Falha de autenticação de servidores não Windows NTLM ou Kerberos
Este artigo fornece uma solução para vários problemas de falha de autenticação nos quais os servidores NTLM e Kerberos não podem autenticar computadores baseados em Windows 7 e Windows Server 2008 R2. Isso é causado por diferenças na maneira como os Tokens de Associação de Canal são tratados.
Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 976918
Sintomas
O Windows 7 e o Windows Server 2008 R2 dão suporte à Proteção Estendida para Autenticação Integrada, que inclui suporte para o CBT (Token de Associação de Canal) por padrão.
Você pode experimentar um ou mais dos seguintes sintomas:
- Os clientes Windows que dão suporte à associação de canais não são autenticados por um servidor Kerberos que não é windows.
- Falhas de autenticação NTLM de servidores Proxy.
- Falhas de autenticação NTLM de servidores não Windows NTLM.
- Falhas de autenticação NTLM quando há uma diferença de tempo entre o cliente e o servidor dc ou do grupo de trabalho.
Motivo
O Windows 7 e o Windows Server 2008 R2 dão suporte à Proteção Estendida para Autenticação Integrada. Esse recurso aprimora a proteção e o tratamento de credenciais ao autenticar conexões de rede usando a IWA (Autenticação Integrada do Windows).
Isso é ON por padrão. Quando um cliente tenta se conectar a um servidor, a solicitação de autenticação é vinculada ao SPN (Nome da Entidade de Serviço) usado. Também quando a autenticação ocorre dentro de um canal TLS (Transport Layer Security), ela pode ser associada a esse canal. NTLM e Kerberos fornecem informações adicionais em suas mensagens para dar suporte a essa funcionalidade.
Além disso, computadores Windows 7 e Windows 2008 R2 desabilitam o LMv2.
Resolução
Para falhas em que servidores não Windows NTLM ou Kerberos estão falhando ao receber o CBT, marcar com o fornecedor para uma versão que lida com o CBT corretamente.
Para falhas em que servidores não Windows NTLM ou servidores proxy exigem LMv2, marcar com o fornecedor para uma versão compatível com NTLMv2.
Solução alternativa
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, consulte Como fazer backup e restaurar o registro no Windows .
Para controlar o comportamento de proteção estendida, crie a seguinte subchave de registro:
- Nome da chave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
- Nome do valor: SuppressExtendedProtection
- Tipo: DWORD
Para clientes Windows que dão suporte à associação de canais que não estão sendo autenticados por servidores Kerberos que não são do Windows que não lidam com o CBT corretamente:
- Defina o valor de entrada do registro como 0x01. Isso configurará Kerberos para não emitir tokens CBT para aplicativos não corrigidos.
- Se isso não resolve o problema, defina o valor de entrada do registro como 0x03. Isso configurará Kerberos para nunca emitir tokens CBT.
Observação
Há um problema conhecido com o Sun Java que foi resolvido para acomodar a opção de que o aceitor pode ignorar quaisquer associações de canal fornecidas pelo iniciador, retornando sucesso mesmo que o iniciador tenha passado as associações de canal de acordo com o RFC 4121. Para obter mais informações, confira ignorar a associação de canal de entrada se o aceitor não definir um.
Recomendamos instalar a seguinte atualização do site do Sun Java e habilitar novamente a proteção estendida: alterações em 1.6.0_19 (6u19).
Para clientes Windows que dão suporte à associação de canal que não estão sendo autenticados por servidores não Windows NTLM que não lidam com o CBT corretamente, defina o valor de entrada do registro como 0x01. Isso configurará o NTLM para não emitir tokens CBT para aplicativos não corrigidos.
Para servidores não Windows NTLM ou servidores proxy que exigem LMv2, defina como o valor de entrada do registro como 0x01. Isso configurará o NTLM para fornecer respostas LMv2.
Para o cenário em que a diferença de tempo é muito grande:
- Corrija o relógio do cliente para refletir a hora no controlador de domínio ou no servidor do grupo de trabalho.
- Se isso não resolve o problema, defina o valor de entrada do registro como 0x01. Isso configurará o NTLM para fornecer respostas LMv2 que não estão sujeitas a distorção de tempo.
O que é CBT (Token de Associação de Canal)?
O CbT (Token de Associação de Canal) faz parte da Proteção Estendida para Autenticação. O CBT é um mecanismo para associar um canal seguro do TLS externo à autenticação de canal interno, como Kerberos ou NTLM.
O CBT é uma propriedade do canal de segurança externo usado para associar a autenticação ao canal.
A proteção estendida é realizada pelo cliente que comunica o SPN e o CBT ao servidor de forma à prova de adulteração. O servidor valida as informações de proteção estendida de acordo com sua política e rejeita tentativas de autenticação para as quais não acredita ter sido o destino pretendido. Dessa forma, os dois canais se tornam conectados criptograficamente.
Agora há suporte para proteção estendida no Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.
Aviso de isenção
Artigos de publicação rápida fornecem informações diretamente de dentro da organização de suporte da Microsoft. As informações contidas aqui são criadas em resposta a tópicos emergentes ou exclusivos ou destinam-se a complementar outras informações base de dados de conhecimento.
A Microsoft e/ou seus fornecedores não fazem representações ou garantias sobre a adequação, confiabilidade ou precisão das informações contidas nos documentos e gráficos relacionados publicados neste site (os "materiais") para qualquer finalidade. Os materiais podem incluir imprecisões técnicas ou erros tipográficos e podem ser revisados a qualquer momento sem aviso prévio.
Na medida máxima permitida pela lei aplicável, a Microsoft e/ou seus fornecedores se isolam e excluem todas as representações, garantias e condições expressas, implícitas ou estatutárias, incluindo, mas não se limitando a representações, garantias ou condições de título, não violação, condição ou qualidade satisfatórias, comercializabilidade e aptidão para uma finalidade específica, com relação aos materiais.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários