Chyba ověřování systému Windows NTLM nebo Kerberos servery


Projděte si také anglickou verzi článku:976918

Souhrn

DůležitéJedná se o rychlé publikování článku. Další informace naleznete v části "Dementi".

Tento článek poskytuje opravu pro několik problémů selhání ověřování NTLM a Kerberos nelze ověřit servery Windows 7 a počítačů se systémem Windows Server 2008 R2. To je způsobeno rozdíly ve způsobu, jakým jsou tokeny vazba kanálu úchyty. Podrobné informace naleznete v tématu "Příznaky," "Vyvolat" a "Řešení" částech tohoto článku.

Stáhněte opravu tohoto problému, klepněteZobrazení a požadavek na opravu hotfix soubory ke staženípropojení, která je umístěna v levém horním rohu obrazovky.

Příznaky

Windows 7 a Windows Server 2008 R2 podporu rozšířené ochrany integrované ověřování, který obsahuje podporu pro kanál vazba Token (CBT) ve výchozím nastavení.

Můžete zaznamenat jeden nebo více následujících příznaků:
 1. Klienti systému Windows podporující vazba kanálu se nezdaří ověření Windows Kerberos server.
 2. Selhání ověřování NTLM ze serverů Proxy.
 3. Selhání ověřování NTLM ze serverů Windows NTLM.
 4. Selhání ověřování NTLM, pokud je časový rozdíl mezi klientem a serverem řadiče domény nebo pracovní skupiny.

Příčina

Windows 7 a Windows Server 2008 R2 podporují rozšířené ochrany pro integrované ověřování. Tato funkce zvyšuje ochranu a zpracování pověření při ověřování síťových připojení pomocí integrovaného ověřování systému Windows (IWA).

Ve výchozím nastavení je zapnuto. Když se klient pokouší připojit k serveru, je požadavek na ověření vázán k hlavního názvu služby (SPN) používá. Také při ověřování probíhá uvnitř kanálu protokolu TLS (Transport Layer Security), může být vázána na daném kanálu. NTLM a Kerberos poskytnout další informace ve zprávách pro podporu této funkce.

Počítače se systémem Windows 7 a Windows 2008 R2 zakažte také LMv2.

Řešení

Chyby, kdy se nedaří Windows NTLM nebo Kerberos servery při příjmu CBT, zjistíte u dodavatele pro verzi, která zpracovává CBT správně.

Kde Windows NTLM nebo proxy servery vyžadují LMv2 chyb poraďte se s dodavatelem pro verzi, která podporuje standard NTLM verze 2.

Jak potíže obejít

DůležitéTento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany zálohovat registr před úpravami je nutné. Pak můžete obnovit registr v případě problému. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
322756Postup při zálohování a obnovení registru v systému Windows

K řízení chování rozšířenou ochranu, vytvořte následující podklíč registru:
Název klíče:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Název hodnoty:SuppressExtendedProtection
Typ:DWORD
Pro klienty systému Windows, které podporují kanál vazby, které se nedaří ověřování Windows Kerberos servery, které nepracují správně CBT:
 1. Hodnotu položky registru pro "0x01." To můžete nakonfigurovat ověřování pomocí protokolu Kerberos nelze posílat CBT tokeny bez opravy zabezpečení aplikace.
 2. Pokud se problém nevyřeší, nastavte hodnotu položky registru "0x03." To můžete nakonfigurovat ověřování pomocí protokolu Kerberos nikdy vyzařování CBT tokeny.

  Poznámka:Existuje známý problém s Sun Java, které bylo určeno pro možnost, která dodavatelem může ignorovat všechny vazby z kanálů poskytnutých iniciátorovi recenze, za vrácení úspěch i v případě, že předat iniciátorovi vazby kanálů podle dokumentu RFC 4121 (http://Bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973).

  Doporučujeme nainstalovat následující aktualizaci z webu společnosti Sun Java a znovu povolit rozšířenou ochranu:
Pro klienty systému Windows, které podporují kanál vazby, které se nedaří ověřování NTLM systému Windows servery, které nepracují správně CBT:
 • Hodnotu položky registru pro "0x01." Nakonfigurovat protokol NTLM, nikoli k emitování CBT tokeny bez opravy zabezpečení aplikace.
Pro servery Windows NTLM nebo proxy servery, které vyžadují LMv2:
 • Nastavte hodnotu položky registru "0x01." Nakonfigurovat NTLM poskytuje odpovědi na LMv2.
Scénáře, ve kterých je příliš velký rozdíl času:
 1. Oprava klienta hodiny představují čas na řadiči domény nebo pracovní skupiny serveru.
 2. Pokud se problém nevyřeší, nastavte hodnotu položky registru "0x01." Nakonfigurovat NTLM poskytnout LMv2 odpovědi, které nejsou předmětem čas zkosení.

Další informace

Co je CBT (kanál vazba Token)?

Kanál vazba Token (CBT) je součástí Rozšířená ochrana pro ověřování. CBT je mechanismus vnitřního kanálu ověřování Kerberos nebo NTLM svázat vnější zabezpečeného kanálu protokolu TLS.

CBT je vlastnost vnější zabezpečený kanál slouží k ověřování vazby na kanál.

Rozšířená ochrana je dosaženo klient komunikuje hlavní název služby a CBT server tamperproof způsobem. Server ověřuje informace o rozšířenou ochranu v souladu s jeho politikou a odmítá pokusů o ověření, které ji není věří sama byla zamýšleným cílem. Tímto způsobem dva kanály se stanou kryptograficky spojeny.

Rozšířená ochrana je nyní podporováno v systému Windows XP, Windows Vista, Windows Server 2003 a Windows Server 2008.

Další informace o Rozšířené ochraně pro ověřování v systému Windows navštivte následující Web společnosti Microsoft:

ZŘEKNUTÍ SE ZÁRUK

RYCHLÉ PUBLIKOVÁNÍ ČLÁNKŮ POSKYTOVAT INFORMACE PŘÍMO V RÁMCI ORGANIZACE TECHNICKÉ PODPORY SPOLEČNOSTI MICROSOFT. INFORMACE OBSAŽENÉ V TOMTO DOKUMENTU JE VYTVOŘENA ODPOVĚĎ VZNIKAJÍCÍCH NEBO JEDINEČNÝCH TÉMAT, NEBO URČENÉ PŘÍPLATEK JINÉ ZNALOSTNÍ BÁZE KNOWLEDGE BASE INFORMACE.

MICROSOFT A JEJÍ DODAVATELÉ ZNAČKA Č UJIŠTĚNÍ ANI ZÁRUKY O VHODNOSTI, SPOLEHLIVOSTI A SPRÁVNOSTI ÚDAJŮ OBSAŽENÝCH V DOKUMENTY A SOUVISEJÍCÍ GRAFIKY PUBLIKOVÁNY NA TOMTO WEBU (DÁLE JEN "MATERIÁLY") PRO JAKÝKOLI ÚČEL. MATERIÁLY MOHOU OBSAHOVAT TECHNICKÉ NEPŘESNOSTI NEBO TYPOGRAFICKÉ CHYBY A MOHOU BÝT UPRAVENY KDYKOLI BEZ PŘEDCHOZÍHO UPOZORNĚNÍ.

V MAXIMÁLNÍM MOŽNÉM ROZSAHU POVOLENÉM PLATNÝCH PRÁVNÍCH PŘEDPISŮ, SPOLEČNOST MICROSOFT NEBO JEJÍ DODAVATELÉ LICENČNÍ PARTNEŘI SE ZŘÍKAJÍ A VYLOUČIT STÍŽNOSTI, ZÁRUK A PODMÍNEK, ZDA VÝSLOVNÉ, PŘEDPOKLÁDANÉ NEBO PŘEDPOKLÁDANÝCH VČETNĚ, ALE NENÍ OMEZEN NA PROHLÁŠENÍ, ZÁRUKY NEBO PODMÍNKY HLAVY, KTERÉ NEJSOU PROTIPRÁVNÍHO JEDNÁNÍ, USPOKOJIVÉHO STAVU NEBO JAKOSTI, OBCHODOVATELNOSTI A VHODNOSTI PRO URČITÝ ÚČEL, S OHLEDEM NA MATERIÁLY.
Vlastnosti

ID článku: 976918 - Poslední kontrola: 14. 2. 2017 - Revize: 1

Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2

Váš názor