Falha de autenticação de não - Windows NTLM ou Kerberos

Traduções deste artigo Traduções deste artigo
ID do artigo: 976918 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

ImportanteEste é um artigo de publicação rápido. Para obter mais informações, consulte a seção "Isenção de responsabilidade".

Este artigo fornece uma correção para vários problemas de falha de autenticação NTLM e Kerberos servidores não podem autenticar computadores baseados no Windows Server 2008 R2 e Windows 7. Isso é causado por diferenças na maneira que os Tokens de ligação de canal são alças. Para obter informações detalhadas, consulte "Sintomas," "Causa" e seções de "Resolução" deste artigo.

Para baixar a correção para esse problema, clique noDownloads do hotfix do modo de exibição e a solicitaçãolink que está localizado no canto superior esquerdo da tela.

Sintomas

Windows 7 e Windows Server 2008 R2 suportam estendido de proteção para a autenticação integrada que inclui suporte para canal de ligação Token (CBT) por padrão.

Você pode enfrentar um ou mais dos seguintes sintomas:
  1. Os clientes Windows que suporta a vinculação de canal não ser autenticado por um servidor Kerberos não - Windows.
  2. Falhas de autenticação NTLM de servidores Proxy.
  3. Falhas de autenticação NTLM de servidores não - Windows NTLM.
  4. Falhas de autenticação NTLM quando há uma diferença de tempo entre o cliente e servidor de controlador de domínio ou grupo de trabalho.

Causa

Windows 7 e Windows Server 2008 R2 suportam estendido de proteção para a autenticação integrada. Esse recurso melhora a proteção e a manipulação de credenciais ao autenticar conexões de rede usando autenticação integrada do Windows (IWA).

Isso está ativado por padrão. Quando um cliente tenta se conectar a um servidor, a solicitação de autenticação está vinculada para o serviço Principal SPN (nome) usado. Também quando a autenticação ocorre dentro de um canal TLS (Transport Layer Security), ele pode ser ligado a esse canal. NTLM e Kerberos fornecem informações adicionais nas suas mensagens de suporte a essa funcionalidade.

Além disso, os computadores Windows 7 e Windows 2008 R2 desativar LMv2.

Resolução

Para falhas onde não - Windows NTLM ou Kerberos servidores estão falhando ao receber CBT, verifique com o fornecedor para obter uma versão que manipula a CBT corretamente.

Para onde os servidores não - Windows NTLM ou servidores proxy exigem LMv2 de falhas, verifique com o fornecedor para obter uma versão que suporta o NTLMv2.

Como Contornar

ImportanteNesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows

Para controlar o comportamento de proteção estendida, crie a seguinte subchave do registro:
Nome da chave:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Nome do valor:SuppressExtendedProtection
Tipo:DWORD
Para clientes do Windows que suporta a vinculação de canal que estão falhando sejam autenticados por servidores de Kerberos não - Windows que controla a CBT corretamente:
  1. Definir o valor da entrada do registro para "0x01". Isso irá configurar o Kerberos para não emitir tokens CBT para aplicativos sem patch.
  2. Se isso não resolver o problema, em seguida, defina o valor da entrada do registro para "0x03". Isso irá configurar Kerberos nunca para emitir tokens CBT.

    ObservaçãoHá um problema conhecido com o Sun Java que foi abordado para acomodar a opção que o acceptor pode ignorar qualquer vinculações de canal fornecidas pelo iniciador, retornando êxito mesmo que o iniciador foi passada em ligações de canal de acordo com RFC 4121 (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973).

    Recomendamos que você instale a seguinte atualização a partir do site de Java da Sun e reabilitar a proteção estendida:
    http://Java.sun.com/javase/6/webnotes/6u19.HTML
Para clientes do Windows que suporta a vinculação de canal que estão falhando sejam autenticados por servidores não - Windows NTLM que lidam com a CBT corretamente:
  • Definir o valor da entrada do registro para "0x01". Isso irá configurar o NTLM não para emitir tokens CBT para aplicativos sem patch.
Para servidores não - Windows NTLM ou servidores proxy que exijam LMv2:
  • Definir o valor de entrada do registro para "0x01". Isso irá configurar o NTLM para fornecer respostas LMv2.
Para o cenário no qual a diferença de tempo for muito grande:
  1. Corrigi o relógio do cliente para refletir a hora no controlador de domínio ou servidor de grupo de trabalho.
  2. Se isso não resolver o problema, em seguida, defina o valor da entrada do registro para "0x01". Isso irá configurar o NTLM para fornecer respostas LMv2 que não estão sujeitos a diferença de horário.

Mais Informações

O que é CBT (Token de ligação do canal)?

Canal de ligação Token (CBT) é uma parte da proteção estendida para autenticação. CBT é um mecanismo para vincular um canal seguro externo do TLS para autenticação interna de canais, como o Kerberos ou NTLM.

CBT é uma propriedade do canal seguro externo usado para vincular a autenticação para o canal.

Proteção estendida é realizada pelo cliente comunicando o SPN e a CBT para o servidor de modo à prova de violação. O servidor valida as informações de proteção estendida de acordo com sua política e rejeita tentativas de autenticação para o qual ele não acredita que ele mesmo ter sido o destino pretendido. Dessa forma, os dois canais se tornam criptograficamente Coroados.

Proteção estendida agora é suportada no Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Para obter mais informações sobre proteção estendida para autenticação no Windows, visite o seguinte site da Microsoft:
Informações sobre a proteção estendida para autenticação no Windows

ISENÇÃO DE RESPONSABILIDADE

PUBLICAÇÃO RÁPIDA ARTIGOS FORNECEM INFORMAÇÕES DIRETAMENTE DE DENTRO DA ORGANIZAÇÃO DE SUPORTE DA MICROSOFT. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO CRIADAS EM RESPOSTA A EMERGENTES OU EXCLUSIVO TÓPICOS, OU É PRETENDIDO SUPLEMENTAR OUTRAS KNOWLEDGE BASE INFORMAÇÕES.

MICROSOFT E/OU SEUS FORNECEDORES NÃO OFERECEM QUALQUER GARANTIA OU GARANTIAS SOBRE A ADEQUAÇÃO, CONFIABILIDADE OU PRECISÃO DAS INFORMAÇÕES CONTINHAM EM DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE SITE ("MATERIAIS") PARA QUALQUER FINALIDADE. OS MATERIAIS PODEM INCLUIR IMPRECISÕES TÉCNICAS OU ERROS TIPOGRÁFICOS E PODEM SER REVISADOS A QUALQUER MOMENTO SEM AVISO PRÉVIO.

NA EXTENSÃO MÁXIMA PERMITIDA PELA APLICÁVEL LEI, MICROSOFT E/OU SEUS FORNECEDORES SE ISENTAM E EXCLUIR TODAS AS REPRESENTAÇÕES, GARANTIAS E CONDIÇÕES, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, INCLUINDO, MAS NÃO SE LIMITANDO A REPRESENTAÇÕES, GARANTIAS OU CONDIÇÕES DE TÍTULO, NÃO INFRAÇÃO, CONDIÇÕES SATISFATÓRIAS OU QUALIDADE, COMERCIALIZAÇÃO E ADEQUAÇÃO A UMA FINALIDADE ESPECÍFICA, COM RELAÇÃO AOS MATERIAIS.

Propriedades

ID do artigo: 976918 - Última revisão: sábado, 12 de fevereiro de 2011 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palavras-chave: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 976918

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com