABILITĀ

UNA RAPIDA PUBBLICAZIONE ARTICOLI FORNISCONO INFORMAZIONI DIRETTAMENTE DALL'INTERNO DELL'ORGANIZZAZIONE DI SUPPORTO TECNICO CLIENTI MICROSOFT. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO VIENE CREATE IN RISPOSTA A EMERGENTI O UNIVOCO ARGOMENTI, O SE Č PREVISTO SUPPLEMENTO ALTRE INFORMAZIONI DI BASE.

MICROSOFT E/O RELATIVI FORNITORI NON O ALCUNA GARANZIA SULL'ADEGUATEZZA, L'AFFIDABILITĀ O ACCURATEZZA DELLE INFORMAZIONI CONTENUTE IN DOCUMENTI E NELLA RELATIVA GRAFICA PUBBLICATI SU QUESTO SITO WEB ("MATERIALI") PER QUALSIASI SCOPO. I MATERIALI POSSONO CONTENERE INESATTEZZE TECNICHE O ERRORI DI BATTITURA E POSSONO ESSERE MODIFICATI IN QUALSIASI MOMENTO SENZA PREAVVISO.

NELLA MISURA MASSIMA CONSENTITA DALLA APPLICABILE LEGGE, MICROSOFT E/O I SUOI FORNITORI NON RICONOSCONO ED ESCLUSIONE DI TUTTE LE RAPPRESENTAZIONI, GARANZIE E CONDIZIONI ESPRESSA, IMPLICITA O DI LEGGE, INCLUSE MA NON LIMITATE A RAPPRESENTAZIONI, GARANZIE O CONDIZIONI DI TITOLO, NON VIOLAZIONE DI DIRITTI ALTRUI, CONDIZIONI SODDISFACENTI O QUALITĀ, COMMERCIABILITĀ E IDONEITĀ PER UNO SCOPO PARTICOLARE, AI MATERIALI.

Proprietā

Identificativo articolo: 976918 - Ultima modifica: sabato 12 febbraio 2011 - Revisione: 2.0
Le informazioni in questo articolo si applicano a:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Chiavi: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtit
Traduzione automatica articoli
Il presente articolo č stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non č sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pių o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non č la sua. Microsoft non č responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 976918
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com