Falha de autenticação de servidores não Windows NTLM ou Kerberos

Este artigo fornece uma solução para vários problemas de falha de autenticação nos quais os servidores NTLM e Kerberos não podem autenticar computadores baseados em Windows 7 e Windows Server 2008 R2. Isso é causado por diferenças na maneira como os Tokens de Associação de Canal são identificadores.

Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Número KB original: 976918

Sintomas

O Windows 7 e o Windows Server 2008 R2 dão suporte à Proteção Estendida para Autenticação Integrada que inclui suporte para CBT (Token de Associação de Canal) por padrão.

Você pode experimentar um ou mais dos seguintes sintomas:

  • Os clientes windows que dão suporte à associação de canal não podem ser autenticados por um servidor Kerberos não Windows.
  • Falhas de autenticação NTLM de servidores proxy.
  • Falhas de autenticação NTLM de servidores NTLM não Windows.
  • Falhas de autenticação NTLM quando há uma diferença de tempo entre o cliente e o servidor dc ou de grupo de trabalho.

Motivo

O Windows 7 e o Windows Server 2008 R2 dão suporte à Proteção Estendida para Autenticação Integrada. Esse recurso aprimora a proteção e o tratamento de credenciais ao autenticar conexões de rede usando a Autenticação Integrada do Windows (IWA).

Isso é ON por padrão. Quando um cliente tenta se conectar a um servidor, a solicitação de autenticação é associada ao SPN (Nome da Entidade de Serviço) usado. Além disso, quando a autenticação ocorre dentro de um canal TLS (Transport Layer Security), ela pode ser associada a esse canal. NTLM e Kerberos fornecem informações adicionais em suas mensagens para dar suporte a essa funcionalidade.

Além disso, os computadores Windows 7 e Windows 2008 R2 desabilitam o LMv2.

Resolução

Para falhas em que servidores não Windows NTLM ou Kerberos estão falhando ao receber CBT, verifique com o fornecedor se há uma versão que manipula o CBT corretamente.

Para falhas em que servidores NTLM não Windows ou servidores proxy exigem LMv2, verifique com o fornecedor se há uma versão compatível com NTLMv2.

Solução alternativa

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, consulte Como fazer backup e restaurar o registro no Windows .

Para controlar o comportamento de proteção estendida, crie a seguinte subchave do Registro:

  • Nome da chave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • Nome do valor: SuppressExtendedProtection
  • Tipo: DWORD

Para clientes Windows que dão suporte à associação de canal que não estão sendo autenticados por servidores Kerberos não Windows que não manipulam o CBT corretamente:

  1. Defina o valor de entrada do Registro como 0x01. Isso configurará o Kerberos para não emitir tokens CBT para aplicativos sem patch.
  2. Se isso não resolver o problema, defina o valor de entrada do Registro como 0x03. Isso configurará o Kerberos para nunca emitir tokens CBT.

Observação

Há um problema conhecido com o Sun Java que foi resolvido para acomodar a opção de que o aceitador pode ignorar as associações de canal fornecidas pelo iniciador, retornando êxito mesmo que o iniciador tenha passado associações de canal de acordo com o RFC 4121. Para obter mais informações, consulte ignorar a associação de canal de entrada se o aceitador não definir um.

Recomendamos que você instale a seguinte atualização do site Do Sun Java e habilite novamente a proteção estendida: Alterações na versão 1.6.0_19 (6u19).

Para clientes windows que dão suporte à associação de canal que não estão sendo autenticados por servidores NTLM não Windows que não manipulam o CBT corretamente, defina o valor de entrada do Registro como 0x01. Isso configurará o NTLM para não emitir tokens CBT para aplicativos sem patch.

Para servidores NTLM não Windows ou servidores proxy que exigem LMv2, defina como o valor de entrada do Registro como 0x01. Isso configurará o NTLM para fornecer respostas LMv2.

Para o cenário em que a diferença de tempo é muito grande:

  1. Corrija o relógio do cliente para refletir a hora no controlador de domínio ou no servidor do grupo de trabalho.
  2. Se isso não resolver o problema, defina o valor de entrada do Registro como 0x01. Isso configurará o NTLM para fornecer respostas LMv2 que não estão sujeitas à distorção de tempo.

O que é CBT (Token de Associação de Canal)?

O CBT (Token de Associação de Canal) faz parte da Proteção Estendida para Autenticação. O CBT é um mecanismo para associar um canal seguro TLS externo à autenticação de canal interno, como Kerberos ou NTLM.

CBT é uma propriedade do canal seguro externo usado para associar a autenticação ao canal.

A proteção estendida é realizada pelo cliente comunicando o SPN e o CBT para o servidor de maneira à prova de adulterações. O servidor valida as informações de proteção estendida de acordo com sua política e rejeita as tentativas de autenticação para as quais ele não acredita ter sido o destino pretendido. Dessa forma, os dois canais se tornam vinculados criptograficamente.

Agora há suporte para proteção estendida no Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Aviso de isenção

Artigos de publicação rápida fornecem informações diretamente de dentro da organização de suporte da Microsoft. As informações contidas aqui são criadas em resposta a tópicos emergentes ou exclusivos ou se destinam a complementar outras base de dados de conhecimento informações.

A Microsoft e/ou seus fornecedores não fazem nenhuma representação ou garantia sobre a adequação, confiabilidade ou precisão das informações contidas nos documentos e elementos gráficos relacionados publicados neste site (os "materiais") para qualquer finalidade. Os materiais podem incluir imprecisões técnicas ou erros tipográficos e podem ser revisados a qualquer momento sem aviso prévio.

Na extensão máxima permitida pela lei aplicável, a Microsoft e/ou seus fornecedores isentam e excluem todas as representações, garantias e condições expressas, implícitas ou estatutárias, incluindo, mas não se limitando a representações, garantias ou condições de título, não violação, condição ou qualidade satisfatórias, comercializabilidade e adequação a uma finalidade específica, com relação aos materiais.