Windows NTLM veya Kerberos olmayan sunuculardan kimlik doğrulama hatası

Bu makale, NTLM ve Kerberos sunucularının Windows 7 ve Windows Server 2008 R2 tabanlı bilgisayarların kimliğini doğrulayamamasına neden olan çeşitli kimlik doğrulama hatası sorunlarına çözüm sağlar. Bunun nedeni, Kanal Bağlama Belirteçlerinin işlenme şeklindeki farklılıklardır.

Şunlar için geçerlidir: Windows 7 Service Pack 1, Windows Server 2012 R2
Özgün KB numarası: 976918

Belirtiler

Windows 7 ve Windows Server 2008 R2, Varsayılan olarak Kanal Bağlama Belirteci (CBT) desteği içeren Tümleşik Kimlik Doğrulaması için Genişletilmiş Koruma'ya sahiptir.

Aşağıdaki belirtilerden biriyle veya daha fazlası ile karşılaşabilirsiniz:

  • Kanal bağlamayı destekleyen Windows istemcileri, Windows olmayan bir Kerberos sunucusu tarafından doğrulanamaz.
  • Ara sunuculardan NTLM kimlik doğrulama hataları.
  • Windows NTLM olmayan sunuculardan NTLM kimlik doğrulama hataları.
  • İstemci ile DC veya çalışma grubu sunucusu arasında zaman farkı olduğunda NTLM kimlik doğrulama hataları.

Neden

Windows 7 ve Windows Server 2008 R2, Tümleşik Kimlik Doğrulaması için Genişletilmiş Koruma'ya destek sağlar. Bu özellik, Tümleşik Windows Kimlik Doğrulaması (IWA) kullanarak ağ bağlantılarının kimliğini doğrularken kimlik bilgilerinin korunmasını ve işlenmesini geliştirir.

Bu, varsayılan olarak ON'dır. İstemci bir sunucuya bağlanmayı denediğinde, kimlik doğrulama isteği kullanılan Hizmet Asıl Adı'na (SPN) bağlıdır. Ayrıca, kimlik doğrulaması bir Aktarım Katmanı Güvenliği (TLS) kanalında gerçekleştiğinde bu kanala bağlanabilir. NTLM ve Kerberos, bu işlevselliği desteklemek için iletilerinde ek bilgiler sağlar.

Ayrıca, Windows 7 ve Windows 2008 R2 bilgisayarları LMv2'yi devre dışı bırakır.

Çözüm

CBT alırken Windows NTLM veya Kerberos olmayan sunucuların başarısız olduğu hatalar için, CBT'yi doğru işleyen bir sürüm için satıcıya başvurun.

Windows NTLM olmayan sunucuların veya ara sunucuların LMv2 gerektirdiği hatalar için, NTLMv2'yi destekleyen bir sürüm için satıcıya başvurun.

Geçici Çözüm

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'da kayıt defterini yedekleme ve geri yükleme .

Genişletilmiş koruma davranışını denetlemek için aşağıdaki kayıt defteri alt anahtarını oluşturun:

  • Anahtar adı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • Değer adı: SuppressExtendedProtection
  • Şunu yazın: DWORD

CBT'yi doğru işlemeyen Windows dışı Kerberos sunucuları tarafından kimliği doğrulanamayan kanal bağlamasını destekleyen Windows istemcileri için:

  1. Kayıt defteri giriş değerini 0x01 olarak ayarlayın. Bu, Kerberos'un eşleşmeyen uygulamalar için CBT belirteçleri yaymaması için yapılandırılır.
  2. Bu işlem sorunu çözmezse kayıt defteri giriş değerini 0x03 olarak ayarlayın. Bu, Kerberos'un CBT belirteçlerini hiçbir zaman yaymayacak şekilde yapılandırılmasını sağlar.

Not

Sun Java'da, kabul edenin başlatıcı tarafından sağlanan kanal bağlamalarını yoksayabileceği ve başlatıcının RFC 4121'e göre kanal bağlamalarını geçirse bile başarılı döndürebileceği seçeneğine uyum sağlamak için giderilen bilinen bir sorun vardır. Daha fazla bilgi için bkz. Kabul eden ayarlamıyorsa gelen kanal bağlamasını yoksayma.

Sun Java sitesinden aşağıdaki güncelleştirmeyi yüklemenizi ve genişletilmiş korumayı yeniden etkinleştirmenizi öneririz: 1.6.0_19 (6u19) içindeki değişiklikler.

CBT'yi doğru şekilde işlemeyen Windows ntlm olmayan sunucular tarafından kimlik doğrulaması yapamayan kanal bağlamasını destekleyen Windows istemcileri için kayıt defteri giriş değerini 0x01 olarak ayarlayın. Bu, NTLM'yi eşleşmeyen uygulamalar için CBT belirteçleri yaymayacak şekilde yapılandıracaktır.

Windows NTLM olmayan sunucular veya LMv2 gerektiren ara sunucular için kayıt defteri giriş değerini 0x01 olarak ayarlayın. Bu, NTLM'yi LMv2 yanıtları sağlayacak şekilde yapılandıracaktır.

Zaman farkının çok büyük olduğu senaryo için:

  1. İstemcinin saatini etki alanı denetleyicisi veya çalışma grubu sunucusundaki saati yansıtacak şekilde düzeltin.
  2. Bu işlem sorunu çözmezse kayıt defteri giriş değerini 0x01 olarak ayarlayın. Bu, NTLM'yi zaman dengesizliği olmayan LMv2 yanıtları sağlayacak şekilde yapılandırır.

CBT (Kanal Bağlama Belirteci) nedir?

Kanal Bağlama Belirteci (CBT), Kimlik Doğrulaması için Genişletilmiş Koruma'nın bir parçasıdır. CBT, Dış TLS güvenli kanalıNı Kerberos veya NTLM gibi iç kanal kimlik doğrulamasına bağlamak için bir mekanizmadır.

CBT, kanala kimlik doğrulaması bağlamak için kullanılan dış güvenli kanalın bir özelliğidir.

Genişletilmiş koruma, SPN ve CBT'yi sunucuya kurcalamaya dayanıklı bir şekilde iletir. Sunucu, genişletilmiş koruma bilgilerini ilkesine uygun olarak doğrular ve hedeflenen hedef olduğuna inanmadığı kimlik doğrulama girişimlerini reddeder. Bu şekilde, iki kanal kriptografik olarak birbirine bağlanır.

Genişletilmiş koruma artık Windows XP, Windows Vista, Windows Server 2003 ve Windows Server 2008'de desteklenmektedir.

Reddi

Hızlı yayımlama makaleleri doğrudan Microsoft destek kuruluşunun içinden bilgi sağlar. Burada yer alan bilgiler, ortaya çıkan veya benzersiz konulara yanıt olarak oluşturulur veya diğer bilgi bankası bilgilerine ek olarak hazırlanmıştır.

Microsoft ve/veya tedarikçileri, bu web sitesinde yayımlanan belgelerde ve ilgili grafiklerde ("malzemeler") yer alan bilgilerin uygunluğu, güvenilirliği veya doğruluğu hakkında herhangi bir beyan veya garanti vermemektedir. Malzemeler teknik hatalar veya tipografik hatalar içerebilir ve herhangi bir zamanda bildirimde bulunmaksızın düzeltilebilir.

İlgili yasaların izin verdiği azami ölçüde, Microsoft ve/veya tedarikçileri, malzemelerle ilgili olarak, beyanlar, garantiler veya unvan koşulları, ihlal edilmeme, tatmin edici koşul veya kalite, satılabilirlik ve belirli bir amaca uygunluk dahil ancak bunlarla sınırlı olmamak kaydıyla açık, zımni veya yasal tüm beyanları, garantileri ve koşulları reddeder ve hariç tutar.