通过

非 Windows NTLM 或 Kerberos 服务器的身份验证失败

  • 项目

本文提供了几种身份验证失败问题的解决方案,其中 NTLM 和 Kerberos 服务器无法对基于 Windows 7 和 Windows Server 2008 R2 的计算机进行身份验证。 这是因为通道绑定令牌的处理方式存在差异。

原始 KB 数: 976918

现象

默认情况下,Windows 7 和 Windows Server 2008 R2 支持对集成身份验证的扩展保护,其中包括对通道绑定令牌(CBT)的支持。

可能会遇到以下一个或多个症状:

  • 支持通道绑定的 Windows 客户端无法由非 Windows Kerberos 服务器进行身份验证。
  • 代理服务器的 NTLM 身份验证失败。
  • 非 Windows NTLM 服务器的 NTLM 身份验证失败。
  • 当客户端与 DC 或工作组服务器之间存在时间差异时,NTLM 身份验证失败。

原因

Windows 7 和 Windows Server 2008 R2 支持集成身份验证的扩展保护。 此功能增强了使用集成 Windows 身份验证(IWA)对网络连接进行身份验证时凭据的保护和处理。

默认为 ON。 当客户端尝试连接到服务器时,身份验证请求将绑定到所使用的服务主体名称(SPN)。 此外,当身份验证发生在传输层安全性 (TLS) 通道内时,它可以绑定到该通道。 NTLM 和 Kerberos 在其消息中提供其他信息以支持此功能。

此外,Windows 7 和 Windows 2008 R2 计算机禁用 LMv2。

解决方法

如果收到 CBT 时非 Windows NTLM 或 Kerberos 服务器失败,请与供应商联系,了解正确处理 CBT 的版本。

对于非 Windows NTLM 服务器或代理服务器需要 LMv2 的故障,请与供应商联系,了解支持 NTLMv2 的版本。

解决方法

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅:如何备份和还原 Windows 中的注册表

若要控制扩展保护行为,请创建以下注册表子项:

  • 键名:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • 值名称:SuppressExtendedProtection
  • 类型:DWORD

对于支持无法由未正确处理 CBT 的非 Windows Kerberos 服务器进行身份验证的通道绑定的 Windows 客户端:

  1. 将注册表项值设置为0x01。 这会将 Kerberos 配置为不为未修补的应用程序发出 CBT 令牌。
  2. 如果这无法解决问题,请将注册表项值设置为0x03。 这将配置 Kerberos 永远不会发出 CBT 令牌。

注意

Sun Java 存在一个已知问题,它已被解决以容纳接受者可能会忽略发起程序提供的任何通道绑定的选项,即使发起程序确实按照 RFC 4121 传入通道绑定,也会返回成功。 有关详细信息,请参阅如果接受程序未设置传入通道绑定,请参阅忽略传入通道绑定。

建议从 Sun Java 站点安装以下更新并重新启用扩展保护: 1.6.0_19(6u19)中的更改。

对于支持无法由未正确处理 CBT 的非 Windows NTLM 服务器进行身份验证的通道绑定的 Windows 客户端,请将注册表项值设置为0x01。 这会将 NTLM 配置为不为未修补的应用程序发出 CBT 令牌。

对于需要 LMv2 的非 Windows NTLM 服务器或代理服务器,请将注册表项值设置为0x01。 这将配置 NTLM 以提供 LMv2 响应。

对于时间差异太大的情况:

  1. 修复客户端的时钟,以反映域控制器或工作组服务器上的时间。
  2. 如果这无法解决问题,请将注册表项值设置为0x01。 这将配置 NTLM 以提供不受时间偏差的 LMv2 响应。

什么是 CBT (通道绑定令牌) ?

通道绑定令牌(CBT)是用于身份验证的扩展保护的一部分。 CBT 是将外部 TLS 安全通道绑定到内部通道身份验证(如 Kerberos 或 NTLM)的机制。

CBT 是外部安全通道的属性,用于将身份验证绑定到通道。

扩展保护由客户端以防篡改方式将 SPN 和 CBT 通信到服务器来完成。 服务器根据其策略验证扩展保护信息,并拒绝其不认为自己是预期目标的身份验证尝试。 这样,两个通道加密绑定在一起。

Windows XP、Windows Vista、Windows Server 2003 和 Windows Server 2008 现在支持扩展保护。

免责声明

快速发布文章直接从Microsoft支持组织内提供信息。 本文中包含的信息是针对新兴或独特的主题创建的,或旨在补充其他知识库信息。

Microsoft和/或其供应商对此网站上发布的文档和相关图形中包含的信息的适用性、可靠性和准确性不作任何陈述或保证(“材料”)。 这些材料可能包括技术不准确或版式错误,随时可以不通知地进行修订。

在适用法律允许的最大范围内,Microsoft和/或其供应商否认并排除所有表示、默示或法定条件,包括包括但不限于陈述、担保或标题条件、不侵权、满意条件或质量、适销性和针对特定目的的适用性。