ความล้มเหลวในการรับรองความถูกต้องจาก - Windows NTLM หรือเซิร์ฟเวอร์ Kerberos

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 976918 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

สิ่งสำคัญนี่คือบทความเผยแพร่ที่รวดเร็ว สำหรับข้อมูลเพิ่มเติม โปรดดูส่วน "ปฏิเสธ"

บทความนี้แสดงวิธีการแก้ไขสำหรับปัญหาความล้มเหลวรับรองความถูกต้องต่าง ๆ ใน NTLM และ Kerberos ที่เซิร์ฟเวอร์ไม่สามารถตรวจสอบ Windows 7 และคอมพิวเตอร์ที่ใช้ Windows Server 2008 R2 ซึ่งมีสาเหตุจากความแตกต่างในลักษณะที่ว่า โทเค็นการผูกสถานีถูกจับ สำหรับข้อมูลเพิ่มเติม ให้ดู "อาการ"ทำให้ และส่วน "การแก้ปัญหา" ของบทความนี้

เมื่อต้องดาวน์โหลดโปรแกรมแก้ไขสำหรับปัญหานี้ คลิกดาวน์โหลดโปรแกรมแก้ไขด่วนที่มุมมองและการร้องขอการเชื่อมโยงที่อยู่ในมุมบนซ้ายของหน้าจอ

อาการ

Windows 7 และ Windows Server 2008 R2 สนับสนุนขยายการป้องกันสำหรับการรับรองความถูกต้องแบบรวมที่รวมการสนับสนุนสำหรับสถานีผูก Token (CBT) ตามค่าเริ่มต้น

คุณอาจพบอาการต่อไปนี้อย่างน้อยหนึ่งอย่าง:
  1. ไคลเอ็นต์ของ Windows ที่สนับสนุนการผูกข้อมูลช่องสัญญาณการมีการรับรองความถูกต้อง โดยเซิร์ฟเวอร์ - Windows Kerberos ล้มเหลว
  2. NTLM ล้มเหลวของการรับรองความถูกต้องจากพร็อกซีเซิร์ฟเวอร์
  3. NTLM ล้มเหลวของการรับรองความถูกต้องจากเซิร์ฟเวอร์ - Windows NTLM
  4. ความล้ม NTLM พิสูจน์ตัวจริงของเหลวเมื่อมีความแตกต่างของเวลาระหว่างไคลเอนต์และเซิร์ฟเวอร์ DC หรือเวิร์กกรุ๊ป

สาเหตุ

Windows 7 และ Windows Server 2008 R2 สนับสนุนขยายการป้องกันสำหรับการรับรองความถูกต้องแบบครบวงจร คุณลักษณะนี้เพิ่มการป้องกันและการจัดการข้อมูลประจำตัวเมื่อมีการเชื่อมต่อเครือข่ายที่ใช้การพิสูจน์ตัวจริงของ Windows แบบรวม (IWA) การรับรองความถูกต้อง

นี่คือเป็นค่าเริ่มต้น เมื่อไคลเอนต์พยายามเชื่อมต่อไปยังเซิร์ฟเวอร์ การร้องขอการรับรองความถูกต้องถูกผูกไว้ไปที่บริการหลักชื่อ (SPN) ใช้ นอกจากนี้ เมื่อมีการรับรองความถูกต้องที่เกิดภายในสถานีขนส่งเลเยอร์ความปลอดภัย (TLS) นั้นสามารถถูกผูกกับสถานีนั้น NTLM และ Kerberos ให้ข้อมูลเพิ่มเติมในข้อความของตนเองเพื่อสนับสนุนฟังก์ชันการทำงานนี้

นอกจากนี้ คอมพิวเตอร์ Windows 7 และ Windows 2008 R2 ปิด LMv2

การแก้ไข

สำหรับความล้มเหลวในการที่ไม่ใช่ Windows NTLM หรือเซิร์ฟเวอร์ Kerberos จะล้มเหลวเมื่อรับ CBT ตรวจสอบกับผู้จัดจำหน่ายสำหรับรุ่นซึ่งจัดการ CBT ได้อย่างถูกต้อง

สำหรับความล้มเหลวในการที่ไม่ใช่ Windows NTLM เซิร์ฟเวอร์หรือพร็อกซีเซิร์ฟเวอร์ต้อง LMv2 ตรวจสอบกับผู้จัดจำหน่ายสำหรับรุ่นที่สนับสนุน NTLMv2

การหลีกเลี่ยงปัญหา

สิ่งสำคัญนี้ส่วน วิธีการ หรืองานประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ให้แน่ใจว่า คุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม สำรองรีจิสทรีก่อนที่จะแก้ไข แล้ว คุณสามารถคืนค่ารีจิสทรีหากเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรอง และคืนค่ารีจิสทรี คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756วิธีการสำรอง และคืนค่ารีจิสทรีใน Windows

เมื่อต้องการควบคุมลักษณะการทำงานของการป้องกันแบบขยาย สร้างคีย์ย่อยของรีจิสทรีต่อไปนี้:
ชื่อคีย์:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
ชื่อค่า:SuppressExtendedProtection
ชนิด:DWORD
สำหรับเครื่องไคลเอนต์ Windows ที่สนับสนุนรวมสถานีที่ไม่มีการรับรองความถูกต้อง - Windows Kerberos เซิร์ฟเวอร์ที่ไม่ต้องจัดการ CBT ถูกต้อง:
  1. ตั้งค่ารายการรีจิสทรีเพื่อ "0x01" ซึ่งจะกำหนดค่า Kerberos ไม่ให้ emit โทเค็น CBT สำหรับโปรแกรมประยุกต์ unpatched
  2. หากที่ไม่สามารถแก้ปัญหา แล้วตั้งค่ารายการรีจิสทรีเพื่อ "0x03" ซึ่งจะกำหนดค่า Kerberos ไม่เคยไป emit โทเค็นของ CBT

    หมายเหตุไม่มีปัญหาที่ทราบ ด้วย Sun Java ซึ่งมีระบุเพื่อรองรับตัวเลือกที่ acceptor ที่อาจละเว้นใด ๆ สถานีรวมมาจากการเริ่มต้นที่ กลับความสำเร็จแม้ว่าจะเริ่มต้นที่ไม่ผ่านในการผูกสถานีต่อ(RFC 4121http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973).

    เราขอแนะนำให้ คุณติดตั้งการปรับปรุงต่อไปนี้จากไซต์ Sun Java และเปิดใช้งานการป้องกันเพิ่มเติม:
    http://java.sun.com/javase/6/webnotes/6u19.html
สำหรับเครื่องไคลเอนต์ Windows ที่สนับสนุนรวมสถานีที่ไม่มีการรับรองความถูกต้อง - Windows NTLM เซิร์ฟเวอร์ที่ไม่ต้องจัดการ CBT ถูกต้อง:
  • ตั้งค่ารายการรีจิสทรีเพื่อ "0x01" ซึ่งจะกำหนดค่าแบบ NTLM ไม่ให้ emit โทเค็น CBT สำหรับโปรแกรมประยุกต์ unpatched
สำหรับเซิร์ฟเวอร์ - Windows NTLM หรือพร็อกซีเซิร์ฟเวอร์ที่ต้องใช้ LMv2:
  • ตั้งค่ารายการรีจิสทรีเพื่อ "0x01" ซึ่งจะกำหนดค่า NTLM เพื่อให้ตอบสนอง LMv2
สำหรับสถานการณ์สมมติแตกต่างของเวลาเป็นยอดเยี่ยมมากเกินไป:
  1. แก้ไขนาฬิกาของไคลเอนต์เพื่อให้สะท้อนถึงเวลาบนตัวควบคุมโดเมนหรือ workgroup เซิร์ฟเวอร์
  2. หากที่ไม่สามารถแก้ปัญหา แล้วตั้งค่ารายการรีจิสทรีเพื่อ "0x01" ซึ่งจะกำหนดค่า NTLM เพื่อให้การตอบสนองของ LMv2 ที่ไม่ขึ้นอยู่กับเวลา skew

ข้อมูลเพิ่มเติม

CBT (สถานีผูก Token) คืออะไร

สถานีผูก Token (CBT) เป็นส่วนหนึ่งของขยายการป้องกันสำหรับการรับรองความถูกต้อง CBT มีกลไกในการผูกจากช่องปลอดภัย TLS ภายนอกเพื่อการรับรองความถูกต้องของข้อมูลภายในสถานีเช่น Kerberos หรือ NTLM

CBT คือ คุณสมบัติของสถานีมีความปลอดภัยภายนอกที่ใช้ในการผูกการรับรองความถูกต้องไปยังสถานี

การป้องกันเพิ่มเติมได้ โดยการไคลเอ็นต์ติดต่อสื่อสาร SPN และ CBT ไปยังเซิร์ฟเวอร์ใน tamperproof ที่ต้องการ เซิร์ฟเวอร์ตรวจสอบข้อมูลการป้องกันเพิ่มเติมที่สอดคล้องกับนโยบายของ และไม่ยอมรับการรับรองความถูกต้องความพยายามในการที่จะไม่เชื่อตัวเองไปยังเป้าหมายที่ตั้งใจได้ ด้วยวิธีนี้ สถานีที่สองกลายเป็น cryptographically ผูกไว้ด้วยกัน

การป้องกันเพิ่มเติมในขณะนี้ได้รับการสนับสนุนใน Windows XP, Windows Vista, Windows Server 2003 และ Windows Server 2008

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องใน Windows แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

ปฏิเสธความรับผิด

รวดเร็วในการประกาศบทความต่าง ๆ ให้ข้อมูลโดยตรงจากภายในฝ่ายสนับสนุนของ MICROSOFT องค์กร รายละเอียดที่มีอยู่ซึ่งถูกสร้างขึ้นในการตอบสนองเป็น EMERGING หรือเฉพาะหัวข้อ หรือ INTENDED ภาคผนวกฐานความรู้ข้อมูลอื่น ๆ

MICROSOFT และ/หรือการยืนยันการไม่มีการทำให้ซัพพลายเออร์ หรือรับประกันใด ๆ เกี่ยวกับความ ความน่าเชื่อถือ หรือความถูกต้องของข้อมูลที่มีอยู่ในการเผยแพร่เอกสารและรูปภาพที่เกี่ยวข้องไว้บนเว็บไซต์นี้ ("วัสดุ") สำหรับวัตถุประสงค์ใด วัสดุอาจรวม INACCURACIES ทางเทคนิคหรือข้อผิดพลาด TYPOGRAPHICAL และอาจแก้ไขได้ตลอดเวลาโดยไม่ต้องแจ้งล่วงหน้า

ไปยังขอบข่ายสูงสุดที่ได้รับอนุญาต โดยใช้กฎหมาย MICROSOFT และ/หรือซัพพลายเออร์ของ DISCLAIM และรวมทั้งหมดแสดง การรับประกัน และเงื่อนไขว่า EXPRESS ทั้งโดยนัย หรือ อ้อม รวมถึงแต่ไม่จำกัดเฉพาะการแสดง การรับประกัน หรือเงื่อนไขของชื่อเรื่อง ไม่ใช่ละเมิดสัญญา เงื่อนไขที่น่าพอใจ หรือคุณภาพ สามารถเชิงพาณิชย์ และความเหมาะสมสำหรับวัตถุประสงค์เฉพาะ เกี่ยวข้องกับวัสดุ

คุณสมบัติ

หมายเลขบทความ (Article ID): 976918 - รีวิวครั้งสุดท้าย: 12 กุมภาพันธ์ 2554 - Revision: 3.0
ใช้กับ
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Keywords: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:976918

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com