Verificatiefout van niet-Windows NTLM- of Kerberos-servers
Dit artikel biedt een oplossing voor verschillende problemen met verificatiefouten waarbij NTLM- en Kerberos-servers windows 7- en Windows Server 2008 R2-computers niet kunnen verifiëren. Dit wordt veroorzaakt door verschillen in de manier waarop kanaalbindingstokens worden verwerkt.
Van toepassing op: Windows 7 Service Pack 1, Windows Server 2012 R2
Oorspronkelijk KB-nummer: 976918
Symptomen
Windows 7 en Windows Server 2008 R2 bieden standaard ondersteuning voor uitgebreide beveiliging voor geïntegreerde verificatie met ondersteuning voor channel binding token (CBT).
U kunt een of meer van de volgende symptomen ervaren:
- Windows-clients die kanaalbinding ondersteunen, kunnen niet worden geverifieerd door een niet-Windows Kerberos-server.
- NTLM-verificatiefouten van proxyservers.
- NTLM-verificatiefouten van niet-Windows NTLM-servers.
- NTLM-verificatiefouten wanneer er een tijdsverschil is tussen de client en dc- of werkgroepserver.
Oorzaak
Windows 7 en Windows Server 2008 R2 bieden ondersteuning voor uitgebreide beveiliging voor geïntegreerde verificatie. Deze functie verbetert de beveiliging en verwerking van referenties bij het verifiëren van netwerkverbindingen met geïntegreerde Windows-verificatie (IWA).
Dit is standaard ingeschakeld. Wanneer een client verbinding probeert te maken met een server, is de verificatieaanvraag gebonden aan de gebruikte SPN (Service Principal Name). Ook wanneer de verificatie plaatsvindt in een TLS-kanaal (Transport Layer Security), kan deze worden gebonden aan dat kanaal. NTLM en Kerberos bieden aanvullende informatie in hun berichten om deze functionaliteit te ondersteunen.
Windows 7- en Windows 2008 R2-computers schakelen ook LMv2 uit.
Oplossing
Voor fouten waarbij niet-Windows NTLM- of Kerberos-servers mislukken bij het ontvangen van CBT, raadpleegt u de leverancier voor een versie die CBT correct verwerkt.
Voor fouten waarbij niet-Windows NTLM-servers of proxyservers LMv2 vereisen, raadpleegt u de leverancier voor een versie die NTLMv2 ondersteunt.
Tijdelijke oplossing
Belangrijk
Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up maken van het register en het register herstellen in Windows voor meer informatie over het maken van back-ups en het herstellen van het register .
Als u het gedrag van uitgebreide beveiliging wilt beheren, maakt u de volgende registersubsleutel:
- Sleutelnaam:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
- Waardenaam: SuppressExtendedProtection
- Type: DWORD
Voor Windows-clients die ondersteuning bieden voor kanaalbindingen die niet kunnen worden geverifieerd door niet-Windows Kerberos-servers die de CBT niet correct verwerken:
- Stel de registervermeldingswaarde in op 0x01. Hiermee configureert u Kerberos om geen CBT-tokens te verzenden voor niet-gepatchte toepassingen.
- Als het probleem hiermee niet wordt opgelost, stelt u de registervermeldingswaarde in op 0x03. Hiermee configureert u Kerberos nooit om CBT-tokens te verzenden.
Opmerking
Er is een bekend probleem met Sun Java dat is verholpen om de optie te accepteren dat de acceptor alle kanaalbindingen die door de initiator worden geleverd, kan negeren, waardoor succes wordt geretourneerd, zelfs als de initiator kanaalbindingen heeft doorgegeven volgens RFC 4121. Zie Voor meer informatie de binding voor binnenkomende kanalen negeren als acceptor er geen instelt.
We raden u aan de volgende update te installeren vanaf de Sun Java-site en uitgebreide beveiliging opnieuw in te schakelen: Wijzigingen in 1.6.0_19 (6u19).
Voor Windows-clients die ondersteuning bieden voor kanaalbindingen die niet kunnen worden geverifieerd door niet-Windows NTLM-servers die de CBT niet correct verwerken, stelt u de registervermeldingswaarde in op 0x01. Hiermee configureert u NTLM om geen CBT-tokens te verzenden voor niet-gepatchte toepassingen.
Voor niet-Windows NTLM-servers of proxyservers waarvoor LMv2 is vereist, stelt u de registervermeldingswaarde in op 0x01. Hiermee configureert u NTLM om LMv2-antwoorden te bieden.
Voor het scenario waarin het tijdsverschil te groot is:
- Corrigeer de klok van de client om de tijd op de domeincontroller of werkgroepserver weer te geven.
- Als het probleem hiermee niet wordt opgelost, stelt u de registervermeldingswaarde in op 0x01. Hiermee configureert u NTLM om LMv2-antwoorden te bieden die niet onderhevig zijn aan tijdverschil.
Wat is CBT (Kanaalbindingstoken)?
Kanaalbindingstoken (CBT) maakt deel uit van uitgebreide beveiliging voor verificatie. CBT is een mechanisme om een extern TLS-beveiligde kanaal te binden aan verificatie binnenkanalen, zoals Kerberos of NTLM.
CBT is een eigenschap van het buitenste beveiligde kanaal dat wordt gebruikt om verificatie aan het kanaal te binden.
Uitgebreide beveiliging wordt bereikt door de client die de SPN en de CBT op een manipulatiebestendige manier aan de server communiceert. De server valideert de uitgebreide beveiligingsinformatie in overeenstemming met het beleid en weigert verificatiepogingen waarvoor de server niet denkt dat deze het beoogde doel is geweest. Op deze manier worden de twee kanalen cryptografisch met elkaar verbonden.
Uitgebreide beveiliging wordt nu ondersteund in Windows XP, Windows Vista, Windows Server 2003 en Windows Server 2008.
Disclaimer
Artikelen voor snelle publicatie bieden informatie rechtstreeks vanuit de Microsoft-ondersteuningsorganisatie. De hierin opgenomen informatie is gemaakt als reactie op opkomende of unieke onderwerpen, of is bedoeld als aanvulling op andere Knowledge Base informatie.
Microsoft en/of haar leveranciers geven geen verklaringen of garanties over de geschiktheid, betrouwbaarheid of nauwkeurigheid van de informatie in de documenten en gerelateerde afbeeldingen die op deze website worden gepubliceerd (het 'materiaal') voor welk doel dan ook. Het materiaal kan technische onnauwkeurigheden of typografische fouten bevatten en kan op elk moment zonder kennisgeving worden herzien.
Voor zover toegestaan door toepasselijk recht, wijzen Microsoft en/of haar leveranciers alle verklaringen, garanties en voorwaarden, uitdrukkelijk, impliciet of wettelijk, met inbegrip van, maar niet beperkt tot vertegenwoordigingen, garanties of voorwaarden van titel, niet-inbreuk, bevredigende voorwaarde of kwaliteit, verkoopbaarheid en geschiktheid voor een bepaald doel, met betrekking tot de materialen, af en toe uit.
Feedback
https://aka.ms/ContentUserFeedback.
Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see:Feedback verzenden en weergeven voor