非 Windows NTLM 或 Kerberos 伺服器的驗證失敗

本文提供數個驗證失敗問題的解決方案，其中NTLM和 Kerberos 伺服器無法驗證 Windows 7 和 Windows Server 2008 R2 型電腦。這是因為通道系結令牌處理方式的差異所造成。

原始 KB 編號： 976918

徵兆

Windows 7 和 Windows Server 2008 R2 支援整合式驗證的延伸保護，預設包含通道系結令牌（CBT）的支援。

您可能會遇到下列一或多個徵兆：

Windows 7 和 Windows Server 2008 R2 支援整合式驗證的擴充保護。這項功能在使用整合式 Windows 驗證（IWA）驗證網路連線時，可增強認證的保護與處理。

預設為 ON。當客戶端嘗試連線到伺服器時，驗證要求會系結至所使用的服務主體名稱（SPN）。此外，當驗證發生在傳輸層安全性（TLS）通道內時，它可以系結至該通道。 NTLM 和 Kerberos 在其訊息中提供其他資訊，以支援這項功能。

此外，Windows 7 和 Windows 2008 R2 計算機也會停用 LMv2。

如果收到 CBT 時非 Windows NTLM 或 Kerberos 伺服器失敗的失敗，請洽詢廠商以取得正確處理 CBT 的版本。

針對非 Windows NTLM 伺服器或 Proxy 伺服器需要 LMv2 的失敗，請洽詢廠商是否有支援 NTLMv2 的版本。

重要

這個章節、方法或工作包含修改登錄的步驟。然而，不當修改登錄可能會發生嚴重的問題。因此，請務必小心執行下列步驟。為增加保護起見，請先備份登錄，再進行修改。然後，如果發生問題，您就可以還原登錄。如需備份和還原登錄的詳細資訊，請參閱如何在 Windows 中備份及還原登錄。

若要控制擴充保護行為，請建立下列登錄子機碼：

對於支持無法由未正確處理 CBT 之非 Windows Kerberos 伺服器驗證之通道系結的 Windows 用戶端：

注意

已解決 Sun Java 的已知問題，以容納接受者可能會忽略啟動器提供的任何通道系結的選項，即使啟動器確實根據 RFC 4121 傳入通道系結，仍會傳回成功。如需詳細資訊，請參閱如果 acceptor 未設定傳入通道系結，請參閱忽略傳入通道系結。

建議您從 Sun Java 網站安裝下列更新，並重新啟用擴充保護： 1.6.0_19 （6u19）中的變更。

對於支持無法由未正確處理 CBT 的非 Windows NTLM 伺服器驗證通道系結的 Windows 用戶端，請將登錄專案值設定為 0x01。這會設定 NTLM 不要針對未修補的應用程式發出 CBT 令牌。

對於需要 LMv2 的非 Windows NTLM 伺服器或 Proxy 伺服器，請將設定為登錄專案值以0x01。這會設定NTLM以提供LMv2回應。

對於時間差異太大的案例：

通道系結令牌（CBT）是驗證延伸保護的一部分。 CBT 是將外部 TLS 安全通道系結至內部通道驗證的機制，例如 Kerberos 或 NTLM。

CBT 是外部安全通道的屬性，用來將驗證系結至通道。

擴充保護是由用戶端以防竄改方式將SPN和 CBT 通訊至伺服器來完成。伺服器會根據其原則驗證擴充保護資訊，並拒絕其不認為自己是預定目標的驗證嘗試。如此一來，兩個通道就會以密碼編譯方式繫結在一起。

Windows XP、Windows Vista、Windows Server 2003 和 Windows Server 2008 現在支持擴充保護。

快速發佈文章會直接從Microsoft支持組織內提供資訊。本文所包含的資訊是為了響應新興或獨特的主題而建立，或旨在補充其他知識庫資訊。

Microsoft及/或其供應商對本網站上所發佈檔及相關圖形中所含資訊的適用性、可靠性或精確度無任何代表或擔保（基於任何目的）。這些材料可能包含技術錯誤或印刷錯誤，隨時可能未經通知修訂。

根據適用法律允許的最大範圍，Microsoft及其供應商不透露，並排除有關材料之特定用途的陳述、默示或法定的所有代表、擔保和條件，包括但不限於擁有權、不侵權、滿意條件或品質、適銷性和適合特定用途的所有陳述、擔保和條件。