NTLM または Kerberos サーバー以外Windows認証エラー

この記事では、NTLM サーバーと Kerberos サーバーが Windows 7 および Windows Server 2008 R2 ベースのコンピューターを認証できないいくつかの認証エラーの問題に対する解決策を提供します。 これは、チャネル バインド トークンの処理方法の違いによって発生します。

適用対象:  Windows 7 Service Pack 1, Windows Server 2012 R2
元の KB 番号:   976918

現象

Windows 7 および Windows Server 2008 R2 では、チャネル バインド トークン (CBT) のサポートを含む統合認証の拡張保護が既定でサポートされています。

次の現象が 1 つ以上発生する場合があります。

  • Windowsバインドをサポートするクライアントは、Kerberos サーバー以外のクライアントWindowsできません。
  • プロキシ サーバーからの NTLM 認証エラー。
  • NTLM サーバー以外からの NTLM 認証Windows失敗します。
  • NTLM 認証は、クライアントサーバーと DC サーバーまたはワークグループ サーバーの間に時間差がある場合に失敗します。

原因

Windows 7 および Windows Server 2008 R2 では、統合認証の拡張保護がサポートされています。 この機能は、統合認証 (IWA) を使用してネットワーク接続を認証する際の資格情報の保護と処理Windows強化します。

これは既定で ON です。 クライアントがサーバーに接続しようとすると、認証要求は使用されるサービス プリンシパル名 (SPN) にバインドされます。 また、認証がトランスポート層セキュリティ (TLS) チャネル内で行う場合は、そのチャネルにバインドできます。 NTLM と Kerberos は、この機能をサポートするためにメッセージに追加情報を提供します。

また、7 Windows 2008 R2 コンピューター Windows LMv2 が無効になります。

解決方法

CBT を受信するときに、Windows NTLM サーバーまたは Kerberos サーバーで障害が発生した場合は、CBT を正しく処理するバージョンをベンダーに確認してください。

NTLM サーバーまたはプロキシ サーバー Windows LMv2 が必要な場合は、NTLMv2 をサポートするバージョンをベンダーに確認してください。

回避策

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

拡張保護動作を制御するには、次のレジストリ サブキーを作成します。

  • キー名: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • 値の名前: SuppressExtendedProtection
  • 種類: DWORD

CBT Windowsを正しく処理しない Kerberos サーバー以外で認証できないチャネル バインドをサポートWindowsクライアントの場合は、次の手順を実行します。

  1. レジストリ エントリの値を [レジストリ] に0x01。 これにより、Kerberos は、パッチが適用されていないアプリケーションの CBT トークンを生成しなく設定されます。
  2. それでも問題が解決しない場合は、レジストリ エントリの値を [レジストリ エントリ] に0x03。 これにより、Kerberos は CBT トークンを発行しない構成になります。

注意

Sun Java には既知の問題があります。これは、イニシエーターが提供するチャネル バインドを、イニシエーターが RFC 4121 で渡した場合でも成功を返すというオプションに対応するために対処されています。 詳細については、「acceptor が 1 つを設定しない場合は、受信チャネル バインドを 無視する」を参照してください

Sun Java サイトから次の更新プログラムをインストールし、拡張保護を再び有効にすることをお勧めします 。1.6.0_19 (6u19)の変更点。

CBT を正しく処理しない Windows 以外の NTLM サーバーによって認証されないチャネル バインドをサポートするクライアントの場合は、レジストリ エントリの値を 0x01 に設定します。 Windows これにより、パッチが適用されていないアプリケーションの CBT トークンを生成しない NTLM が構成されます。

LMv2 をWindowsする NTLM サーバーまたはプロキシ サーバー以外の場合は、レジストリ エントリの値に設定して、0x01。 これにより、LMv2 応答を提供する NTLM が構成されます。

時間差が大きすぎるシナリオの場合:

  1. ドメイン コントローラーまたはワークグループ サーバーの時刻を反映するようにクライアントのクロックを修正します。
  2. それでも問題が解決しない場合は、レジストリ エントリの値を [レジストリ エントリ] に0x01。 これにより、時間のスキューの対象とされない LMv2 応答を提供する NTLM が構成されます。

CBT (チャネル バインド トークン) とは

チャネル バインド トークン (CBT) は、認証の拡張保護の一部です。 CBT は、外部 TLS セキュア チャネルを Kerberos や NTLM などの内部チャネル認証にバインドするメカニズムです。

CBT は、認証をチャネルにバインドするために使用される外部セキュリティで保護されたチャネルのプロパティです。

拡張保護は、SPN と CBT を改ざん防止の方法でサーバーに通信するクライアントによって実現されます。 サーバーは、ポリシーに従って拡張保護情報を検証し、それ自体が意図したターゲットとは考えられない認証の試行を拒否します。 これにより、2 つのチャネルが暗号化的に結合されます。

拡張保護は、Windows XP、Windows Vista、Windows Server 2003、Windows Server 2008 でサポートされています。

免責事項

迅速な発行記事は、Microsoft サポート組織内から直接情報を提供します。 ここに含まれる情報は、新しいトピックや固有のトピックに対応して作成される、または他のナレッジ ベース情報を補完することを目的とします。

Microsoft および/またはサプライヤーは、この Web サイトに公開されているドキュメントおよび関連するグラフィックス ("マテリアル") に含まれる情報の適合性、信頼性、正確性について、いかなる目的でも表明または保証を行いません。 資料には技術的な誤りや誤字が含まれる場合があります。また、予告なしにいつでも改訂される場合があります。

適用される法律で許容される最大限の範囲で、Microsoft および/またはサプライヤーは、明示的、黙示的、または法的に関わるすべての表明、保証、および条件 (表題、保証、またはタイトルの条件を含むがこれらに限定されない)、権利侵害、満足のいく条件または品質、商品性および特定の目的に関する特定の目的に対する適性を放棄し、除外します。