Falha de autenticação de servidores não Windows NTLM ou Kerberos
Este artigo fornece uma solução para vários problemas de falha de autenticação nos quais os servidores NTLM e Kerberos não podem autenticar computadores baseados em Windows 7 e Windows Server 2008 R2. Isso é causado por diferenças na maneira como os Tokens de Associação de Canal são identificadores.
Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Número KB original: 976918
Sintomas
O Windows 7 e o Windows Server 2008 R2 dão suporte à Proteção Estendida para Autenticação Integrada que inclui suporte para CBT (Token de Associação de Canal) por padrão.
Você pode experimentar um ou mais dos seguintes sintomas:
- Os clientes windows que dão suporte à associação de canal não podem ser autenticados por um servidor Kerberos não Windows.
- Falhas de autenticação NTLM de servidores proxy.
- Falhas de autenticação NTLM de servidores NTLM não Windows.
- Falhas de autenticação NTLM quando há uma diferença de tempo entre o cliente e o servidor dc ou de grupo de trabalho.
Motivo
O Windows 7 e o Windows Server 2008 R2 dão suporte à Proteção Estendida para Autenticação Integrada. Esse recurso aprimora a proteção e o tratamento de credenciais ao autenticar conexões de rede usando a Autenticação Integrada do Windows (IWA).
Isso é ON por padrão. Quando um cliente tenta se conectar a um servidor, a solicitação de autenticação é associada ao SPN (Nome da Entidade de Serviço) usado. Além disso, quando a autenticação ocorre dentro de um canal TLS (Transport Layer Security), ela pode ser associada a esse canal. NTLM e Kerberos fornecem informações adicionais em suas mensagens para dar suporte a essa funcionalidade.
Além disso, os computadores Windows 7 e Windows 2008 R2 desabilitam o LMv2.
Resolução
Para falhas em que servidores não Windows NTLM ou Kerberos estão falhando ao receber CBT, verifique com o fornecedor se há uma versão que manipula o CBT corretamente.
Para falhas em que servidores NTLM não Windows ou servidores proxy exigem LMv2, verifique com o fornecedor se há uma versão compatível com NTLMv2.
Solução alternativa
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, consulte Como fazer backup e restaurar o registro no Windows .
Para controlar o comportamento de proteção estendida, crie a seguinte subchave do Registro:
- Nome da chave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
- Nome do valor: SuppressExtendedProtection
- Tipo: DWORD
Para clientes Windows que dão suporte à associação de canal que não estão sendo autenticados por servidores Kerberos não Windows que não manipulam o CBT corretamente:
- Defina o valor de entrada do Registro como 0x01. Isso configurará o Kerberos para não emitir tokens CBT para aplicativos sem patch.
- Se isso não resolver o problema, defina o valor de entrada do Registro como 0x03. Isso configurará o Kerberos para nunca emitir tokens CBT.
Observação
Há um problema conhecido com o Sun Java que foi resolvido para acomodar a opção de que o aceitador pode ignorar as associações de canal fornecidas pelo iniciador, retornando êxito mesmo que o iniciador tenha passado associações de canal de acordo com o RFC 4121. Para obter mais informações, consulte ignorar a associação de canal de entrada se o aceitador não definir um.
Recomendamos que você instale a seguinte atualização do site Do Sun Java e habilite novamente a proteção estendida: Alterações na versão 1.6.0_19 (6u19).
Para clientes windows que dão suporte à associação de canal que não estão sendo autenticados por servidores NTLM não Windows que não manipulam o CBT corretamente, defina o valor de entrada do Registro como 0x01. Isso configurará o NTLM para não emitir tokens CBT para aplicativos sem patch.
Para servidores NTLM não Windows ou servidores proxy que exigem LMv2, defina como o valor de entrada do Registro como 0x01. Isso configurará o NTLM para fornecer respostas LMv2.
Para o cenário em que a diferença de tempo é muito grande:
- Corrija o relógio do cliente para refletir a hora no controlador de domínio ou no servidor do grupo de trabalho.
- Se isso não resolver o problema, defina o valor de entrada do Registro como 0x01. Isso configurará o NTLM para fornecer respostas LMv2 que não estão sujeitas à distorção de tempo.
O que é CBT (Token de Associação de Canal)?
O CBT (Token de Associação de Canal) faz parte da Proteção Estendida para Autenticação. O CBT é um mecanismo para associar um canal seguro TLS externo à autenticação de canal interno, como Kerberos ou NTLM.
CBT é uma propriedade do canal seguro externo usado para associar a autenticação ao canal.
A proteção estendida é realizada pelo cliente comunicando o SPN e o CBT para o servidor de maneira à prova de adulterações. O servidor valida as informações de proteção estendida de acordo com sua política e rejeita as tentativas de autenticação para as quais ele não acredita ter sido o destino pretendido. Dessa forma, os dois canais se tornam vinculados criptograficamente.
Agora há suporte para proteção estendida no Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.
Aviso de isenção
Artigos de publicação rápida fornecem informações diretamente de dentro da organização de suporte da Microsoft. As informações contidas aqui são criadas em resposta a tópicos emergentes ou exclusivos ou se destinam a complementar outras base de dados de conhecimento informações.
A Microsoft e/ou seus fornecedores não fazem nenhuma representação ou garantia sobre a adequação, confiabilidade ou precisão das informações contidas nos documentos e elementos gráficos relacionados publicados neste site (os "materiais") para qualquer finalidade. Os materiais podem incluir imprecisões técnicas ou erros tipográficos e podem ser revisados a qualquer momento sem aviso prévio.
Na extensão máxima permitida pela lei aplicável, a Microsoft e/ou seus fornecedores isentam e excluem todas as representações, garantias e condições expressas, implícitas ou estatutárias, incluindo, mas não se limitando a representações, garantias ou condições de título, não violação, condição ou qualidade satisfatórias, comercializabilidade e adequação a uma finalidade específica, com relação aos materiais.
Comentários
https://aka.ms/ContentUserFeedback.
Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see:Submeter e ver comentários