Сбой проверки подлинности на серверах NTLM или Kerberos, отличных от Windows

  • Статья

В этой статье описано решение нескольких проблем с проверкой подлинности, из-за которых серверы NTLM и Kerberos не могут пройти проверку подлинности на компьютерах под управлением Windows 7 и Windows Server 2008 R2. Это вызвано различиями в способе обработки маркеров привязки каналов.

Применимо к: Windows Server 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний: 976918

Симптомы

Windows 7 и Windows Server 2008 R2 поддерживают расширенную защиту для встроенной проверки подлинности, которая по умолчанию включает поддержку маркера привязки канала (CBT).

У вас может возникнуть один или несколько из следующих симптомов:

  • Клиенты Windows, поддерживающие привязку каналов, не проходят проверку подлинности на сервере Kerberos, отличном от Windows.
  • Сбои проверки подлинности NTLM с прокси-серверов.
  • Сбои проверки подлинности NTLM на серверах NTLM, отличных от Windows.
  • Сбои проверки подлинности NTLM при разнице во времени между клиентом и контроллером домена или сервером рабочей группы.

Причина

Windows 7 и Windows Server 2008 R2 поддерживают расширенную защиту для встроенной проверки подлинности. Эта функция повышает защиту и обработку учетных данных при проверке подлинности сетевых подключений с помощью встроенной проверки подлинности Windows (IWA).

По умолчанию используется значение ON. Когда клиент пытается подключиться к серверу, запрос проверки подлинности привязывается к используемому имени субъекта-службы (SPN). Кроме того, когда проверка подлинности выполняется внутри канала TLS, ее можно привязать к нему. NTLM и Kerberos предоставляют дополнительные сведения в своих сообщениях для поддержки этой функции.

Кроме того, компьютеры с Windows 7 и Windows 2008 R2 отключают LMv2.

Разрешение

Если при получении CBT происходит сбой серверов, отличных от Windows NTLM или Kerberos, проверка с поставщиком версию, которая правильно обрабатывает CBT.

При сбоях, когда для серверов NTLM или прокси-серверов, отличных от Windows, требуется LMv2, проверка с поставщиком для версии, поддерживающей NTLMv2.

Обходной путь

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в статье Резервное копирование и восстановление реестра в Windows .

Чтобы управлять поведением расширенной защиты, создайте следующий подраздел реестра:

  • Имя ключа: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • Имя значения: SuppressExtendedProtection
  • Тип: DWORD

Для клиентов Windows, поддерживающих привязку каналов, которые не проходят проверку подлинности на серверах Kerberos, отличных от Windows, которые неправильно обрабатывают CBT:

  1. Задайте для записи реестра значение 0x01. Это позволит Kerberos не выдавать маркеры CBT для непатшированных приложений.
  2. Если проблема не устранена, задайте для записи реестра значение 0x03. Это позволит Kerberos никогда не выдавать маркеры CBT.

Примечание.

Существует известная проблема с Sun Java, которая была решена, чтобы обеспечить возможность того, что акцемптор может игнорировать любые привязки каналов, предоставленные инициатором, возвращая успех, даже если инициатор передал привязки каналов в соответствии с RFC 4121. Дополнительные сведения см. в разделе Игнорировать привязку входящего канала, если акцемптор не устанавливает ее.

Рекомендуется установить следующее обновление с сайта Sun Java и повторно включить расширенную защиту: Изменения в версии 1.6.0_19 (6u19).

Для клиентов Windows, поддерживающих привязку каналов, для которых не удается пройти проверку подлинности на серверах NTLM, отличных от Windows, которые неправильно обрабатывают CBT, задайте для записи реестра значение 0x01. Это позволит NTLM не выдавать маркеры CBT для непатшированных приложений.

Для серверов NTLM, отличных от Windows, или прокси-серверов, для которых требуется LMv2, задайте для параметра записи реестра значение 0x01. Это настроит NTLM для предоставления ответов LMv2.

Для сценария, в котором разница во времени слишком велика:

  1. Исправьте часы клиента, чтобы отразить время на контроллере домена или сервере рабочей группы.
  2. Если это не поможет устранить проблему, задайте для записи реестра значение 0x01. Это настроит NTLM для предоставления ответов LMv2, которые не подвержены перекосу во времени.

Что такое CBT (токен привязки канала)?

Токен привязки канала (CBT) является частью расширенной защиты для проверки подлинности. CBT — это механизм привязки внешнего защищенного канала TLS к проверке подлинности внутреннего канала, например Kerberos или NTLM.

CBT — это свойство внешнего безопасного канала, используемого для привязки проверки подлинности к каналу.

Расширенная защита выполняется клиентом, который обменивает имя субъекта-службы и CBT с сервером в режиме защиты от незаконного изменения. Сервер проверяет сведения о расширенной защите в соответствии со своей политикой и отклоняет попытки проверки подлинности, для которых он не считает себя целевой целью. Таким образом, два канала становятся криптографически связанными друг с другом.

Расширенная защита теперь поддерживается в Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008.

Заявление об отказе от ответственности

Статьи о быстрой публикации содержат сведения непосредственно из организации поддержки Майкрософт. Информация, содержащаяся в этом документе, создается в ответ на новые или уникальные темы или предназначена для дополнения других база знаний информации.

Корпорация Майкрософт и (или) ее поставщики не делают никаких заявлений или гарантий относительно пригодности, надежности или точности информации, содержащейся в документах и связанных с ними рисунках, опубликованных на этом веб-сайте ("материалы"), для каких-либо целей. Материалы могут содержать технические неточности или опечатки и могут быть пересмотрены в любое время без уведомления.

В максимальной степени, разрешенной применимым законодательством, корпорация Майкрософт и (или) ее поставщики отказывается от ответственности и исключают все заявления, гарантии и условия, будь то явные, подразумеваемые или установленные законом, включая, помимо прочего, представления, гарантии или условия правового титула, ненарушения, удовлетворительное состояние или качество, товарное качество и пригодность для конкретной цели в отношении материалов.