您目前已離線,請等候您的網際網路重新連線

從非 Windows NTLM 或 Kerberos 伺服器的驗證失敗

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:976918
摘要
重要這是快速發行的發行項。如需詳細的資訊,請參閱 「 免責聲明 」 一節。

這份文件提供數個 NTLM 和 Kerberos Windows 7 和 Windows Server 2008 R2 型的電腦,無法驗證伺服器的驗證失敗問題的修正程式。這被因為通道繫結的語彙基元是處理方式的差異。如需詳細資訊,請參閱 「 症狀,"「 原因 」 與本文 〈 解決方案 〉 章節。

若要下載這個問題的修正程式,請按一下檢視和要求的 hotfix 下載左上角的 [在螢幕上的連結。
徵狀
Windows 7 和 Windows Server 2008 R2 支援包括預設支援的通道繫結語彙基元 (CBT) 的整合式驗證延伸保護。

您可能會遇到下列一或多個下列徵狀:
 1. 支援通道繫結的 Windows 用戶端無法由非 Windows Kerberos 伺服器進行驗證。
 2. 從 [Proxy 伺服器的 NTLM 驗證失敗。
 3. 從非 Windows NTLM 的伺服器的 NTLM 驗證失敗。
 4. NTLM 驗證失敗時用戶端與 DC 或工作群組的伺服器之間的時間差異。
發生的原因
Windows 7 和 Windows Server 2008 R2 支援整合式驗證延伸保護。驗證使用整合式 Windows 驗證 」 (IWA) 的網路連線時,此功能可增強保護與處理認證的。

這會根據預設值為 ON。當用戶端嘗試連線到伺服器時,驗證要求所繫結至 「 服務主要名稱 (SPN) 使用。也時,驗證會在傳輸層安全性 (TLS) 通道,就可以繫結到該頻道。NTLM 和 Kerberos 提供他們支援此功能的郵件中的其他資訊。

而且,Windows 7 與 Windows 2008 R2 電腦停用 LMv2。
解決方案
失敗非 Windows NTLM 或 Kerberos 伺服器在接收 CBT 時請洽詢版本會正確地處理 CBT。

非 Windows NTLM 伺服器或 proxy 伺服器需要 LMv2 的失敗,請版本支援 NTLMv2 廠商。
其他可行方案
重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。但是,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強的保護在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756如何備份和還原在 Windows 登錄

若要控制延伸的保護行為,建立下列登錄子機碼:
機碼名稱:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
數值名稱:SuppressExtendedProtection
型別:DWORD
Windows 用戶端支援無法正確處理 「 CBT 的非 Windows Kerberos 伺服器驗證失敗的通道繫結:
 1. 將登錄項目值為"0x01 」。這將會設定 Kerberos 不發出未更新的應用程式的 CBT 語彙基元。
 2. 如果,仍然無法解決問題,然後設定登錄項目值,以"0x03"。這將會設定 Kerberos 永遠不會發出 CBT 語彙基元。

  附註太陽 Java 可容納的選項,傳送可能會忽略在通道繫結,根據 RFC 4121 (即使未通過初始傳回成功的初始端所提供的任何通道連結已處理的已知問題http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973).

  我們建議您從太陽 Java 站台安裝下列更新並重新啟用 「 延伸的保護:
Windows 用戶端支援無法正確處理 「 CBT 的非 Windows NTLM 伺服器驗證失敗的通道繫結:
 • 將登錄項目值為"0x01 」。這將會設定 NTLM 不到發出未更新的應用程式的 CBT 語彙基元。
非 Windows NTLM 伺服器或 proxy 伺服器需要 LMv2:
 • 設定登錄項目值為"0x01 」。這將會設定 NTLM,以便提供 LMv2 的回應。
時間差異是太大的分析藍本:
 1. 解決用戶端的時鐘,以反映在網域控制站或工作群組伺服器上的時間。
 2. 如果,仍然無法解決問題,然後設定登錄項目值為"0x01 」。這將會設定 NTLM,以便提供 LMv2 的回應不會受到時間差異。
其他相關資訊

繫結 Token 通道) 的 CBT 是什麼?

通道繫結語彙基元 (CBT) 做為驗證延伸保護 」 的一部分。CBT 是一種機制,將繫結至內部通道驗證,例如 Kerberos 或 NTLM 的外部的 TLS 安全通道。

CBT 是用來繫結驗證通道的安全通道外的屬性。

延伸的保護被透過用戶端通訊 SPN,因為誤用而出錯的方式伺服器 CBT。伺服器會驗證延伸的保護資訊,以配合其原則,並且拒絕的驗證嘗試,它不會認為本身已預期的目標。這個的方式兩個通道成為密碼編譯的方式結合在一起。

在 Windows XP,Windows Vista,Windows Server 2003 和 Windows Server 2008 中現在支援擴充的保護。

如需有關在 Windows 中的驗證延伸保護的詳細資訊,請造訪下列 Microsoft 網站:
免責聲明
快速發佈文件提供了直接從 MICROSOFT 支援組織內的資訊。此處所包含的資訊建立的新興或唯一主題,或預期補充其他知識庫資訊。

MICROSOFT 和/或供應商請否表示或擔保適用性、 可靠性或資訊的正確性所包含的文件與相關的圖形任何目的發行於此網站 (將 「 資料 」)。資料可能包含技術上的錯誤或印刷錯誤,可能會加以修訂,在任何時候,恕不另行通知。

法律、 MICROSOFT 和/或其供應商適用所允許的最大範圍內不負其責,是否表示、 擔保,或條件的標題不侵害他人權益、 令人滿意的條件或品質、 適售性以及適合相對於內資料的某特定用途有限的默示或法定但不是包括的快速排除所有的表示法、 擔保和條件]。
內容

文章識別碼:976918 - 最後檢閱時間:02/12/2011 06:12:00 - 修訂: 1.0

Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2

 • kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtzh
意見反應