Αυτήν τη στιγμή είστε εκτός σύνδεσης, σε αναμονή για επανασύνδεση στο Internet

Αποτυχία ελέγχου ταυτότητας Windows NTLM ή διακομιστές Kerberos

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:976918
Περίληψη
ΣημαντικόΠρόκειται για μια ταχεία δημοσίευσης άρθρου. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα "Αποκήρυξη".

Αυτό το άρθρο παρέχει μια ενημέρωση κώδικα για τον έλεγχο στο οποίο NTLM και Kerberos διακομιστές δεν ταυτότητας Windows 7 και σε υπολογιστές που βασίζονται σε Windows Server 2008 R2 διάφορα ζητήματα αποτυχία ελέγχου ταυτότητας. Αυτό προκαλείται από διαφορές στον τρόπο που διακριτικά σύνδεσης καναλιού είναι δείκτες χειρισμού. Για αναλυτικές πληροφορίες, ανατρέξτε στην ενότητα "Συμπτώματα," "Αιτία", και οι ενότητες "Επίλυση" αυτού του άρθρου.

Για να κάνετε λήψη της ενημέρωσης κώδικα για αυτό το θέμα, κάντε κλικ στην επιλογή τουΛήψη επείγουσας επιδιόρθωσης αίτησης και προβολήσύνδεση που βρίσκεται στην επάνω αριστερή γωνία της οθόνης.
Συμπτώματα
Τα Windows 7 και Windows Server 2008 R2 υποστηρίζει εκτεταμένη προστασία για τον ενσωματωμένο έλεγχο ταυτότητας, ο οποίος περιλαμβάνει υποστήριξη για το κανάλι δεσμευτική διακριτικού (CBT) από προεπιλογή.

Ενδέχεται να αντιμετωπίσετε ένα ή περισσότερα από τα ακόλουθα συμπτώματα:
  1. Οι υπολογιστές-πελάτες με Windows που υποστηρίζει σύνδεση κανάλι δεν ελέγχεται από έναν διακομιστή Windows Kerberos.
  2. Αποτυχίες ελέγχου ταυτότητας NTLM από διακομιστές μεσολάβησης.
  3. Αποτυχίες ελέγχου ταυτότητας NTLM από διακομιστές Windows NTLM.
  4. Αποτυχίες ελέγχου ταυτότητας NTLM όταν υπάρχει μια χρονική διαφορά μεταξύ του υπολογιστή-πελάτη και του διακομιστή ελεγκτή Τομέα ή ομάδα εργασίας.
Αιτία
Τα Windows 7 και Windows Server 2008 R2 υποστηρίζει εκτεταμένη προστασία για τον ενοποιημένο έλεγχο ταυτότητας. Αυτή η δυνατότητα ενισχύει την προστασία και τη διαχείριση των πιστοποιήσεων, κατά τον έλεγχο ταυτότητας συνδέσεων δικτύου που χρησιμοποιεί ενσωματωμένο έλεγχο ταυτότητας των Windows (IWA).

Αυτή είναι Ενεργοποιημένη από προεπιλογή. Όταν ένας υπολογιστής-πελάτης επιχειρεί να συνδεθεί σε ένα διακομιστή, την αίτηση ελέγχου ταυτότητας είναι δεσμευμένο για το κύριο όνομα υπηρεσίας (SPN) χρησιμοποιείται. Επίσης όταν ο έλεγχος ταυτότητας πραγματοποιείται μέσα σε ένα κανάλι Transport Layer Security (TLS), αυτό μπορεί να συνδεθεί σε αυτό το κανάλι. NTLM και Kerberos παρέχει επιπλέον πληροφορίες στα μηνύματά τους να υποστηρίζει αυτήν τη λειτουργία.

Επίσης, τα Windows 7 και Windows 2008 R2 υπολογιστές απενεργοποιούν LMv2.
Προτεινόμενη αντιμετώπιση
Για σφάλματα όταν αποτυγχάνουν Windows NTLM ή διακομιστές Kerberos κατά τη λήψη CBT, επικοινωνήστε με τον προμηθευτή για μια έκδοση, η οποία χειρίζεται σωστά CBT.

Για σφάλματα όταν τα Windows NTLM διακομιστές ή διακομιστές μεσολάβησης απαιτούν LMv2, επικοινωνήστε με τον προμηθευτή για την έκδοση που υποστηρίζει NTLMv2.
Εναλλακτικός τρόπος αντιμετώπισης
ΣημαντικόΑυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο, εάν παρουσιαστεί κάποιο πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

Για να ελέγξετε τη συμπεριφορά εκτεταμένη προστασία, δημιουργήστε το ακόλουθο δευτερεύον κλειδί μητρώου:
Όνομα κλειδιού:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Όνομα τιμής:SuppressExtendedProtection
Τύπος:DWORD
Για προγράμματα-πελάτες των Windows που υποστηρίζει σύνδεση κανάλι που αποτυγχάνουν να γίνει έλεγχος ταυτότητας με διακομιστές Windows Kerberos που δεν χειρίζονται σωστά την CBT:
  1. Ορίστε την τιμή της καταχώρησης μητρώου σε "0x01." Αυτό θα ρυθμίσει τις παραμέτρους του Kerberos δεν να εκπέμπει CBT διακριτικά για εφαρμογές που δεν έχει ενημερωθεί.
  2. Εάν αυτό δεν λύνει το πρόβλημα, στη συνέχεια, ορίστε την τιμή της καταχώρησης μητρώου για να "0x03". Αυτό θα ρυθμίσει τις παραμέτρους του Kerberos ποτέ να εκπέμπει CBT διακριτικά.

    ΣημείωσηΥπάρχει ένα γνωστό θέμα με Java της Sun που αντιμετωπίστηκε για να χωρέσει στην επιλογή που την αποδοχή μπορεί να αγνοήσει τα κανάλια συνδέσεων που παρέχονται από τον εκκινητή, επιτυχές αποτέλεσμα, ακόμη και αν ο εκκινητής πέτυχε συνδέσεις καναλιού ως ανά (RFC 4121http://Bugs.sun.com/bugdatabase/view_bug.Do?bug_id=6851973).

    Σας συνιστούμε να εγκαταστήσετε την ακόλουθη ενημερωμένη έκδοση από την τοποθεσία της Java της Sun και ενεργοποιήσετε ξανά την εκτεταμένη προστασία:
Για προγράμματα-πελάτες των Windows που υποστηρίζει σύνδεση κανάλι που αποτυγχάνουν να γίνει έλεγχος ταυτότητας με διακομιστές Windows NTLM που δεν χειρίζονται σωστά την CBT:
  • Ορίστε την τιμή της καταχώρησης μητρώου σε "0x01." Αυτό θα ρυθμίσει τις παραμέτρους του NTLM να μην εκπέμπει CBT διακριτικά για εφαρμογές που δεν έχει ενημερωθεί.
Για διακομιστές Windows NTLM ή διακομιστές μεσολάβησης που απαιτούν LMv2:
  • Ορίστε την τιμή της καταχώρησης μητρώου σε "0x01." Αυτό θα ρυθμίσει τις παραμέτρους για την παροχή LMv2 αποκρίσεις NTLM.
Για το σενάριο με την οποία η διαφορά ώρας είναι υπερβολικά μεγάλος:
  1. Διορθώστε το ρολόι του υπολογιστή-πελάτη ώστε να απεικονίζουν το χρόνο στον ελεγκτή τομέα ή διακομιστή ομάδας εργασίας.
  2. Εάν αυτό δεν λύνει το πρόβλημα, στη συνέχεια, ορίστε την τιμή της καταχώρησης μητρώου για να "0x01". Αυτό θα ρυθμίσει τις παραμέτρους του NTLM για την παροχή απαντήσεων LMv2 που δεν υπόκεινται σε χρονική στρέβλωση.
Περισσότερες πληροφορίες

Τι είναι η CBT (κανάλι δεσμευτική Token);

Κανάλι δεσμευτική διακριτικού (CBT) αποτελεί μέρος της εκτεταμένης προστασίας για έλεγχο ταυτότητας. CBT είναι ένας μηχανισμός για να συνδέσετε ένα εξωτερικό TLS ασφαλούς καναλιού με εσωτερική κανάλι ελέγχου ταυτότητας Kerberos ή NTLM.

CBT είναι μια ιδιότητα από το εξωτερικό ασφαλές κανάλι χρησιμοποιείται για τη σύνδεση ελέγχου ταυτότητας στο κανάλι.

Εκτεταμένη προστασία επιτυγχάνεται με το πρόγραμμα-πελάτης επικοινωνεί το SPN και το CBT στο διακομιστή με τρόπο tamperproof. Ο διακομιστής επικυρώνει τις πληροφορίες εκτεταμένη προστασία σύμφωνα με την πολιτική και απορρίπτει προσπαθειών ελέγχου ταυτότητας για την οποία αυτό δεν πιστεύει να έχουν τον επιδιωκόμενο στόχο. Έτσι, τα δύο κανάλια γίνονται κρυπτογραφικά συνδέονται μεταξύ τους.

Εκτεταμένη προστασία τώρα υποστηρίζεται στα Windows XP, τα Windows Vista, Windows Server 2003 και Windows Server 2008.

Για περισσότερες πληροφορίες σχετικά με την εκτεταμένη προστασία για τον έλεγχο ταυτότητας των Windows, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
ΑΠΟΠΟΊΗΣΗ ΕΥΘΥΝΏΝ
ΓΡΉΓΟΡΗ ΔΗΜΟΣΊΕΥΣΗ ΆΡΘΡΩΝ ΠΑΡΟΧΉ ΠΛΗΡΟΦΟΡΙΏΝ ΑΠΕΥΘΕΊΑΣ ΑΠΌ ΤΗΝ ΕΤΑΙΡΕΊΑ ΥΠΟΣΤΉΡΙΞΗΣ ΤΗΣ MICROSOFT. ΤΙΣ ΠΛΗΡΟΦΟΡΊΕΣ ΠΟΥ ΠΕΡΙΈΧΟΝΤΑΙ ΣΤΟ ΠΑΡΌΝ ΔΗΜΙΟΥΡΓΕΊΤΑΙ ΩΣ ΑΠΌΚΡΙΣΗ ΝΕΟΕΜΦΑΝΙΖΌΜΕΝΕΣ Ή ΜΟΝΑΔΙΚΆ ΘΈΜΑΤΑ, Ή ΠΡΟΟΡΊΖΟΝΤΑΙ ΣΥΜΠΛΉΡΩΜΑ ΆΛΛΩΝ ΓΝΩΣΙΑΚΉΣ ΒΆΣΗΣ ΠΛΗΡΟΦΟΡΙΏΝ.

MICROSOFT Ή/ΚΑΙ ΤΟΥ ΠΡΟΜΗΘΕΥΤΕΣ ΤΗΣ ΔΕΝ ΠΡΟΒΑΙΝΟΥΝ Ή ΕΓΓΥΉΣΕΙΣ ΣΧΕΤΙΚΆ ΜΕ ΤΗΝ ΚΑΤΑΛΛΗΛΌΤΗΤΑ, Η ΑΞΙΟΠΙΣΤΊΑ Ή Η ΑΚΡΊΒΕΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΏΝ ΠΟΥ ΠΕΡΙΈΧΟΝΤΑΙ ΣΕ ΈΓΓΡΑΦΑ ΚΑΙ ΤΩΝ ΣΧΕΤΙΚΩΝ ΓΡΑΦΙΚΩΝ ΔΗΜΟΣΙΕΎΟΝΤΑΙ ΣΕ ΑΥΤΉΝ ΤΗΝ ΤΟΠΟΘΕΣΊΑ WEB ("ΥΛΙΚΆ") ΓΙΑ ΟΠΟΙΟΝΔΉΠΟΤΕ ΣΚΟΠΌ. ΤΑ ΥΛΙΚΆ ΠΟΥ ΕΝΔΈΧΕΤΑΙ ΝΑ ΠΕΡΙΛΑΜΒΆΝΟΥΝ ΤΕΧΝΙΚΈΣ ΑΝΑΚΡΊΒΕΙΕΣ Ή ΤΥΠΟΓΡΑΦΙΚΆ ΛΆΘΗ ΚΑΙ ΜΠΟΡΕΊ ΝΑ ΑΝΑΘΕΩΡΗΘΕΊ ΟΠΟΙΑΔΉΠΟΤΕ ΣΤΙΓΜΉ ΧΩΡΊΣ ΠΡΟΕΙΔΟΠΟΊΗΣΗ.

ΣΤΟ ΜΕΓΙΣΤΟ ΒΑΘΜΟ ΠΟΥ ΕΠΙΤΡΕΠΕΤΑΙ ΚΑΤΆ ΠΕΡΊΠΤΩΣΗ ΔΙΚΑΊΟΥ, ΤΟΥ MICROSOFT Ή/ΚΑΙ ΤΟΥΣ ΠΡΟΜΗΘΕΥΤΈΣ ΤΗΣ ΠΑΡΈΧΟΥΜΕ ΚΑΙ ΕΞΑΙΡΈΣΤΕ ΌΛΕΣ ΤΙΣ ΑΝΤΙΠΡΟΣΩΠΕΊΕΣ, ΕΓΓΥΉΣΕΙΣ ΚΑΙ ΤΙΣ ΣΥΝΘΉΚΕΣ, ΑΝ EXPRESS, ΣΙΩΠΗΡΉ Ή ΝΟΜΟΘΕΤΗΜΕΝΕΣ, ΣΥΜΠΕΡΙΛΑΜΒΑΝΟΜΕΝΩΝ ΕΝΔΕΙΚΤΙΚΑ ΠΕΡΙΟΡΊΖΕΤΑΙ ΣΕ ΠΑΡΑΣΤΆΣΕΙΣ, ΕΓΓΥΉΣΕΙΣ Ή ΣΥΝΘΉΚΕΣ ΤΊΤΛΩΝ, ΜΗ ΠΑΡΑΠΟΊΗΣΗ/ΑΠΟΜΊΜΗΣΗ, ΙΚΑΝΟΠΟΙΗΤΙΚΉ ΚΑΤΆΣΤΑΣΗ Ή ΠΟΙΌΤΗΤΑΣ, ΕΜΠΟΡΕΥΣΙΜΌΤΗΤΑΣ ΚΑΙ ΚΑΤΑΛΛΗΛΌΤΗΤΑΣ ΓΙΑ ΣΥΓΚΕΚΡΙΜΈΝΟ ΣΚΟΠΌ, ΣΕ ΣΧΈΣΗ ΜΕ ΤΑ ΥΛΙΚΆ.
Ιδιότητες

Αναγνωριστικό άρθρου: 976918 - Τελευταία αναθεώρηση: 02/12/2011 09:34:00 - Αναθεώρηση: 4.0

Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2

  • kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtel
Σχόλια
&t=">