来自非 Windows NTLM 或 Kerberos 服务器的身份验证失败

本文提供了多个身份验证失败问题的解决方案，其中 NTLM 和 Kerberos 服务器无法对基于 Windows 7 和 Windows Server 2008 R2 的计算机进行身份验证。这是由通道绑定令牌的句柄方式的差异引起的。

适用于：Windows 7 Service Pack 1，Windows Server 2012 R2
原始 KB 编号： 976918

症状

Windows 7 和 Windows Server 2008 R2 支持集成身份验证的扩展保护，其中包括默认支持通道绑定令牌 (CBT) 。

可能会遇到以下一个或多个症状：

Windows 7 和 Windows Server 2008 R2 支持集成身份验证的扩展保护。使用集成 Windows 身份验证 (IWA) 对网络连接进行身份验证时，此功能增强了对凭据的保护和处理。

默认为 ON。当客户端尝试连接到服务器时，身份验证请求将绑定到使用的服务主体名称 (SPN) 。此外，当身份验证在传输层安全性 (TLS) 通道内进行时，可以绑定到该通道。 NTLM 和 Kerberos 在其消息中提供了其他信息来支持此功能。

此外，Windows 7 和 Windows 2008 R2 计算机禁用 LMv2。

对于非 Windows NTLM 或 Kerberos 服务器在接收 CBT 时失败的故障，请与供应商检查正确处理 CBT 的版本。

对于非 Windows NTLM 服务器或代理服务器需要 LMv2 的故障，请与供应商检查支持 NTLMv2 的版本。

重要

此部分（或称方法或任务）介绍了修改注册表的步骤。但是，注册表修改不当可能会出现严重问题。因此，请务必严格按照这些步骤操作。为了加强保护，应先备份注册表，再进行修改。如果出现问题，可以还原注册表。有关如何备份和还原注册表的详细信息，请参阅如何在 Windows 中备份和还原注册表。

若要控制扩展保护行为，请创建以下注册表子项：

对于支持无法由未正确处理 CBT 的非 Windows Kerberos 服务器进行身份验证的通道绑定的 Windows 客户端：

注意

Sun Java 存在一个已知问题，该问题已得到解决，以便接受者可以忽略发起方提供的任何通道绑定，即使发起方确实按照 RFC 4121 传入通道绑定，也会返回成功。有关详细信息，请参阅如果接受者未设置传入通道绑定，则忽略传入通道绑定。

建议从 Sun Java 站点安装以下更新并重新启用扩展保护： 1.6.0_19 (6u19) 中的更改。

对于支持通道绑定但无法由未正确处理 CBT 的非 Windows NTLM 服务器进行身份验证的 Windows 客户端，请将注册表项值设置为0x01。这会将 NTLM 配置为不为未修补的应用程序发出 CBT 令牌。

对于需要 LMv2 的非 Windows NTLM 服务器或代理服务器，请将设置为注册表项值以0x01。这会配置 NTLM 以提供 LMv2 响应。

对于时差太大的情况：

通道绑定令牌 (CBT) 是扩展身份验证保护的一部分。 CBT 是一种将外部 TLS 安全通道绑定到内部通道身份验证（如 Kerberos 或 NTLM）的机制。

CBT 是用于将身份验证绑定到通道的外部安全通道的属性。

扩展保护是通过客户端以防篡改的方式将 SPN 和 CBT 与服务器通信来实现的。服务器根据其策略验证扩展保护信息，并拒绝其认为自己不是预期目标的身份验证尝试。这样，这两个通道就以加密方式绑定在一起。

Windows XP、Windows Vista、Windows Server 2003 和 Windows Server 2008 现在支持扩展保护。

快速发布文章直接从 Microsoft 支持组织内部提供信息。此处包含的信息是针对新出现或独特的主题创建的，或旨在补充其他知识库信息。

Microsoft 和/或其供应商对网站上发布的文档和相关图形中包含的信息的适用性、可靠性或准确性不作任何声明或保证， (“材料”) 出于任何目的。这些材料可能包含技术不准确或排版错误，可随时在不通知的情况下进行修改。

在适用法律允许的最大范围内，Microsoft 和/或其供应商拒绝并排除所有明示、默示或法定的陈述、保证和条件，包括但不限于与材料有关的所有权、不侵权、令人满意的条件或质量、适销性和特定用途适用性的陈述、保证或条件。