Verificatie mislukt van Windows NTLM of Kerberos-servers


De Engelstalige versie van dit artikel is de volgende:976918

Samenvatting

BelangrijkDit is een snelle artikel publiceren. Raadpleeg voor meer informatie het gedeelte "Voorbehoud".

Dit artikel biedt een correctie voor verschillende problemen met verificatie fout waarop NTLM en Kerberos servers niet van computers met Windows Server 2008 R2 en Windows 7 verifiëren. Dit wordt veroorzaakt door de manier waarop kanaal Binding Tokens worden verwerkt. Zie de 'Symptomen,' 'Oorzaak' voor gedetailleerde informatie en de secties 'Oplossing' van dit artikel.

Downloaden van de correctie voor dit probleem, klikt u op deWeergave en aanvraag hotfix downloadenkoppeling op de linkerbovenhoek van het scherm.

Symptomen

Ondersteuning voor uitgebreide beveiliging voor geïntegreerde verificatie met ondersteuning voor kanaal Binding Token (CBT) standaard Windows 7 en Windows Server 2008 R2.

U kunt een of meer van de volgende symptomen kan optreden:
 1. Kanaal binding ondersteunt Windows-clients kunnen niet worden geverifieerd door een niet - Windows Kerberos-server.
 2. NTLM-verificatie storingen van proxyservers.
 3. NTLM-verificatiefouten van Windows NTLM-servers.
 4. NTLM-verificatie mislukt wanneer er een tijdsverschil tussen de client en server DC of werkgroep

Oorzaak

Ondersteuning voor uitgebreide beveiliging voor geïntegreerde verificatie van Windows 7 en Windows Server 2008 R2. Deze functie verbetert de bescherming en het afhandelen van referenties wanneer verificatie netwerkverbindingen uitgebreid waardoor (Integrated Windows Authentication) gebruikt.

Dit is op standaard. Wanneer een client verbinding met een server probeert, is afhankelijk van de verificatieaanvraag naar de belangrijkste naam SPN (Service) gebruikt. Ook wanneer de verificatie plaatsvindt binnen een kanaal TLS (Transport Layer Security), kan dat worden gebonden aan dat kanaal. Geef aanvullende informatie in hun berichten naar deze functionaliteit ondersteunen NTLM en Kerberos.

Computers met Windows 7 en Windows 2008 R2 uitschakelen LMv2.

Oplossing

Storingen waar Windows NTLM of Kerberos servers mislukken wanneer CBT ontvangen, controleren met de leverancier voor een versie die CBT correct verwerkt.

Controleer voor fouten wanneer Windows NTLM-servers of proxyservers LMv2 vereisen, met de leverancier voor een versie die NTLMv2 ondersteunt.

Workaround

BelangrijkDeze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, kunnen ernstige problemen optreden als u het register onjuist bewerkt. Zorg ervoor dat u deze zorgvuldig stappen. Reservekopie van het register voordat u het wijzigen voor extra bescherming. Vervolgens kunt u het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over back-up en terugzetten van het register:
322756Back-up en terugzetten van het register in Windows

De uitgebreide beveiliging besturen maken de volgende registersubsleutel:
Naam:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Naam:SuppressExtendedProtection
Type:DWORD
Voor Windows-clients ondersteunen dat kanaal binding die niet kunnen worden geverifieerd door Windows Kerberos-servers de CBT niet goed verwerken:
 1. Instellen van de registervermelding voor "0x01." Kerberos niet uitstralen CBT tokens voor unpatched toepassingen configureert.
 2. Als het probleem niet is opgelost, stelt u de registervermelding voor "0x03." Kerberos nooit uitstralen CBT tokens configureert.

  OpmerkingEr is een bekend probleem met Sun Java die is geadresseerd aan de optie de acceptor kan elk kanaalbindingen door de aanvrager verstrekte succes terug zelfs als de initiator kanaal bindingen per RFC 4121 (negerenhttp://bugs.Sun.com/bugdatabase/view_bug.do?bug_id=6851973).

  Het is raadzaam de volgende update van de website van Sun Java en uitgebreide beveiliging inschakelen:
Voor Windows-clients ondersteunen dat kanaal binding die niet kunnen worden geverifieerd door Windows NTLM-servers de CBT niet goed verwerken:
 • Instellen van de registervermelding voor "0x01." Dit wordt NTLM niet te verzenden CBT tokens voor unpatched toepassingen configureren.
Voor servers met Windows NTLM of proxyservers waarvoor LMv2:
 • Stel de registervermelding voor "0x01." NTLM biedt LMv2 reacties configureert.
Voor het scenario waarin het tijdsverschil te groot is:
 1. Klok van de client de tijd op de domeincontroller of werkgroepserver weerspiegelen oplossen.
 2. Als het probleem niet is opgelost, stelt u de registervermelding voor "0x01." NTLM bieden LMv2 antwoorden die niet onderworpen aan tijd scheeftrekken zijn configureert.

Meer informatie

Wat is CBT (kanaal-Token Binding)?

Kanaal Binding Token (CBT) is een onderdeel van een uitgebreide beveiliging voor verificatie. CBT is een mechanisme voor het binden van een buitenste beveiligde TLS-kanaal inner kanaal als Kerberos of NTLM-verificatie.

CBT is een eigenschap van de buitenste beveiligd kanaal gebruikt verificatie binden aan het kanaal.

Uitgebreide bescherming wordt bereikt door de client de SPN en CBT server op tamperproof wijze communiceren. De server valideert de uitgebreide informatie overeenkomstig haar beleid en weigert verificatiepogingen waarvoor is deze niet zelf het beoogde doel is geloven. Op deze manier worden de twee kanalen cryptografisch samen gebonden.

Uitgebreide beveiliging wordt nu ondersteund in Windows XP, Windows Vista, Windows Server 2003 en Windows Server 2008.

Bezoek de volgende Microsoft-website voor meer informatie over uitgebreide beveiliging voor verificatie in Windows:

DISCLAIMER

SNELLE PUBLICATIE ARTIKELEN RECHTSTREEKS VAN INFORMATIE BINNEN DE ORGANISATIE VAN MICROSOFT SUPPORT BIEDEN. DE HIERIN VERVATTE INFORMATIE IS GEMAAKT IN REACTIE OPKOMENDE OF UNIEKE ONDERWERPEN OF BESTEMD AANVULLING ANDERE KNOWLEDGE BASE INFORMATIE.

MICROSOFT EN/OF HAAR LEVERANCIERS DOEN GEEN VERKLARINGEN OF GARANTIES OVER DE GESCHIKTHEID, BETROUWBAARHEID OF JUISTHEID VAN DE GEGEVENS OPGENOMEN IN DE DOCUMENTEN EN BIJBEHORENDE GRAFISCHE AFBEELDINGEN OP DEZE WEBSITE (DE "MATERIALEN") VOOR ELK DOEL BEKENDGEMAAKT. DE MATERIALEN KUNNEN TECHNISCHE ONNAUWKEURIGHEDEN OF TYPOGRAFISCHE FOUTEN BEVATTEN EN KUNNEN OP ELK MOMENT ZONDER KENNISGEVING WORDEN GEWIJZIGD.

VOOR ZOVER TOEGESTAAN DOOR TOEPASSELIJK RECHT, MICROSOFT EN/OF HAAR LEVERANCIERS WIJZEN EN UITSLUITEN VAN ALLE VERKLARINGEN, GARANTIES EN VOORWAARDEN OF EXPRESS, IMPLICIET OF WETTELIJK ZIJN, INCLUSIEF MAAR NIET BEPERKT TOT VERKLARINGEN, GARANTIES OF VOORWAARDEN VAN TITEL, NIET INBREUK, TOEREIKENDE VOORWAARDE OF KWALITEITVERKOOPBAARHEID EN GESCHIKTHEID VOOR EEN BEPAALD DOEL MET BETREKKING TOT DE MATERIALEN.
Eigenschappen

Artikel-id: 976918 - Laatst bijgewerkt: 14 feb. 2017 - Revisie: 1

Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2

Feedback