Falha de autenticação de servidores não Windows NTLM ou Kerberos

Este artigo fornece uma solução para vários problemas de falha de autenticação nos quais os servidores NTLM e Kerberos não podem autenticar computadores baseados em Windows 7 e Windows Server 2008 R2. Isso é causado por diferenças na maneira como os Tokens de Associação de Canal são tratados.

Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 976918

Sintomas

O Windows 7 e o Windows Server 2008 R2 dão suporte à Proteção Estendida para Autenticação Integrada, que inclui suporte para o CBT (Token de Associação de Canal) por padrão.

Você pode experimentar um ou mais dos seguintes sintomas:

• Os clientes Windows que dão suporte à associação de canais não são autenticados por um servidor Kerberos que não é windows.
• Falhas de autenticação NTLM de servidores Proxy.
• Falhas de autenticação NTLM de servidores não Windows NTLM.
• Falhas de autenticação NTLM quando há uma diferença de tempo entre o cliente e o servidor dc ou do grupo de trabalho.

Motivo

O Windows 7 e o Windows Server 2008 R2 dão suporte à Proteção Estendida para Autenticação Integrada. Esse recurso aprimora a proteção e o tratamento de credenciais ao autenticar conexões de rede usando a IWA (Autenticação Integrada do Windows).

Isso é ON por padrão. Quando um cliente tenta se conectar a um servidor, a solicitação de autenticação é vinculada ao SPN (Nome da Entidade de Serviço) usado. Também quando a autenticação ocorre dentro de um canal TLS (Transport Layer Security), ela pode ser associada a esse canal. NTLM e Kerberos fornecem informações adicionais em suas mensagens para dar suporte a essa funcionalidade.

Além disso, computadores Windows 7 e Windows 2008 R2 desabilitam o LMv2.

Resolução

Para falhas em que servidores não Windows NTLM ou Kerberos estão falhando ao receber o CBT, marcar com o fornecedor para uma versão que lida com o CBT corretamente.

Para falhas em que servidores não Windows NTLM ou servidores proxy exigem LMv2, marcar com o fornecedor para uma versão compatível com NTLMv2.

Solução alternativa

Para controlar o comportamento de proteção estendida, crie a seguinte subchave de registro:

• Nome da chave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
• Nome do valor: SuppressExtendedProtection
• Tipo: DWORD

Para clientes Windows que dão suporte à associação de canais que não estão sendo autenticados por servidores Kerberos que não são do Windows que não lidam com o CBT corretamente:

1. Defina o valor de entrada do registro como 0x01. Isso configurará Kerberos para não emitir tokens CBT para aplicativos não corrigidos.
2. Se isso não resolve o problema, defina o valor de entrada do registro como 0x03. Isso configurará Kerberos para nunca emitir tokens CBT.

Recomendamos instalar a seguinte atualização do site do Sun Java e habilitar novamente a proteção estendida: alterações em 1.6.0_19 (6u19).

Para clientes Windows que dão suporte à associação de canal que não estão sendo autenticados por servidores não Windows NTLM que não lidam com o CBT corretamente, defina o valor de entrada do registro como 0x01. Isso configurará o NTLM para não emitir tokens CBT para aplicativos não corrigidos.

Para servidores não Windows NTLM ou servidores proxy que exigem LMv2, defina como o valor de entrada do registro como 0x01. Isso configurará o NTLM para fornecer respostas LMv2.

Para o cenário em que a diferença de tempo é muito grande:

1. Corrija o relógio do cliente para refletir a hora no controlador de domínio ou no servidor do grupo de trabalho.
2. Se isso não resolve o problema, defina o valor de entrada do registro como 0x01. Isso configurará o NTLM para fornecer respostas LMv2 que não estão sujeitas a distorção de tempo.

O que é CBT (Token de Associação de Canal)?

O CbT (Token de Associação de Canal) faz parte da Proteção Estendida para Autenticação. O CBT é um mecanismo para associar um canal seguro do TLS externo à autenticação de canal interno, como Kerberos ou NTLM.

O CBT é uma propriedade do canal de segurança externo usado para associar a autenticação ao canal.

A proteção estendida é realizada pelo cliente que comunica o SPN e o CBT ao servidor de forma à prova de adulteração. O servidor valida as informações de proteção estendida de acordo com sua política e rejeita tentativas de autenticação para as quais não acredita ter sido o destino pretendido. Dessa forma, os dois canais se tornam conectados criptograficamente.

Agora há suporte para proteção estendida no Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Aviso de isenção

Artigos de publicação rápida fornecem informações diretamente de dentro da organização de suporte da Microsoft. As informações contidas aqui são criadas em resposta a tópicos emergentes ou exclusivos ou destinam-se a complementar outras informações base de dados de conhecimento.

A Microsoft e/ou seus fornecedores não fazem representações ou garantias sobre a adequação, confiabilidade ou precisão das informações contidas nos documentos e gráficos relacionados publicados neste site (os "materiais") para qualquer finalidade. Os materiais podem incluir imprecisões técnicas ou erros tipográficos e podem ser revisados a qualquer momento sem aviso prévio.

Na medida máxima permitida pela lei aplicável, a Microsoft e/ou seus fornecedores se isolam e excluem todas as representações, garantias e condições expressas, implícitas ou estatutárias, incluindo, mas não se limitando a representações, garantias ou condições de título, não violação, condição ou qualidade satisfatórias, comercializabilidade e aptidão para uma finalidade específica, com relação aos materiais.