你目前正处于脱机状态,正在等待 Internet 重新连接

从 Windows NTLM 或 Kerberos 服务器的身份验证失败

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 976918
摘要
重要这是一个快速的发布文章。有关更多的信息,请参阅"免责声明"一节。

这篇文章提供 NTLM 和 Kerberos,Windows 7 和基于 Windows Server 2008 R2 的计算机不能验证服务器的几种身份验证失败问题的修复程序。这是由通道绑定令牌的处理方式的差异引起的。有关详细的信息,请参阅"症状,""原因",本文"解决办法"部分。

要下载此修补程序以解决此问题,请单击此视图和请求的修补程序下载位于屏幕的左上上的链接。
症状
Windows 7 和 Windows Server 2008 R2 的集成的身份验证,其中包括支持的通道绑定令牌 (CBT),默认情况下支持扩展的保护。

您可能会遇到一个或多个以下症状:
  1. 支持通道绑定的 Windows 客户端无法由 Windows Kerberos 服务器进行身份验证。
  2. 从代理服务器的 NTLM 身份验证失败。
  3. 从 Windows NTLM 服务器的 NTLM 身份验证失败。
  4. NTLM 身份验证失败时在客户端和 DC 或工作组的服务器之间的时间差。
原因
Windows 7 和 Windows Server 2008 R2 集成身份验证支持扩展的保护。使用集成 Windows 身份验证 (IWA) 的网络连接进行身份验证时,此功能增强了保护和处理的凭据。

默认情况下,这为 ON。当客户端连接到一个服务器身份验证请求被绑定到该服务主体名称 (SPN) 使用。此外验证传输层安全 (TLS) 通道内发生,它可以绑定到该通道中。NTLM 和 Kerberos 提供他们支持此功能的邮件中的其他信息。

此外,Windows 7 和 Windows 2008 R2 计算机禁用 LMv2。
解决方案
对于非 Windows NTLM 或 Kerberos 服务器有失败的故障时接收 CBT,检查与该供应商的一个版本,可以正确处理 CBT。

其中非 Windows NTLM 服务器或代理服务器需要 LMv2 故障,咨询供应商支持 NTLMv2 的版本。
替代方法
重要此部分、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重的问题。因此,请务必认真执行这些步骤。已添加的保护备份注册表之前对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表

若要控制扩展的保护行为,创建以下注册表子项:
项目名称:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
值名称:SuppressExtendedProtection
类型:双字节
对于 Windows 客户端的支持由不正确处理 CBT Windows Kerberos 服务器进行身份验证失败的通道绑定:
  1. 设置注册表项的值为"0x01"。这将配置 Kerberos 不发出 CBT 标记为未安装修补程序的应用程序。
  2. 如果仍未解决问题,然后设置该注册表项的值为"0x03"。这将配置 Kerberos 永远不会发出 CBT 标记。

    请注意Sun Java 已以容纳该接受者可能会忽略返回成功即使发起方未传递通道绑定 (根据 RFC 4121 (中任何通道绑定提供的发起人,该选项为消除这一已知问题http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973).

    我们建议您从 Sun Java 站点安装以下更新,并重新启用扩展的保护:
对于 Windows 客户端的支持由不正确处理 CBT Windows NTLM 服务器进行身份验证失败的通道绑定:
  • 设置注册表项的值为"0x01"。这将配置 NTLM 不到发出 CBT 标记为未安装修补程序的应用程序。
对于非 Windows NTLM 服务器或代理服务器需要 LMv2:
  • 设置为该注册表项的值为"0x01"。这将配置 NTLM 提供 LMv2 的响应。
时间差处于太大方案:
  1. 修复客户端的时钟,以反映在域控制器或工作组服务器上的时间。
  2. 如果仍未解决问题,然后设置该注册表项的值为"0x01"。这将配置提供不受时间偏差的 LMv2 响应的 NTLM。
更多信息

CBT (通道绑定令牌) 是什么?

通道绑定令牌 (CBT) 进行身份验证是扩展保护的一部分。CBT 是外部的 TLS 安全通道属性绑定到内部通道例如 Kerberos 或 NTLM 的身份验证机制。

CBT 是外部安全通道用于绑定到该通道的身份验证的属性。

扩展的保护被通过在 SPN 和 CBT 篡改的方式与服务器进行通信的客户端。服务器验证其策略扩展的保护信息,并拒绝,它不会不相信本身已预定的目标的身份验证尝试。此的方式在两个通道成为加密绑定进行。

在 Windows XP、 Windows Vista、 Windows Server 2003 和 Windows Server 2008 中现在支持扩展的保护。

有关扩展保护在 Windows 身份验证的详细信息,请访问下面的 Microsoft 网站:
免责声明
快速的发布文章提供了直接从 MICROSOFT 支持组织中的信息。此处所含信息创建响应新兴或唯一主题,或者是预期的补充其他知识库信息。

MICROSOFT 和/或其供应商进行无表述或担保有关适用性、 可靠性或信息的准确性包含的在文档和相关的图形出于任何目的发布此 WEB 站点 ("材料")。资料可能包括技术错误或打字错误,并可能在任何时候,恕不另行通知进行修订。

在最大允许范围内适用法律、 微软和/或其供应商对本不并排除所有表示法、 担保和条件,速成版隐含或法规,包括但不是限于表述、 担保或条件的标题的非侵权、 令人满意的条件或质量、 适销性和适用性的一个与本材料有关的暗示担保。
属性

文章 ID:976918 - 上次审阅时间:02/12/2011 06:12:00 - 修订版本: 1.0

Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2

  • kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtzh
反馈