Windows 以外の NTLM または Kerberos サーバーからの認証エラー

適用対象: Windows 7 EnterpriseWindows 7 Home BasicWindows 7 Home Premium

概要


重要: これは迅速な出版記事です。 詳細については、「免責事項」セクションを参照してください。

この記事では、NTLM および Kerberos サーバーが Windows 7 および Windows Server 2008 R2 ベースのコンピューターを認証できないといういくつかの認証エラーの問題に対する修正プログラムを提供します。 これは、チャネル バインディング トークンの処理方法の違いによって発生します。 詳細については、この記事の「現象」、「原因」、および「解決方法」のセクションを参照してください。

この問題の修正プログラムをダウンロードするには、画面の左上にある [修正プログラムのダウンロードを表示してリクエストする] リンクをクリックします。

現象


Windows 7 および Windows Server 2008 R2 では、統合認証の拡張保護がサポートされています。これには、既定でチャネル バインディング トークン (CBT) のサポートが含まれます。

以下のいずれかまたは複数の現象が発生することがあります。
  1. チャネル バインディングをサポートする Windows クライアントは、Windows 以外の Kerberos サーバーによる認証に失敗します。

  2. プロキシ サーバーからの NTLM 認証エラー。


  3. Windows 以外の NTLM サーバーからの NTLM 認証エラー。
  4. クライアントと DC またはワークグループ サーバーの間に時間差がある場合に NTLM 認証が失敗する。

原因


Windows 7 および Windows Server 2008 R2 では、統合認証の拡張保護がサポートされています。 この機能は、統合 Windows 認証 (IWA) を使用することで、ネットワーク接続を認証するときの資格情報の保護と処理を強化します。

これは既定でオンになっています。 クライアントがサーバーに接続しようとすると、認証要求は使用されるサービス プリンシパル名 (SPN) にバインドされます。 また、認証がトランスポート層セキュリティ (TLS) チャネル内で行われる場合、そのチャネルにバインドできます。 NTLM および Kerberos は、この機能をサポートするためにメッセージに追加情報を提供します。

また、Windows 7 および Windows 2008 R2 コンピューターは LMv2 を無効にします。

解決方法


CBT を受信したときに Windows 以外の NTLM または Kerberos サーバーに障害が発生するエラーの場合は、CBT を正しく処理するバージョンについてベンダーに確認してください。

Windows 以外の NTLM サーバーまたはプロキシ サーバーで LMv2 が必要となるエラーの場合は、NTLMv2 をサポートするバージョンについてベンダーに確認してください。

回避策


重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法

拡張保護動作を制御するには、次のレジストリ サブキーを作成します。
キー名: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

値の名前: SuppressExtendedProtection

種類: DWORD
CBT を正しく処理しない Windows Kerberos 以外のサーバーで認証に失敗しているチャネル バインディングをサポートする Windows クライアントの場合:
  1. レジストリ エントリの値を「0x01」に設定します。 これにより、パッチが適用されていないアプリケーションに対して CBT トークンを発行しないように Kerberos が構成されます。
  2. 問題が解決しない場合は、レジストリ エントリの値を「0x03」に設定します。 これにより、Kerberos が CBT トークンを発行しないように構成されます。

    注: アクセプターがイニシエーターによって提供されたチャネル バインディングを無視し、RFC 4121 (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973) のようにイニシエーターがチャネル バインディングを渡した場合でも成功を返すオプションに対応するために、Sun Java に関する既知の問題があります。

    Sun Java サイトから次の更新プログラムをインストールし、拡張保護を再度有効にすることをお勧めします。
CBT を正しく処理しない Windows 以外の NTLM サーバーによる認証に失敗しているチャネル バインディングをサポートする Windows クライアントの場合:
  • レジストリ エントリの値を「0x01」に設定します。 これにより、パッチが適用されていないアプリケーションに対して CBT トークンを発行しないように NTLM が構成されます。
LMv2 を必要とする Windows 以外の NTLM サーバーまたはプロキシ サーバーの場合:
  • レジストリ エントリの値を「0x01」に設定します。 これにより、LMv2 応答を提供するように NTLM が構成されます。
時間差が大きすぎるシナリオの場合:
  1. クライアントのクロックを修正して、ドメイン コントローラーまたはワークグループ サーバーの時刻を反映させます。
  2. 問題が解決しない場合は、レジストリ エントリの値を「0x01」に設定します。 これにより、時間のずれの影響を受けない LMv2 応答を提供するように NTLM が構成されます。

詳細情報


CBT (チャネル バインディング トークン) とは何ですか?

チャネル バインディング トークン (CBT) は、認証の拡張保護の一部です。 CBT は、外部 TLS セキュア チャネルを Kerberos や NTLM などの内部チャネル認証にバインドするメカニズムです。

CBT は、認証をチャネルにバインドするために使用される外部セキュア チャネルのプロパティです。

拡張保護は、クライアントが SPN と CBT を改ざん防止方法でサーバーに通信することによって実現されます。 サーバーは、ポリシーに従って拡張保護情報を検証し、それ自体が意図したターゲットであるとは思わない認証の試行を拒否します。 このようにして、2 つのチャネルは暗号化によって結合されます。

Windows XP、Windows Vista、Windows Server 2003、および Windows Server 2008 で拡張保護がサポートされるようになりました。

Windows での認証の拡張保護の詳細については、次のマイクロソフト Web サイトにアクセスしてください。

DISCLAIMER


RAPID PUBLISHING の資料には、マイクロソフト サポート組織内からの直接の情報が記載されています。 ここに記載されている情報は、緊急または特有のトピックに対する応答で作成されるか、他の関連情報のサポートを目的としています。 

MICROSOFT AND/OR ITS SUPPLIERS MAKE NO REPRESENTATIONS OR WARRANTIES ABOUT THE SUITABILITY, RELIABILITY OR ACCURACY OF THE INFORMATION CONTAINED IN THE DOCUMENTS AND RELATED GRAPHICS PUBLISHED ON THIS WEBSITE (THE "MATERIALS") FOR ANY PURPOSE. THE MATERIALS MAY INCLUDE TECHNICAL INACCURACIES OR TYPOGRAPHICAL ERRORS AND MAY BE REVISED AT ANY TIME WITHOUT NOTICE.

TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, MICROSOFT AND/OR ITS SUPPLIERS DISCLAIM AND EXCLUDE ALL REPRESENTATIONS, WARRANTIES, AND CONDITIONS WHETHER EXPRESS, IMPLIED OR STATUTORY, INCLUDING BUT NOT LIMITED TO REPRESENTATIONS, WARRANTIES, OR CONDITIONS OF TITLE, NON INFRINGEMENT, SATISFACTORY CONDITION OR QUALITY, MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE, WITH RESPECT TO THE MATERIALS.