DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 976918 - Geändert am: Samstag, 12. Februar 2011 - Version: 2.0

 

Auf dieser Seite

Zusammenfassung

WichtigDies ist eine schnelle Veröffentlichung Artikel. Weitere Informationen finden Sie im Abschnitt "Haftungsausschluss".

Dieser Artikel bietet eine Lösung für mehrere Authentifizierungsprobleme Ausfall bei dem NTLM, die und Kerberos Server Windows 7 und Windows Server 2008 R2-basierten Computer authentifizieren können. Dies wird durch Unterschiede in der Art und Weise verursacht, dass Channel-Bindung Token Handles sind. Ausführliche Informationen finden Sie unter "Problembeschreibung," "Ursache" und Abschnitten "Lösung" dieses Artikels.

Um die Fehlerbehebung für dieses Problem zu downloaden, klicken Sie auf dieAnsicht und Anforderung Hotfix-downloadsLink, der auf der linken oberen Rand des Bildschirms befindet.

Problembeschreibung

Windows 7 und Windows Server 2008 R2 unterstützen erweiterte Schutz für die integrierte Authentifizierung für die Unterstützung für Kanal Bindung Token (CBT) in der Standardeinstellung enthält.

Sie können eine oder mehrere der folgenden Symptome auftreten:
  1. Channel-Bindung unterstützen Windows-Clients nicht von einem nicht - Windows Kerberos-Server authentifiziert werden.
  2. NTLM-Authentifizierungsfehler von Proxy-Servern.
  3. NTLM-Authentifizierungsfehler von Windows NTLM - Servern.
  4. Authentifizierungsfehler NTLM, wenn ein Zeitunterschied zwischen dem Client und dem DC oder Workgroup-Server vorhanden ist.

Ursache

Windows 7 und Windows Server 2008 R2 unterstützen erweiterte Schutz für die integrierte Authentifizierung. Dieses Feature verbessert Schutz und Behandlung von Anmeldeinformationen, bei der Authentifizierung von Netzwerkverbindungen unter Verwendung der integrierten Windows-Authentifizierung (IWA).

Dies ist standardmäßig ON. Wenn ein Client versucht, mit einem Server herstellen, wird die Authentifizierungsanforderung an des Name (SPN) verwendet gebunden. Auch wenn die Authentifizierung innerhalb eines Kanals TLS (Transport Layer Security) stattfindet, kann es auf den betreffenden Kanal gebunden werden. Stellen zusätzliche Informationen in Ihren Nachrichten zur Unterstützung dieser Funktionalität, NTLM und Kerberos.

Deaktivieren Sie außerdem Windows 7 und Windows 2008 R2-Computer LMv2.

Lösung

Fehler, wenn nicht - Windows-NTLM oder Kerberos-Server fehlschlagen beim Empfang von CBT überprüfen Sie mit dem Kreditor für eine Version die CBT korrekt behandelt.

Überprüfen Sie für Fehler, in denen LMv2 von Windows NTLM - Server oder Proxyserver benötigen mit dem Kreditor für eine Version, die NTLMv2 unterstützt.

Abhilfe

WichtigIn diesem Abschnitt, eine Methode oder eine Aufgabe enthält Hinweise zum Ändern der Registrierung. Jedoch können schwerwiegende Probleme auftreten, wenn falsche der Registrierung Bearbeitung. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie es ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
322756  (http://support.microsoft.com/kb/322756/ ) Zum Sichern und Wiederherstellen der Registrierung in Windows

Erweiterter Schutz Verhalten zu steuern, erstellen Sie den folgenden Registrierungsunterschlüssel:
Schlüsselname:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Wertname:SuppressExtendedProtection
Typ:DWORD
Für Windows-Clients unterstützen, die Kanal-Bindung, die von nicht - Windows Kerberos-Server authentifiziert werden, die nicht ordnungsgemäß behandeln das CBT fehlschlagen:
  1. Legen Sie den Wert des Registrierungseintrags auf "0 x 01." So konfigurieren Sie Kerberos nicht zum Ausgeben von CBT-Token für nicht gepatchte Anwendungen.
  2. Wenn das Problem dadurch nicht behoben wird, legen Sie den Wert des Registrierungseintrags auf "0 x 03." So konfigurieren Sie Kerberos nie CBT-Tokens ausgeben.

    HinweisEs ist ein bekanntes Problem mit Sun Java, gerichtet hat, um die Option zu berücksichtigen, die die Acceptor möglicherweise alle Channel Bindungen geliefert, die vom Initiator, Erfolg in Channel-Bindungen gemäß RFC 4121 ignorieren (selbst wenn der Initiator bestanden hat zurückgibthttp://Bugs.sun.com/bugdatabase/view_bug.Do?bug_id=6851973 (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973) ).

    Wir empfehlen, dass Sie das folgende Update von der Sun Java-Website installieren und erweiterten Schutz aktivieren:
    http://java.sun.com/javase/6/webnotes/6u19.HTML (http://java.sun.com/javase/6/webnotes/6u19.html)
Für Windows-Clients unterstützen, die Kanal-Bindung, die von Windows NTLM - Server authentifiziert werden, die nicht ordnungsgemäß behandeln das CBT fehlschlagen:
  • Legen Sie den Wert des Registrierungseintrags auf "0 x 01." So konfigurieren Sie NTLM nicht zum Ausgeben von CBT-Token für nicht gepatchte Anwendungen.
Für nicht - Windows-NTLM-Server oder Proxyservern, die LMv2 erfordern:
  • Legen Sie den Wert des Registrierungseintrags auf "0 x 01." So konfigurieren Sie NTLM LMv2 Antworten bereitstellen.
Für das Szenario, in dem der Zeitunterschied zu groß ist:
  1. Beheben Sie die Uhren des Clients, um die Zeit auf dem Domänencontroller oder Arbeitsgruppenserver widerzuspiegeln.
  2. Wenn das Problem dadurch nicht behoben wird, legen Sie den Wert des Registrierungseintrags auf "0 x 01." Dadurch wird die LMv2 Antworten bereitstellen, die nicht Zeitabweichung unterliegen NTLM konfiguriert.

Weitere Informationen

Was ist CBT (Kanal Bindung Token)?

Kanal Bindung Token (CBT) ist ein Teil der erweiterten Schutz für die Authentifizierung. CBT ist ein Mechanismus, um einen äußeren TLS-Kanal an inneren Kanal Authentifizierung wie Kerberos oder NTLM zu binden.

CBT ist eine Eigenschaft des äußeren sicheren Kanals verwendet, um die Authentifizierung an den Kanal zu binden.

Erweiterter Schutz wird durch den Client kommuniziert der SPN und das CBT an den Server in einer manipulationssicheren erreicht. Der Server überprüft die erweiterten Schutz Ihrer Daten im Einklang mit seiner Politik und Authentifizierungsversuche, für die er nicht selbst das beabsichtigte Ziel wurden glaubt, ablehnt. Die beiden Kanäle von auf diese Weise werden kryptografisch miteinander verbunden.

Erweiterter Schutz ist nun in Windows XP, Windows Vista, Windows Server 2003 und Windows Server 2008 unterstützt.

Weitere Informationen zu erweiterten Schutz für die Authentifizierung in Windows finden Sie auf der folgenden Microsoft-Website:
Informationen zu erweiterten Schutz für die Authentifizierung in Windows (http://www.microsoft.com/technet/security/advisory/973811.mspx)

HAFTUNGSAUSSCHLUSS

SCHNELLE VERÖFFENTLICHUNG ARTIKEL BIETEN INFORMATIONEN DIREKT VON INNERHALB DER MICROSOFT SUPPORT-ORGANISATION. DIE HIERIN ENTHALTENE INFORMATIONEN WIRD ALS ANTWORT ERSTELLT, ZU AUFKOMMENDEN ODER EINDEUTIGE THEMEN ODER BEABSICHTIGTE ERGÄNZUNG ZU ANDEREN KNOWLEDGE BASE INFORMATIONEN IST.

MICROSOFT UND/ODER DEREN LIEFERANTEN MACHEN KEINE ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN BEZÜGLICH DER EIGNUNG, ZUVERLÄSSIGKEIT ODER GENAUIGKEIT DER INFORMATIONEN ENTHALTEN, IN DIE DOKUMENTE UND ZUGEHÖRIGEN GRAFIKEN AUF DIESER WEBSITE (DIE "MATERIALIEN") FÜR EINEN BESTIMMTEN ZWECK VERÖFFENTLICHT. DIE MATERIALIEN KÖNNEN TECHNISCHE UNGENAUIGKEITEN ODER TYPOGRAFISCHE FEHLER ENTHALTEN UND KÖNNEN JEDERZEIT OHNE VORHERIGE ANKÜNDIGUNG ÜBERARBEITET WERDEN.

IM GRÖSSTMÖGLICHEN DURCH DAS ANWENDBARE RECHT, MICROSOFT UND/ODER DEREN LIEFERANTEN GESTATTETEN UMFANG SCHLIESSEN SIE, UND SCHLIEßEN SIE ALLE ZUSICHERUNGEN, GEWÄHRLEISTUNGEN UND BEDINGUNGEN, OB AUSDRÜCKLICH, STILLSCHWEIGEND ODER GESETZLICH FESTGELEGT, ABER NICHT EINSCHLIEßLICH ZUSICHERUNGEN, GEWÄHRLEISTUNGEN ODER BEDINGUNGEN VON TITEL, NICHT ZUWIDERHANDLUNG, ZUFRIEDENSTELLENDEN ZUSTAND ODER QUALITÄT, MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK IN BEZUG AUF DAS MATERIAL BEGRENZT.

Die Informationen in diesem Artikel beziehen sich auf:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Keywords: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 976918  (http://support.microsoft.com/kb/976918/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store