Błąd uwierzytelnienia od innych niż Windows NTLM lub Kerberos serwerów

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 976918 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Ważne Jest to szybkiego publikowania artykułu. Aby uzyskać więcej informacji zapoznaj się z sekcją "Nota".

Ten artykuł zawiera poprawkę dla kilku problemów awarii uwierzytelniania w Kerberos i NTLM, które nie mogą uwierzytelniać serwerów, komputery z systemem Windows Server 2008 R2 i Windows 7. Jest to spowodowane przez różnice w sposób, że tokeny wiązania kanałów są uchwyty. Aby uzyskać szczegółowe informacje, zobacz "Symptomy," "Powodować" i sekcje "Rozwiązanie" tego artykułu.

Aby pobrać poprawkę dotyczącą tego problemu, kliknij przycisk Pobieranie poprawki widoku i żądania łącze znajduje się w lewym górnym rogu ekranu.

Symptomy

Windows 7 i Windows Server 2008 R2 obsługę zintegrowanego uwierzytelniania, która obejmuje wsparcie dla kanału powiązanie Token komputerowy domyślnie ochrony rozszerzonej.

Może wystąpić jeden lub kilka z następujących symptomów:
  1. Klientów systemu Windows, które obsługują powiązania kanału nie uwierzytelniany przez serwer Kerberos bez systemu Windows.
  2. Błędy uwierzytelniania NTLM z serwerów Proxy.
  3. Błędy uwierzytelniania NTLM z serwerów NTLM systemu Windows.
  4. Błędy uwierzytelniania NTLM występuje różnica czasu między klientem a serwerem kontrolera domeny lub grupy roboczej.

Przyczyna

Windows 7 i Windows Server 2008 R2 obsługę zintegrowanego uwierzytelniania ochrony rozszerzonej. Funkcja ta zwiększa ochronę i obsługę poświadczeń podczas uwierzytelniania połączeń sieciowych przy użyciu zintegrowanego uwierzytelniania systemu Windows (Zintegrowane).

To jest włączone domyślnie. Gdy klient próbuje połączyć się z serwerem, żądanie uwierzytelnienia jest powiązany do głównej nazwy usługi (SPN) używane. Również podczas uwierzytelniania ma miejsce w obrębie kanał zabezpieczeń TLS (Transport Layer), może być powiązane z tego kanału. Kerberos i NTLM zawierają dodatkowe informacje w swoich wiadomościach obsługuje tę funkcję.

Komputery systemu Windows 7 i Windows 2008 R2 wyłączyć LMv2.

Rozwiązanie

Na wypadek awarii, w przypadku braku - Windows NTLM lub Kerberos serwerów podczas odbierania CBT skontaktować się z dostawcą dla wersji, która obsługuje CBT poprawnie.

Na wypadek awarii, gdy NTLM systemu Windows lub serwery proxy wymagają LMv2 należy skontaktować się z dostawcą dla wersji, która obsługuje protokół NTLMv2.

Obejście problemu

Ważne Niniejszej sekcji, metodzie lub zadania zawiera kroki, które informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. Należy więc dokładnie wykonaj następujące kroki. Aby zapewnić dodatkową ochronę kopii zapasowej rejestru przed przystąpieniem do modyfikacji. Następnie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących sposobu tworzenia kopii zapasowych i przywracania rejestru kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows

W celu sterowania zachowaniem ochrony rozszerzonej, utwórz następujący podklucz rejestru:
Nazwa klucza: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Nazwa wartości: SuppressExtendedProtection
Typ: DWORD
Dla klientów systemu Windows, które obsługują powiązania kanału, który niepowodzenie uwierzytelniania przez serwery Kerberos bez systemu Windows, które nie obsługują poprawnie CBT:
  1. Ustaw wartość wpisu rejestru "0x01." Konfiguruje protokół Kerberos, aby nie emitują tokenów CBT dla aplikacji bez poprawki.
  2. Jeśli nie rozwiąże problemu, ustaw wartość wpisu rejestru "0x03." Skonfiguruje Kerberos nie były emitują tokenów CBT.

    Uwaga Istnieje znany problem z Sun Java, który został rozwiązany, aby pomieścić opcję acceptor może ignorować wszystkie powiązania kanału dostarczonych przez inicjatora, zwracanie sukces nawet, jeśli pomyślnie inicjatora powiązania kanału na (RFC 4121http://Bugs.Sun.com/bugdatabase/view_bug.do?bug_id=6851973).

    Zaleca się, aby zainstalować następującej aktualizacji z witryny języka Java firmy Sun i ponowne włączenie ochrony rozszerzonej:
    http://Java.Sun.com/javase/6/webnotes/6u19.HTML
Dla klientów systemu Windows, które obsługują powiązania kanału, który niepowodzenie uwierzytelniania przez serwery NTLM systemu Windows, które nie obsługują poprawnie CBT:
  • Ustaw wartość wpisu rejestru "0x01." Skonfiguruj uwierzytelnianie NTLM, aby nie emitują tokenów CBT dla aplikacji bez poprawki.
Dla NTLM systemu Windows lub serwerów proxy wymagających LMv2:
  • Ustaw wartość wpisu rejestru "0x01." Skonfiguruje NTLM zapewnia odpowiedzi na LMv2.
W scenariuszu, w którym jest zbyt duża różnica czasu:
  1. Poprawka zegara klienta, aby odzwierciedlić czas na kontrolerze domeny lub serwer grupy roboczej.
  2. Jeśli nie rozwiąże problemu, ustaw wartość wpisu rejestru "0x01." Skonfiguruje NTLM udzielenia odpowiedzi LMv2, które nie są przedmiotem czasu pochylenia.

Więcej informacji

Co to jest CBT (kanał powiązanie Token)?

Kanał powiązanie Token komputerowy jest częścią ochrony rozszerzonej dla uwierzytelniania. CBT jest mechanizmem powiązać zewnętrzne bezpiecznego kanału TLS wewnętrzne kanału uwierzytelniania, takich jak Kerberos i NTLM.

CBT jest właściwością zewnętrzne bezpieczny kanał służy do powiązania uwierzytelniania do kanału.

Ochrona rozszerzona jest realizowane przez klienta komunikuje nazwy SPN i CBT do serwera w sposób tamperproof. Serwer sprawdza informacje rozszerzone ochrony zgodnie z jej zasadami i odrzuca prób uwierzytelnienia, które go nie uważają sam zostały planowanego miejsca docelowego. W ten sposób dwa kanały kryptograficznie stają się ze sobą powiązane.

Ochrona rozszerzona jest teraz obsługiwane w systemie Windows XP, Windows Vista, Windows Server 2003 i systemu Windows Server 2008.

Aby uzyskać więcej informacji na temat ochrona rozszerzona na potrzeby uwierzytelniania w systemie Windows odwiedź następującą witrynę firmy Microsoft w sieci Web:
Informacje o ochrona rozszerzona na potrzeby uwierzytelniania w systemie Windows

WYŁĄCZENIE ODPOWIEDZIALNOŚCI

SZYBKIE PUBLIKOWANIE ARTYKUŁÓW DOSTARCZA INFORMACJE POCHODZĄCE BEZPOŚREDNIO Z ORGANIZACJI POMOCY TECHNICZNEJ FIRMY MICROSOFT. INFORMACJE ZAWARTE W NINIEJSZYM DOKUMENCIE JEST TWORZONY W ODPOWIEDZI POJAWIAJĄCYCH SIĘ LUB UNIKATOWYCH TEMATY, LUB JEST PRZEZNACZONY DODATEK INNYCH INFORMACJI Z BAZY WIEDZY.

MICROSOFT I/LUB JEJ DOSTAWCÓW MARKA NR OŚWIADCZENIA LUB GWARANCJE DOTYCZĄCE PRZYDATNOŚCI, WIARYGODNOŚCI I RZETELNOŚCI INFORMACJI ZAWARTYCH W DOKUMENTY I POKREWNE GRAFIKI OPUBLIKOWANE W TEJ WITRYNIE SIECI WEB ("MATERIAŁY") W JAKIMKOLWIEK CELU. MATERIAŁY MOGĄ ZAWIERAĆ NIEŚCISŁOŚCI TECHNICZNE LUB BŁĘDY DRUKARSKIE I MOŻE BYĆ ZMIENIANY W DOWOLNYM CZASIE BEZ UPRZEDZENIA.

W MAKSYMALNYM ZAKRESIE DOZWOLONYM PRZEZ PRAWO, MICROSOFT LUB JEJ DOSTAWCÓW UCHYLANIA I WYKLUCZYĆ OŚWIADCZENIA, GWARANCJE I WARUNKI CZY JAWNYCH, DOMNIEMANYCH LUB USTAWOWYCH, W TYM, ALE NIE OGRANICZONYCH DO OŚWIADCZENIA, GWARANCJE I WARUNKI TYTUŁU BEZ NARUSZENIA, ZADOWALAJĄCYM STANIE LUB JAKOŚCI, PRZYDATNOŚCI HANDLOWEJ I PRZYDATNOŚCI DO OKREŚLONEGO CELU, W ODNIESIENIU DO MATERIAŁÓW.

Właściwości

Numer ID artykułu: 976918 - Ostatnia weryfikacja: 27 czerwca 2011 - Weryfikacja: 2.0
Informacje zawarte w tym artykule dotyczą:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Słowa kluczowe: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtpl
Przetłumaczone maszynowo
WAŻNE: Ten artykuł nie został przetłumaczony przez człowieka, tylko przez oprogramowanie do tłumaczenia maszynowego firmy Microsoft. Firma Microsoft oferuje zarówno artykuły tłumaczone przez ludzi, jak i artykuły tłumaczone maszynowo, dzięki czemu każdy użytkownik może uzyskać dostęp do całej zawartości bazy wiedzy Knowledge Base we własnym języku. Prosimy jednak pamiętać, że artykuły przetłumaczone maszynowo nie zawsze są doskonałe. Mogą zawierać błędy słownictwa, składni i gramatyki, przypominające błędy robione przez osoby, dla których język użytkownika nie jest językiem ojczystym. Firma Microsoft nie odpowiada za wszelkie nieścisłości, błędy lub szkody spowodowane nieprawidłowym tłumaczeniem zawartości oraz za wykorzystanie tej zawartości przez klientów. Oprogramowanie do tłumaczenia maszynowego jest często aktualizowane przez firmę Microsoft.
Anglojęzyczna wersja tego artykułu to:976918

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com