Condividi tramite

Errore di autenticazione da server Non Windows NTLM o Kerberos

  • Articolo

Questo articolo offre una soluzione a diversi problemi di autenticazione in cui i server NTLM e Kerberos non possono autenticare computer basati su Windows 7 e Windows Server 2008 R2. Ciò è causato dalle differenze nel modo in cui i token di associazione del canale sono handle.

Numero KB originale: 976918

Sintomi

Windows 7 e Windows Server 2008 R2 supportano la protezione estesa per l'autenticazione integrata che include il supporto per il token di associazione di canale (CBT) per impostazione predefinita.

È possibile che si verifichino uno o più dei sintomi seguenti:

  • I client Windows che supportano l'associazione di canali non possono essere autenticati da un server Kerberos non Windows.
  • Errori di autenticazione NTLM dai server proxy.
  • Errori di autenticazione NTLM da server NTLM non Windows.
  • Errori di autenticazione NTLM quando si verifica una differenza di tempo tra il client e il server del controller di dominio o del gruppo di lavoro.

Causa

Windows 7 e Windows Server 2008 R2 supportano la protezione estesa per l'autenticazione integrata. Questa funzionalità migliora la protezione e la gestione delle credenziali durante l'autenticazione delle connessioni di rete tramite l'autenticazione integrata di Windows (IWA).

Questa opzione è ATTIVATA per impostazione predefinita. Quando un client tenta di connettersi a un server, la richiesta di autenticazione viene associata al nome dell'entità servizio (SPN) usato. Inoltre, quando l'autenticazione viene eseguita all'interno di un canale TLS (Transport Layer Security), può essere associata a tale canale. NTLM e Kerberos forniscono informazioni aggiuntive nei messaggi per supportare questa funzionalità.

Inoltre, i computer Windows 7 e Windows 2008 R2 disabilitano LMv2.

Risoluzione

Per gli errori in cui i server NON WINDOWS NTLM o Kerberos hanno esito negativo durante la ricezione di CBT, rivolgersi al fornitore per verificare se una versione che gestisce correttamente CBT.

Per gli errori in cui i server NTLM o i server proxy non Windows richiedono LMv2, rivolgersi al fornitore per una versione che supporta NTLMv2.

Soluzione alternativa

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Per controllare il comportamento di protezione estesa, creare la seguente sottochiave del Registro di sistema:

  • Nome chiave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • Nome valore: SuppressExtendedProtection
  • Tipo: DWORD

Per i client Windows che supportano l'associazione di canali che non riescono a essere autenticati da server Kerberos non Windows che non gestiscono correttamente cbt:

  1. Impostare il valore della voce del Registro di sistema su 0x01. Verrà configurato Kerberos per non generare token CBT per le applicazioni senza patch.
  2. Se il problema non viene risolto, impostare il valore della voce del Registro di sistema su 0x03. In questo modo Kerberos non verrà mai generato token CBT.

Note

Si è verificato un problema noto con Sun Java che è stato risolto per supportare l'opzione che l'acceptor potrebbe ignorare le associazioni di canale fornite dall'iniziatore, restituendo l'esito positivo anche se l'iniziatore ha passato associazioni di canale in base a RFC 4121. Per altre informazioni, vedere Ignorare l'associazione di canali in ingresso se acceptor non ne imposta uno.

È consigliabile installare l'aggiornamento seguente dal sito Sun Java e riabilitare la protezione estesa: modifiche nella versione 1.6.0_19 (6u19).

Per i client Windows che supportano l'associazione di canali che non riescono a essere autenticati da server NTLM non Windows che non gestiscono correttamente cbt, impostare il valore della voce del Registro di sistema su 0x01. Verrà configurato NTLM per non generare token CBT per le applicazioni senza patch.

Per server proxy o server non Windows NTLM che richiedono LMv2, impostare sul valore della voce del Registro di sistema su 0x01. Verrà configurato NTLM per fornire risposte LMv2.

Per lo scenario in cui la differenza di tempo è troppo grande:

  1. Correzione dell'orologio del client per riflettere l'ora nel controller di dominio o nel server del gruppo di lavoro.
  2. Se il problema non viene risolto, impostare il valore della voce del Registro di sistema su 0x01. Verrà configurato NTLM per fornire risposte LMv2 non soggette a sfasamento temporale.

Che cos'è CBT (channel binding token)?

Token di associazione del canale (CBT) fa parte della protezione estesa per l'autenticazione. CBT è un meccanismo per associare un canale sicuro TLS esterno all'autenticazione del canale interno, ad esempio Kerberos o NTLM.

CBT è una proprietà del canale protetto esterno usato per associare l'autenticazione al canale.

La protezione estesa viene eseguita dal client che comunica il nome SPN e il CBT al server in modo antimanomissione. Il server convalida le informazioni di protezione estesa in base ai criteri e rifiuta i tentativi di autenticazione per i quali non ritiene di essere stata la destinazione prevista. In questo modo, i due canali vengono associati con crittografia.

La protezione estesa è ora supportata in Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Dichiarazione di non responsabilità

Gli articoli di pubblicazione rapida forniscono informazioni direttamente dall'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono create in risposta a argomenti emergenti o univoci oppure sono destinate a integrare altre informazioni della Knowledge Base.

Microsoft e/o i suoi fornitori non forniscono alcuna rappresentazione o garanzia sull'idoneità, l'affidabilità o l'accuratezza delle informazioni contenute nei documenti e gli elementi grafici correlati pubblicati su questo sito Web (i "materiali") per qualsiasi scopo. I materiali possono includere imprecisioni tecniche o errori tipografici e possono essere rivisti in qualsiasi momento senza preavviso.

Nella misura massima consentita dalla legge applicabile, Microsoft e/o i relativi fornitori disclaimmetteno ed escludono tutte le rappresentazioni, le garanzie e le condizioni che si tratti di rappresentazioni, implicite o legali, incluse, ad esempio, rappresentazioni, garanzie o condizioni di titolo, non violazione, condizione soddisfacente o qualità, commerciabilità e idoneità per uno scopo specifico, in relazione ai materiali.