非 Windows NTLM または Kerberos サーバからの認証エラー

文書翻訳 文書翻訳
文書番号: 976918
すべて展開する | すべて折りたたむ

目次

概要

重要です これは、迅速な発行記事です。詳細については、「免責事項」セクションを参照してください。

修正 Windows 7 と Windows サーバー 2008 R2 ベースのコンピューターが NTLM と Kerberos のサーバーを認証できない認証エラー問題がいくつかを紹介します。これは、チャネル バインド トークンのハンドルである方法の違いが原因です。詳細については、「「が、」現象」をこの資料の「解決方法」セクション。

この問題に対する修正プログラムをダウンロードするには、 ビューと要求の修正プログラムをダウンロードします。 画面の左上隅に配置されているリンクです。

現象

Windows 7 と Windows サーバー 2008 R2 のチャネル バインド トークン (CBT) 既定のサポートが含まれている統合認証の拡張保護をサポートします。

1 つまたは複数、以下の現象が発生する可能性があります。
  1. チャネルのバインディングをサポートする Windows クライアント、非 Windows Kerberos サーバーの認証に失敗します。
  2. プロキシ サーバーの NTLM 認証の失敗します。
  3. NTLM 認証のエラー Windows NTLM 以外のサーバーから。
  4. ある場合は、クライアントとサーバーの DC またはワークグループ間の時間差の NTLM 認証の失敗します。

原因

Windows 7 と Windows サーバー 2008 R2 拡張保護統合認証をサポートします。統合 Windows 認証 (IWA) を使用してネットワーク接続の認証と保護、資格情報の処理をこの機能を拡張します。

これはデフォルトで ON です。クライアントがサーバーに接続しようとすると、認証要求は、サービス プリンシパル名 (使用される SPN に) にバインドされています。トランスポート層セキュリティ (TLS) チャネル内で認証を受けるときはまた、そのチャネルにバインドできます。NTLM および Kerberos は、この機能をサポートするために、メッセージ内の追加情報を提供します。

また、Windows 7 と Windows 2008 R2 コンピューター LMv2 を無効にします。

解決方法

非 Windows NTLM または Kerberos サーバが失敗している障害の CBT を受信すると、CBT を正しく処理するバージョンについて、ベンダーに確認してください。

Windows NTLM - サーバーまたはプロキシ サーバーが LMv2 を必要とするどこに障害、NTLMv2 をサポートしているバージョンのベンダーに確認してください。

回避策

重要です このセクション、メソッド、またはタスク、レジストリを変更する方法を示す手順が含まれています。ただし、レジストリを誤って変更すると深刻な問題が発生。そのため、慎重にこの手順を実行することを確認します。これを変更する前に追加された保護のため、レジストリのバックアップを作成します。その後、問題が発生した場合、レジストリを復元できます。レジストリを復元する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
322756 Windows でレジストリを復元する方法

拡張の保護を制御するには、次のレジストリ サブキーを作成します。
キー名: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
値の名前: SuppressExtendedProtection
種類: DWORD
CBT を正しく処理しない非 Windows Kerberos サーバーによって認証が失敗しているチャネルのバインディングをサポートする Windows クライアントの場合。
  1. レジストリ エントリの値に"0x01。"を設定します。これは (cbt) のトークンをアプリケーションの修正を出力しない Kerberos を構成します。
  2. 問題が解決しない場合は、レジストリ エントリの値に"0x03"を設定します。これは (cbt) のトークンを生成する Kerberos を構成します。

    メモ Sun はイニシエーターに合格している場合でもは RFC 4121 (に従ってチャネルのバインドで成功を返す、イニシエーターでは、指定したチャネル バインドの acceptor を無視可能性があります、オプションに対応するために解決した Java における既知の問題があります。http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973).

    太陽 Java のサイトから次の更新プログラムをインストールし、拡張の保護を再び有効にすることをお勧めします。
    http://java.sun.com/javase/6/webnotes/6u19.html
CBT を正しく処理しないサーバーによって非 Windows NTLM 認証に失敗しているチャネルのバインディングをサポートする Windows クライアントの場合。
  • レジストリ エントリの値に"0x01。"を設定します。CBT のトークンを修正するアプリケーションを出力しない NTLM が構成されます。
サーバーの非 Windows NTLM または LMv2 を必要とするプロキシ サーバー。
  • レジストリ エントリの値に"0x01"を設定します。LMv2 レスポンスを提供するのには、NTLM が構成されます。
時間の差が大きすぎるのシナリオは。
  1. ドメイン コント ローラーかワークグループのサーバー上の時刻を反映するために、クライアントのクロックを修復します。
  2. 問題が解決しない場合は、レジストリ エントリの値に"0x01"を設定します。これは時に傾斜されていない LMv2 レスポンスを提供する NTLM に構成されます。

詳細

CBT (チャネル バインド トークン) を教えてください。

チャネル バインド トークン (CBT) の拡張保護認証のです。CBT は Kerberos または NTLM などの認証の内部チャネルを外側の TLS セキュリティで保護されたチャネルをバインドするためのメカニズムです。

CBT は認証へのチャネルをバインドするために使用、外部セキュリティで保護されたチャネルのプロパティです。

拡張の保護は SPN と、CBT、不正なサーバーへの通信は、クライアントで行われます。サーバーは、そのポリシーに合わせて拡張保護情報を確認をそれ自体は、意図したターゲットになったように信じてはいないの認証の試行を拒否しました。これにより、2 つのチャンネル暗号が結合になります。

拡張の保護 Windows XP、Windows Vista、Windows Server 2003 および Windows Server 2008 でサポートされます。

Windows の認証用の拡張の保護の詳細については、次のマイクロソフト Web サイトを参照してください。
Windows の認証用の拡張の保護について

免責事項

迅速な発行記事から直接 MICROSOFT サポート組織内の情報を提供します。ここに含まれる情報が新興または一意応答で作成されますトピック、または意図補足情報その他の技術情報です。

マイクロソフトおよびその供給者または適合性、信頼性、情報の正確性について保証されるドキュメントおよび関連グラフィックスこの WEB サイト (「材料」) でのいかなる目的に対して公開するに含まれています。材料技術的な誤りや誤植がありますおよび予告なく随時改訂する場合があります。

によって適用可能な法律、マイクロソフトおよびその供給者が許可する最大限の範囲に暗示されていると第三者の権利侵害、適切な状態または品質、商品性の保証および材料を基準に、特定の目的への適合性明示、黙示または法律上などを表明、保証、またはタイトル、以外の条件を制限されているかどうか、すべての表現、保証、および条件を除外します。

プロパティ

文書番号: 976918 - 最終更新日: 2011年8月15日 - リビジョン: 4.0
キーワード:?
kbtshoot kbprb kbexpertiseinter kbnomt kbrapidpub kbmt kbsurveynew KB976918 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:976918
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com