Verificatiefout van niet-Windows NTLM- of Kerberos-servers

Dit artikel biedt een oplossing voor verschillende problemen met verificatiefouten waarbij NTLM- en Kerberos-servers windows 7- en Windows Server 2008 R2-computers niet kunnen verifiëren. Dit wordt veroorzaakt door verschillen in de manier waarop kanaalbindingstokens worden verwerkt.

Van toepassing op: Windows 7 Service Pack 1, Windows Server 2012 R2
Origineel KB-nummer: 976918

Symptomen

Windows 7 en Windows Server 2008 R2 ondersteunen uitgebreide beveiliging voor geïntegreerde verificatie die standaard ondersteuning biedt voor Channel Binding Token (CBT).

U kunt een of meer van de volgende symptomen ondervinden:

  • Windows-clients die kanaalbinding ondersteunen, kunnen niet worden geverifieerd door een niet-Windows Kerberos-server.
  • NTLM-verificatiefouten van proxyservers.
  • NTLM-verificatiefouten van niet-Windows NTLM-servers.
  • NTLM-verificatiefouten wanneer er een tijdsverschil is tussen de client en de DC- of werkgroepserver.

Oorzaak

Windows 7 en Windows Server 2008 R2 ondersteunen uitgebreide beveiliging voor geïntegreerde verificatie. Deze functie verbetert de beveiliging en verwerking van referenties bij het verifiëren van netwerkverbindingen met behulp van geïntegreerde Windows-verificatie (IWA).

Dit is standaard AAN. Wanneer een client verbinding probeert te maken met een server, is de verificatieaanvraag gebonden aan de service-principalnaam (SPN) die wordt gebruikt. Ook wanneer de verificatie plaatsvindt binnen een TLS-kanaal (Transport Layer Security), kan deze worden gebonden aan dat kanaal. NTLM en Kerberos bieden aanvullende informatie in hun berichten om deze functionaliteit te ondersteunen.

Bovendien schakelen Windows 7- en Windows 2008 R2-computers LMv2 uit.

Oplossing

Voor fouten waarbij niet-Windows NTLM- of Kerberos-servers mislukken bij het ontvangen van CBT, raadpleegt u de leverancier voor een versie die CGT correct verwerkt.

Voor fouten waarbij niet-Windows NTLM-servers of proxyservers LMv2 vereisen, raadpleegt u de leverancier voor een versie die NTLMv2 ondersteunt.

Tijdelijke oplossing

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up van het register maken en herstellen in Windows voor meer informatie over het maken van een back-up en het herstellen van het register .

Als u het gedrag van uitgebreide beveiliging wilt beheren, maakt u de volgende registersubsleutel:

  • Sleutelnaam: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • Waardenaam: SuppressExtendedProtection
  • Type: DWORD

Voor Windows-clients die kanaalbinding ondersteunen die niet kunnen worden geverifieerd door niet-Windows Kerberos-servers die de CGT niet correct verwerken:

  1. Stel de registervermeldingswaarde in op 0x01. Hiermee wordt geconfigureerd dat Kerberos geen CBT-tokens verzendt voor niet-gepatchte toepassingen.
  2. Als het probleem hiermee niet is opgelost, stelt u de registervermeldingswaarde in op 0x03. Hiermee wordt Kerberos geconfigureerd om nooit CBT-tokens te verzenden.

Opmerking

Er is een bekend probleem met Sun Java dat is opgelost om tegemoet te komen aan de optie dat de acceptor kanaalbindingen van de initiator negeert, waardoor succes wordt geretourneerd, zelfs als de initiator kanaalbindingen heeft doorgegeven volgens RFC 4121. Zie Binnenkomende kanaalbinding negeren als de acceptor er geen heeft ingesteld voor meer informatie.

U wordt aangeraden de volgende update te installeren vanaf de Sun Java-site en de uitgebreide beveiliging opnieuw in te schakelen: Wijzigingen in 1.6.0_19 (6u19).

Voor Windows-clients die kanaalbinding ondersteunen die niet kunnen worden geverifieerd door niet-Windows NTLM-servers die de CGT niet correct verwerken, stelt u de registervermeldingswaarde in op 0x01. Hiermee wordt NTLM geconfigureerd om geen CBT-tokens te verzenden voor niet-gepatchte toepassingen.

Voor niet-Windows NTLM-servers of proxyservers waarvoor LMv2 is vereist, stelt u in op de registervermeldingswaarde op 0x01. Hiermee configureert u NTLM om LMv2-antwoorden te verstrekken.

Voor het scenario waarin het tijdsverschil te groot is:

  1. Herstel de klok van de client om de tijd op de domeincontroller of werkgroepserver weer te geven.
  2. Als het probleem hiermee niet is opgelost, stelt u de registervermeldingswaarde in op 0x01. Hiermee configureert u NTLM om LMv2-antwoorden te leveren die niet onderhevig zijn aan tijdsverschil.

Wat is CBT (Channel Binding Token)?

Channel Binding Token (CBT) maakt deel uit van Uitgebreide beveiliging voor verificatie. CBT is een mechanisme om een buitenste TLS-beveiligd kanaal te verbinden met verificatie via het binnenste kanaal, zoals Kerberos of NTLM.

CBT is een eigenschap van het buitenste beveiligde kanaal dat wordt gebruikt om verificatie aan het kanaal te binden.

Uitgebreide beveiliging wordt bereikt door de client de SPN en de CBT op een manipulatiebestendige manier met de server te communiceren. De server valideert de uitgebreide beveiligingsgegevens in overeenstemming met het bijbehorende beleid en weigert verificatiepogingen waarvoor de server niet denkt dat ze het beoogde doel zijn geweest. Op deze manier worden de twee kanalen cryptografisch verbonden.

Uitgebreide beveiliging wordt nu ondersteund in Windows XP, Windows Vista, Windows Server 2003 en Windows Server 2008.

Disclaimer

Artikelen met snelle publicatie bieden rechtstreeks informatie vanuit de microsoft-ondersteuningsorganisatie. De informatie in deze informatie wordt gemaakt als reactie op opkomende of unieke onderwerpen, of is bedoeld als aanvulling op andere Knowledge Base informatie.

Microsoft en/of haar leveranciers geven geen verklaringen of garanties over de geschiktheid, betrouwbaarheid of nauwkeurigheid van de informatie in de documenten en gerelateerde afbeeldingen die op deze website zijn gepubliceerd (de "materialen") voor enig doel. Het materiaal kan technische onnauwkeurigheden of typografische fouten bevatten en kan te allen tijde zonder voorafgaande kennisgeving worden herzien.

Voor zover maximaal is toegestaan op grond van toepasselijk recht, wijzen Microsoft en/of haar leveranciers alle verklaringen, garanties en voorwaarden, expliciet, impliciet of wettelijk af, met inbegrip van maar niet beperkt tot verklaringen, garanties of eigendomsvoorwaarden, niet-inbreukmakende, bevredigende voorwaarde of kwaliteit, verkoopbaarheid en geschiktheid voor een bepaald doel, met betrekking tot de materialen.