Ошибка при проверке подлинности Windows NTLM или Kerberos серверов

Переводы статьи Переводы статьи
Код статьи: 976918 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Важные Это быстрой публикации статьи. Для получения дополнительных сведений обратитесь к разделу «Отказ».

В данной статье рассматривается исправление, несколько проблем сбой проверки подлинности, в котором NTLM и Kerberos серверов не удается проверить подлинность компьютеров под управлением Windows Server 2008 R2 и Windows 7. Причиной различий в способе, что маркеры привязки канала являются маркерами. Подробные сведения содержатся в разделе «Проблема,» «Причина» и раздела «Решение» этой статьи.

Чтобы загрузить исправление, устраняющее эту проблему, нажмите кнопку Загрузка исправления представления или запроса ссылки, расположенной в левом верхнем углу экрана.

Проблема

Windows 7 и Windows Server 2008 R2 поддерживают расширенную защиту для встроенной проверки подлинности, который включает поддержку для канала привязка маркеров (Поставщиков) по умолчанию.

Могут возникнуть одно или несколько из следующих симптомов:
  1. Клиенты Windows, которые поддерживают привязку канала не проходить проверку подлинности Kerberos, отличных от Windows server.
  2. Ошибки проверки подлинности NTLM с прокси-сервера.
  3. Ошибки проверки подлинности NTLM от серверов Windows NTLM.
  4. Ошибки проверки подлинности NTLM, не существует разница во времени между клиентом и сервером контроллеров Домена или рабочей группы.

Причина

Windows 7 и Windows Server 2008 R2 поддерживают расширенную защиту для проверки подлинности. Эта функция улучшает защиту и обработку учетных данных при проверке подлинности сетевых подключений с использованием встроенной проверки подлинности Windows (IWA).

По умолчанию равно ON. Когда клиент пытается подключиться к серверу, запрос проверки подлинности привязан к основное имя службы (SPN) используется. Также при проверки подлинности происходит внутри канала Transport Layer Security (TLS), его можно привязать к этому каналу. NTLM и Kerberos предоставляют дополнительную информацию в своих сообщений для поддержки этой функции.

Кроме того компьютеры Windows 7 и Windows 2008 R2 отключить LMv2.

Решение

Для ошибок, где сбои Windows NTLM или Kerberos серверов при получении Поставщиков, обратитесь к изготовителю для версии, которая правильно обрабатывает Поставщиков.

Для ошибок, где серверы Windows NTLM или прокси-серверы требуют LMv2 обратитесь к изготовителю для версии, которая поддерживает NTLMv2.

Временное решение

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows

Для управления поведением расширенную защиту, создайте следующий раздел реестра:
Имя раздела: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Имя параметра: SuppressExtendedProtection
Тип: DWORD
Для клиентов Windows, которые поддерживают привязку каналов, которые не могут проходить проверку подлинности на серверах Windows Kerberos, Которая неправильно обрабатывает:
  1. Значение записи реестра позволяет «0x01.» Это настроит Kerberos не для выдачи маркеров Которая подвергается приложений.
  2. Если это не устраняет неполадку, задайте значение записи реестра «0x03.» Это настроит никогда не для выдачи маркеров Поставщиков проверки подлинности Kerberos.

    Примечание Есть ли проблемы с Sun Java, который уже исправлена в соответствии с параметром, acceptor может игнорировать любые канала привязок предоставленных инициатором, возвращение успех даже в том случае, если инициатор был передан в привязках канал в соответствии с RFC 4121 (http://Bugs.Sun.com/bugdatabase/view_bug.Do?bug_id=6851973).

    Корпорация Майкрософт рекомендует установить следующие обновления с узла Sun Java и снова включить расширенную защиту.
    http://Java.Sun.com/javase/6/webnotes/6u19.HTML
Для клиентов Windows, которые поддерживают привязку каналов, которые не могут проходить проверку подлинности на серверах Windows NTLM, Которая неправильно обрабатывает:
  • Значение записи реестра позволяет «0x01.» Это настроит NTLM не для выдачи маркеров Которая подвергается приложений.
Серверы Windows NTLM или прокси-серверов, требующих LMv2:
  • Значение записи реестра для «0x01.» Это настроит NTLM для предоставления ответов LMv2.
Для сценария, в котором разница во времени слишком большой:
  1. Исправьте часов клиента с учетом времени на контроллере домена или рабочей группы серверов.
  2. Если это не устраняет неполадку, задайте значение записи реестра «0x01.» Это настроит NTLM для предоставления ответов LMv2, которые могут не быть времени наклона.

Дополнительная информация

Что такое Поставщиков (канал привязок лексем)?

Канал привязка маркеров (Поставщиков) является частью расширенную защиту для проверки подлинности. Которая представляет собой механизм привязать внешнюю безопасный канал TLS внутренних каналов проверки подлинности Kerberos или NTLM.

Поставщиков является свойством внешнего безопасного канала, используемого для связывания проверки подлинности в канал.

Расширенная защита осуществляется с клиента, имя участника-службы и Поставщиков на сервер в виде обезопасьте. Сервер проверяет расширенной защиты информации в соответствии с его политикой и отвергает попытки проверки подлинности, для которых он не верит сам были своей цели. Таким образом, два канала становятся криптографически связаны друг с другом.

Расширенная защита теперь поддерживается в Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008.

Для получения дополнительных сведений о расширенной защиты проверки подлинности в Windows посетите следующий веб-узел корпорации Майкрософт:

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ

БЫСТРАЯ ПУБЛИКАЦИЯ ДАННЫХ СОДЕРЖАТСЯ СВЕДЕНИЯ НЕПОСРЕДСТВЕННО В СЛУЖБУ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ МАЙКРОСОФТ ОРГАНИЗАЦИИ. СВЕДЕНИЯ, СОДЕРЖАЩИЕСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ СОЗДАЕТСЯ В ОТВЕТ НА НОВЫХ ИЛИ УНИКАЛЬНЫЙ РАЗДЕЛЫ, ИЛИ ПРЕДНАЗНАЧЕНА ДОПОЛНЕНИЯ ДРУГИХ ЗНАНИЙ СВЕДЕНИЯ.

MICROSOFT И/ИЛИ ЕЕ ПОСТАВЩИКИ НЕ ДЕЛАТЬ ПРЕДСТАВЛЕНИЯ ИЛИ ГАРАНТИЙ О ПРИГОДНОСТИ, НАДЕЖНОСТЬ И ТОЧНОСТЬ ИНФОРМАЦИИ СОДЕРЖАТСЯ В ДОКУМЕНТЫ И СВЯЗАННЫХ РИСУНКОВ ПУБЛИКАЦИИ НА ЭТОМ ВЕБ-САЙТЕ (ДАЛЕЕ "МАТЕРИАЛЫ") ДЛЯ ЛЮБЫХ ЦЕЛЕЙ. МАТЕРИАЛЫ МОГУТ СОДЕРЖАТЬ ТЕХНИЧЕСКИЕ НЕТОЧНОСТИ ИЛИ ОПЕЧАТОК И МОЖЕТ БЫТЬ ИЗМЕНЕН В ЛЮБОЕ ВРЕМЯ БЕЗ ПРЕДВАРИТЕЛЬНОГО УВЕДОМЛЕНИЯ.

В МАКСИМАЛЬНОЙ СТЕПЕНИ, ДОПУСКАЕМОЙ ПРИМЕНИМО ЗАКОНОДАТЕЛЬСТВОМ, КОРПОРАЦИЯ МАЙКРОСОФТ ИЛИ ЕЕ ПОСТАВЩИКИ DISCLAIM И ИСКЛЮЧИТЬ ВСЕ ПРЕДСТАВЛЕНИЯ ГАРАНТИЙ И УСЛОВИЙ ЛИ EXPRESS, КОСВЕННЫХ ИЛИ УСТАНОВЛЕННЫХ ЗАКОНОМ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЕТСЯ, ГАРАНТИЙ, УСЛОВИЙ ИЛИ ЗАГОЛОВКА, ОТЛИЧНЫХ ОТ КОНТРАФАКЦИИ, ИСПРАВИВ ОШИБКУ ИЛИ КАЧЕСТВА, ЛЮБЫЕ ГАРАНТИИ ТОВАРНОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ, ОТНОСЯЩИЕСЯ К МАТЕРИАЛАМ.

Свойства

Код статьи: 976918 - Последний отзыв: 19 июня 2011 г. - Revision: 7.0
Информация в данной статье относится к следующим продуктам.
  • Windows 7 Корпоративная
  • Windows 7 Домашняя базовая
  • Windows 7 Домашняя расширенная
  • Windows 7 Профессиональная
  • Windows 7 Начальная
  • Windows 7 Максимальная
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Ключевые слова: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:976918

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com