DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 976918 - Ultima modifica: sabato 12 febbraio 2011 - Revisione: 2.0

 

In questa pagina

Sommario

ImportanteSi tratta di un articolo di pubblicazione rapida. Per ulteriori informazioni, vedere la sezione "Declinazione di responsabilità".

In questo articolo viene fornita una correzione di numerosi problemi di errore di autenticazione in quali NTLM e Kerberos server non è in grado di autenticare i computer basati su Windows Server 2008 R2 e Windows 7. Questo problema è causato dalle differenze in modo che i token di associazione del canale sono punti di controllo. Per informazioni dettagliate, vedere il ","Sintomi "Causa" e le sezioni "Risoluzione" di questo articolo.

Per scaricare la correzione di questo problema, fare clic sul pulsante diAggiornamento rapido di visualizzazione e richiesta di downloadcollegamento che si trova in alto a sinistra dello schermo.

Sintomi

Windows 7 e Windows Server 2008 R2 supporta la protezione estesa per l'autenticazione integrata che include il supporto per canale associazione Token (CBT) per impostazione predefinita.

È possibile che si verifichi uno o più dei seguenti sintomi:
  1. Client Windows che supportano l'associazione di canale in grado di essere autenticati da un server Kerberos non Windows.
  2. Errori di autenticazione NTLM da Server Proxy.
  3. Errori di autenticazione NTLM da server Windows NTLM.
  4. Errori di autenticazione NTLM quando non vi è differenza di orario tra client e server di controller di dominio o gruppo di lavoro.

Cause

Windows 7 e Windows Server 2008 R2 supporta la protezione estesa per l'autenticazione integrata. Questa funzionalità consente di migliorare la protezione e la gestione delle credenziali durante l'autenticazione di connessioni di rete utilizzando l'autenticazione Windows integrata (con).

Questa è impostata su ON per impostazione predefinita. Quando un client tenta di connettersi a un server, la richiesta di autenticazione è associata per il servizio nome principale (SPN) utilizzato. Anche quando l'autenticazione viene eseguita all'interno di un canale TLS (Transport Layer Security), può essere associato a quel canale. NTLM e Kerberos forniscono informazioni aggiuntive nei messaggi per supportare questa funzionalità.

Inoltre, i computer Windows 7 e Windows 2008 R2 disattivare LMv2.

Risoluzione

Per gli errori in cui Windows NTLM o Kerberos server hanno esito negativo quando si ricevono CBT, verificare con il fornitore per ottenere una versione che gestisce CBT correttamente.

Per gli errori in cui i server di Windows NTLM o i server proxy richiedano LMv2, contattare il fornitore per ottenere una versione che supporta NTLMv2.

Workaround

ImportanteQuesta sezione, metodo o attività sono contenute procedure che consentono di indicare come modificare il Registro di sistema. Tuttavia, può causare seri problemi se si modifica il Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
articolo 322756  (http://support.microsoft.com/kb/322756/ ) Come eseguire il backup e ripristinare il Registro di sistema in Windows

Per controllare il comportamento di protezione estesa, creare la seguente sottochiave del Registro di sistema:
Nome della chiave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Nome valore:SuppressExtendedProtection
Tipo:DWORD
Per i client Windows che supportano l'associazione di canale che non devono essere autenticati dal server Kerberos non Windows che non gestiscono correttamente la CBT:
  1. Impostare il valore della voce del Registro di sistema su "0 x 01." In questo modo verrà configurato Kerberos non per emettere i token CBT per le applicazioni senza patch.
  2. Se il problema persiste, impostare il valore della voce del Registro di sistema a "0 x 03." In questo modo verrà configurato Kerberos mai per emettere i token CBT.

    NotaUn problema noto con Java di Sun in cui è stato risolto per contenere l'opzione il acceptor potrebbe ignorare eventuali associazioni di canale forniti dall'iniziatore, restituendo un esito positivo anche se l'iniziatore ha superato nei binding del canale in base alla specifica RFC 4121)http://bugs.Sun.com/bugdatabase/view_bug.Do?bug_id=6851973 (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973) ).

    Si consiglia di installare il seguente aggiornamento dal sito Java di Sun e riattivare la protezione estesa:
    http://java.Sun.com/javase/6/webnotes/6u19.HTML (http://java.sun.com/javase/6/webnotes/6u19.html)
Per i client Windows che supportano l'associazione di canale che non devono essere autenticati dal server di Windows NTLM non gestiscono correttamente la CBT:
  • Impostare il valore della voce del Registro di sistema su "0 x 01." In questo modo verrà configurato NTLM non per emettere i token CBT per le applicazioni senza patch.
Per i server di Windows NTLM o server proxy che richiedono LMv2:
  • Impostare il valore della voce del Registro di sistema su "0 x 01." In questo modo verrà configurato NTLM per fornire risposte LMv2.
Per lo scenario in cui la differenza di tempo è troppo grande:
  1. Correzione dell'orologio del client in modo da riflettere l'ora sul controller di dominio o server del gruppo di lavoro.
  2. Se il problema persiste, impostare il valore della voce del Registro di sistema su "0 x 01." In questo modo verrà configurato NTLM per fornire le risposte di LMv2 che non sono soggetti a sfasamento dell'ora.

Informazioni

Che cos'è CBT (Token canale associazione)?

Canale associazione Token (CBT) è una parte di protezione estesa per l'autenticazione. CBT è un meccanismo per associare un canale protetto di TLS esterno per l'autenticazione di canale interno, ad esempio Kerberos o NTLM.

CBT è una proprietà del canale protetto esterno utilizzato per associare l'autenticazione per il canale.

Protezione estesa viene eseguita dal client di comunicare il SPN e CBT al server in modo a prova di manomissione. Il server convalida le informazioni di protezione estesa in base ai relativi criteri e rifiuta i tentativi di autenticazione per il quale non considerato se stesso per avere ricevuto la destinazione desiderata. In questo modo, i due canali crittograficamente divengono associati tra loro.

Protezione estesa è ora supportata in Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Per ulteriori informazioni sulla protezione estesa per l'autenticazione di Windows, visitare il seguente sito Web Microsoft:
Informazioni sulla protezione estesa per l'autenticazione di Windows (http://www.microsoft.com/technet/security/advisory/973811.mspx)

DECLINAZIONE DI RESPONSABILITÀ

UNA RAPIDA PUBBLICAZIONE ARTICOLI FORNISCONO INFORMAZIONI DIRETTAMENTE DALL'INTERNO DELL'ORGANIZZAZIONE DI SUPPORTO TECNICO CLIENTI MICROSOFT. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO VIENE CREATE IN RISPOSTA A EMERGENTI O UNIVOCO ARGOMENTI, O SE È PREVISTO SUPPLEMENTO ALTRE INFORMAZIONI DI BASE.

MICROSOFT E/O RELATIVI FORNITORI NON O ALCUNA GARANZIA SULL'ADEGUATEZZA, L'AFFIDABILITÀ O ACCURATEZZA DELLE INFORMAZIONI CONTENUTE IN DOCUMENTI E NELLA RELATIVA GRAFICA PUBBLICATI SU QUESTO SITO WEB ("MATERIALI") PER QUALSIASI SCOPO. I MATERIALI POSSONO CONTENERE INESATTEZZE TECNICHE O ERRORI DI BATTITURA E POSSONO ESSERE MODIFICATI IN QUALSIASI MOMENTO SENZA PREAVVISO.

NELLA MISURA MASSIMA CONSENTITA DALLA APPLICABILE LEGGE, MICROSOFT E/O I SUOI FORNITORI NON RICONOSCONO ED ESCLUSIONE DI TUTTE LE RAPPRESENTAZIONI, GARANZIE E CONDIZIONI ESPRESSA, IMPLICITA O DI LEGGE, INCLUSE MA NON LIMITATE A RAPPRESENTAZIONI, GARANZIE O CONDIZIONI DI TITOLO, NON VIOLAZIONE DI DIRITTI ALTRUI, CONDIZIONI SODDISFACENTI O QUALITÀ, COMMERCIABILITÀ E IDONEITÀ PER UNO SCOPO PARTICOLARE, AI MATERIALI.

Le informazioni in questo articolo si applicano a:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Chiavi: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 976918  (http://support.microsoft.com/kb/976918/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store