Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera rozwiązanie kilku problemów z błędami uwierzytelniania, w których serwery NTLM i Kerberos nie mogą uwierzytelniać komputerów z systemami Windows 7 i Windows Server 2008 R2. Jest to spowodowane różnicami w sposobie obsługi tokenów powiązań kanału.
Oryginalny numer KB: 976918
Symptomy
Systemy Windows 7 i Windows Server 2008 R2 obsługują rozszerzoną ochronę zintegrowanego uwierzytelniania, która domyślnie obsługuje token powiązania kanału (CBT).
Może wystąpić co najmniej jeden z następujących objawów:
- Klienci systemu Windows, którzy obsługują powiązanie kanału, nie mogą być uwierzytelniani przez serwer Kerberos systemu innego niż Windows.
- Błędy uwierzytelniania NTLM z serwerów proxy.
- Błędy uwierzytelniania NTLM z serwerów NTLM innych niż Windows.
- Błędy uwierzytelniania NTLM w przypadku różnicy czasu między klientem a kontrolerem domeny lub serwerem grupy roboczej.
Przyczyna
Systemy Windows 7 i Windows Server 2008 R2 obsługują rozszerzoną ochronę zintegrowanego uwierzytelniania. Ta funkcja zwiększa ochronę i obsługę poświadczeń podczas uwierzytelniania połączeń sieciowych przy użyciu zintegrowanego uwierzytelniania systemu Windows (IWA).
Jest to domyślnie włączone. Gdy klient próbuje nawiązać połączenie z serwerem, żądanie uwierzytelniania jest powiązane z używaną główną nazwą usługi (SPN). Również gdy uwierzytelnianie odbywa się wewnątrz kanału protokołu Transport Layer Security (TLS), może być powiązane z tym kanałem. NTLM i Kerberos udostępniają dodatkowe informacje w swoich komunikatach w celu obsługi tej funkcji.
Ponadto komputery z systemami Windows 7 i Windows 2008 R2 wyłączają maszynę LMv2.
Rozwiązanie
W przypadku awarii, w przypadku których serwery INNEJ niż Windows NTLM lub Kerberos kończą się niepowodzeniem podczas odbierania cbt, sprawdź u dostawcy wersję, która prawidłowo obsługuje cbT.
W przypadku awarii, w których serwery NTLM systemu innego niż Windows lub serwery proxy wymagają LMv2, sprawdź dostawcę wersji obsługującej serwer NTLMv2.
Rozwiązanie
Ważne
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.
Aby kontrolować zachowanie rozszerzonej ochrony, utwórz następujący podklucz rejestru:
- Nazwa klucza:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA - Nazwa wartości: SuppressExtendedProtection
- Typ: DWORD
W przypadku klientów systemu Windows obsługujących powiązanie kanału, których nie można uwierzytelnić za pomocą serwerów Kerberos innych niż Windows, które nie obsługują poprawnie cbT:
- Ustaw wartość wpisu rejestru na 0x01. Spowoduje to skonfigurowanie protokołu Kerberos, aby nie emitować tokenów CBT dla aplikacji niezapoznanych.
- Jeśli to nie rozwiąże problemu, ustaw wartość wpisu rejestru na 0x03. Spowoduje to skonfigurowanie protokołu Kerberos nigdy nie w celu emitowania tokenów CBT.
Uwaga 16.
Istnieje znany problem z językiem Sun Java, który został rozwiązany w celu uwzględnienia opcji, którą akceptowany może zignorować wszelkie powiązania kanału dostarczone przez inicjatora, zwracając powodzenie, nawet jeśli inicjator przekazał powiązania kanału zgodnie z RFC 4121. Aby uzyskać więcej informacji, zobacz ignorowanie powiązania kanału przychodzącego, jeśli nie ustawiono elementu akceptujące.
Zalecamy zainstalowanie następującej aktualizacji z witryny Sun Java i ponowne włączenie rozszerzonej ochrony: zmiany w wersji 1.6.0_19 (6u19).
W przypadku klientów z systemem Windows obsługujących powiązanie kanału, których nie można uwierzytelnić przez serwery NTLM systemu innego niż Windows, które nie obsługują poprawnie cbT, ustaw wartość wpisu rejestru na 0x01. Spowoduje to skonfigurowanie protokołu NTLM, aby nie emitować tokenów CBT dla aplikacji niezaznaczonej.
W przypadku serwerów innych niż Windows NTLM lub serwerów proxy, które wymagają LMv2, ustaw wartość wpisu rejestru na 0x01. Spowoduje to skonfigurowanie protokołu NTLM w celu zapewnienia odpowiedzi LMv2.
W przypadku scenariusza, w którym różnica czasu jest zbyt duża:
- Napraw zegar klienta, aby odzwierciedlić czas na kontrolerze domeny lub serwerze grupy roboczej.
- Jeśli to nie rozwiąże problemu, ustaw wartość wpisu rejestru na 0x01. Spowoduje to skonfigurowanie protokołu NTLM w celu zapewnienia odpowiedzi LMv2, które nie podlegają niesymetryczności czasu.
Co to jest CBT (token powiązania kanału)?
Token powiązania kanału (CBT) jest częścią rozszerzonej ochrony uwierzytelniania. CBT to mechanizm powiązania zewnętrznego bezpiecznego kanału TLS z uwierzytelnianiem kanału wewnętrznego, takim jak Kerberos lub NTLM.
CBT to właściwość zewnętrznego bezpiecznego kanału używanego do powiązania uwierzytelniania z kanałem.
Rozszerzona ochrona jest realizowana przez klienta komunikującego nazwę SPN i CBT z serwerem w sposób odporny na naruszenia. Serwer weryfikuje informacje o rozszerzonej ochronie zgodnie z jego zasadami i odrzuca próby uwierzytelniania, dla których sam nie uważa, że był zamierzonym celem. W ten sposób dwa kanały stają się powiązane kryptograficznie.
Rozszerzona ochrona jest teraz obsługiwana w systemach Windows XP, Windows Vista, Windows Server 2003 i Windows Server 2008.
Zastrzeżenie
Artykuły szybkiego publikowania zawierają informacje bezpośrednio z organizacji pomocy technicznej firmy Microsoft. Informacje zawarte w niniejszym dokumencie są tworzone w odpowiedzi na pojawiające się lub unikatowe tematy albo mają uzupełniać inne informacje baza wiedzy.
Firma Microsoft i/lub jej dostawcy nie składają żadnych oświadczeń ani gwarancji dotyczących przydatności, niezawodności lub dokładności informacji zawartych w dokumentach i powiązanych grafikach opublikowanych na tej stronie internetowej ("materiały") w żadnym celu. Materiały mogą zawierać niedokładności techniczne lub błędy typograficzne i mogą być zmieniane w dowolnym momencie bez powiadomienia.
W maksymalnym zakresie dozwolonym przez obowiązujące prawo, Microsoft i/lub jej dostawcy nie mogą odzyskiwać i wykluczać wszystkich oświadczeń, gwarancji i warunków, w tym zarówno wyraźnych, domniemanych, jak i ustawowych, w tym, w odniesieniu do reprezentacji, gwarancji lub warunków tytułu, nienależących do naruszenia, zadowalającego stanu lub jakości, możliwości handlowej i przydatności do określonego celu, w odniesieniu do materiałów.