Błąd uwierzytelnienia od innych niż Windows NTLM lub Kerberos serwerów


Anglojęzyczna wersja tego artykułu to:976918

Streszczenie

Ważne Jest to szybkiego publikowania artykułu. Aby uzyskać więcej informacji zapoznaj się z sekcją "Nota".

Ten artykuł zawiera poprawkę dla kilku problemów awarii uwierzytelniania w Kerberos i NTLM, które nie mogą uwierzytelniać serwerów, komputery z systemem Windows Server 2008 R2 i Windows 7. Jest to spowodowane przez różnice w sposób, że tokeny wiązania kanałów są uchwyty. Aby uzyskać szczegółowe informacje, zobacz "Symptomy," "Powodować" i sekcje "Rozwiązanie" tego artykułu.

Aby pobrać poprawkę dotyczącą tego problemu, kliknij przycisk Pobieranie poprawki widoku i żądania łącze znajduje się w lewym górnym rogu ekranu.

Symptomy

Windows 7 i Windows Server 2008 R2 obsługę zintegrowanego uwierzytelniania, która obejmuje wsparcie dla kanału powiązanie Token komputerowy domyślnie ochrony rozszerzonej.

Może wystąpić jeden lub kilka z następujących symptomów:
 1. Klientów systemu Windows, które obsługują powiązania kanału nie uwierzytelniany przez serwer Kerberos bez systemu Windows.
 2. Błędy uwierzytelniania NTLM z serwerów Proxy.
 3. Błędy uwierzytelniania NTLM z serwerów NTLM systemu Windows.
 4. Błędy uwierzytelniania NTLM występuje różnica czasu między klientem a serwerem kontrolera domeny lub grupy roboczej.

Przyczyna

Windows 7 i Windows Server 2008 R2 obsługę zintegrowanego uwierzytelniania ochrony rozszerzonej. Funkcja ta zwiększa ochronę i obsługę poświadczeń podczas uwierzytelniania połączeń sieciowych przy użyciu zintegrowanego uwierzytelniania systemu Windows (Zintegrowane).

To jest włączone domyślnie. Gdy klient próbuje połączyć się z serwerem, żądanie uwierzytelnienia jest powiązany do głównej nazwy usługi (SPN) używane. Również podczas uwierzytelniania ma miejsce w obrębie kanał zabezpieczeń TLS (Transport Layer), może być powiązane z tego kanału. Kerberos i NTLM zawierają dodatkowe informacje w swoich wiadomościach obsługuje tę funkcję.

Komputery systemu Windows 7 i Windows 2008 R2 wyłączyć LMv2.

Rozwiązanie

Na wypadek awarii, w przypadku braku - Windows NTLM lub Kerberos serwerów podczas odbierania CBT skontaktować się z dostawcą dla wersji, która obsługuje CBT poprawnie.

Na wypadek awarii, gdy NTLM systemu Windows lub serwery proxy wymagają LMv2 należy skontaktować się z dostawcą dla wersji, która obsługuje protokół NTLMv2.

Obejście problemu

Ważne Niniejszej sekcji, metodzie lub zadania zawiera kroki, które informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. Należy więc dokładnie wykonaj następujące kroki. Aby zapewnić dodatkową ochronę kopii zapasowej rejestru przed przystąpieniem do modyfikacji. Następnie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących sposobu tworzenia kopii zapasowych i przywracania rejestru kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows

W celu sterowania zachowaniem ochrony rozszerzonej, utwórz następujący podklucz rejestru:
Nazwa klucza: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Nazwa wartości: SuppressExtendedProtection
Typ: DWORD
Dla klientów systemu Windows, które obsługują powiązania kanału, który niepowodzenie uwierzytelniania przez serwery Kerberos bez systemu Windows, które nie obsługują poprawnie CBT:
 1. Ustaw wartość wpisu rejestru "0x01." Konfiguruje protokół Kerberos, aby nie emitują tokenów CBT dla aplikacji bez poprawki.
 2. Jeśli nie rozwiąże problemu, ustaw wartość wpisu rejestru "0x03." Skonfiguruje Kerberos nie były emitują tokenów CBT.

  Uwaga Istnieje znany problem z Sun Java, który został rozwiązany, aby pomieścić opcję acceptor może ignorować wszystkie powiązania kanału dostarczonych przez inicjatora, zwracanie sukces nawet, jeśli pomyślnie inicjatora powiązania kanału na (RFC 4121http://Bugs.Sun.com/bugdatabase/view_bug.do?bug_id=6851973).

  Zaleca się, aby zainstalować następującej aktualizacji z witryny języka Java firmy Sun i ponowne włączenie ochrony rozszerzonej:
Dla klientów systemu Windows, które obsługują powiązania kanału, który niepowodzenie uwierzytelniania przez serwery NTLM systemu Windows, które nie obsługują poprawnie CBT:
 • Ustaw wartość wpisu rejestru "0x01." Skonfiguruj uwierzytelnianie NTLM, aby nie emitują tokenów CBT dla aplikacji bez poprawki.
Dla NTLM systemu Windows lub serwerów proxy wymagających LMv2:
 • Ustaw wartość wpisu rejestru "0x01." Skonfiguruje NTLM zapewnia odpowiedzi na LMv2.
W scenariuszu, w którym jest zbyt duża różnica czasu:
 1. Poprawka zegara klienta, aby odzwierciedlić czas na kontrolerze domeny lub serwer grupy roboczej.
 2. Jeśli nie rozwiąże problemu, ustaw wartość wpisu rejestru "0x01." Skonfiguruje NTLM udzielenia odpowiedzi LMv2, które nie są przedmiotem czasu pochylenia.

Więcej informacji

Co to jest CBT (kanał powiązanie Token)?

Kanał powiązanie Token komputerowy jest częścią ochrony rozszerzonej dla uwierzytelniania. CBT jest mechanizmem powiązać zewnętrzne bezpiecznego kanału TLS wewnętrzne kanału uwierzytelniania, takich jak Kerberos i NTLM.

CBT jest właściwością zewnętrzne bezpieczny kanał służy do powiązania uwierzytelniania do kanału.

Ochrona rozszerzona jest realizowane przez klienta komunikuje nazwy SPN i CBT do serwera w sposób tamperproof. Serwer sprawdza informacje rozszerzone ochrony zgodnie z jej zasadami i odrzuca prób uwierzytelnienia, które go nie uważają sam zostały planowanego miejsca docelowego. W ten sposób dwa kanały kryptograficznie stają się ze sobą powiązane.

Ochrona rozszerzona jest teraz obsługiwane w systemie Windows XP, Windows Vista, Windows Server 2003 i systemu Windows Server 2008.

Aby uzyskać więcej informacji na temat ochrona rozszerzona na potrzeby uwierzytelniania w systemie Windows odwiedź następującą witrynę firmy Microsoft w sieci Web:

WYŁĄCZENIE ODPOWIEDZIALNOŚCI

SZYBKIE PUBLIKOWANIE ARTYKUŁÓW DOSTARCZA INFORMACJE POCHODZĄCE BEZPOŚREDNIO Z ORGANIZACJI POMOCY TECHNICZNEJ FIRMY MICROSOFT. INFORMACJE ZAWARTE W NINIEJSZYM DOKUMENCIE JEST TWORZONY W ODPOWIEDZI POJAWIAJĄCYCH SIĘ LUB UNIKATOWYCH TEMATY, LUB JEST PRZEZNACZONY DODATEK INNYCH INFORMACJI Z BAZY WIEDZY.

MICROSOFT I/LUB JEJ DOSTAWCÓW MARKA NR OŚWIADCZENIA LUB GWARANCJE DOTYCZĄCE PRZYDATNOŚCI, WIARYGODNOŚCI I RZETELNOŚCI INFORMACJI ZAWARTYCH W DOKUMENTY I POKREWNE GRAFIKI OPUBLIKOWANE W TEJ WITRYNIE SIECI WEB ("MATERIAŁY") W JAKIMKOLWIEK CELU. MATERIAŁY MOGĄ ZAWIERAĆ NIEŚCISŁOŚCI TECHNICZNE LUB BŁĘDY DRUKARSKIE I MOŻE BYĆ ZMIENIANY W DOWOLNYM CZASIE BEZ UPRZEDZENIA.

W MAKSYMALNYM ZAKRESIE DOZWOLONYM PRZEZ PRAWO, MICROSOFT LUB JEJ DOSTAWCÓW UCHYLANIA I WYKLUCZYĆ OŚWIADCZENIA, GWARANCJE I WARUNKI CZY JAWNYCH, DOMNIEMANYCH LUB USTAWOWYCH, W TYM, ALE NIE OGRANICZONYCH DO OŚWIADCZENIA, GWARANCJE I WARUNKI TYTUŁU BEZ NARUSZENIA, ZADOWALAJĄCYM STANIE LUB JAKOŚCI, PRZYDATNOŚCI HANDLOWEJ I PRZYDATNOŚCI DO OKREŚLONEGO CELU, W ODNIESIENIU DO MATERIAŁÓW.
Właściwości

Identyfikator artykułu: 976918 — ostatni przegląd: 14.02.2017 — zmiana: 1

Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2

Opinia