DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 976918 - Última revisão: sábado, 12 de Fevereiro de 2011 - Revisão: 2.0

 

Nesta página

Sumário

ImportanteEste é um artigo de publicação rápido. Para mais informações, consulte a secção "Renúncia".

Este artigo fornece uma correcção para vários problemas de falha de autenticação NTLM e Kerberos de servidores não consegue autenticar Windows 7 e computadores baseados no Windows Server 2008 R2. Isto é causado por diferenças na forma que os Tokens de enlace de canal são alças. Para obter informações detalhadas, consulte "Sintomas," "Causa" e as secções "Resolução" deste artigo.

Para transferir a correcção para este problema, faça clique sobre oTransferências de vista e um pedido de correcçãoligação que está localizada na parte superior esquerda do ecrã.

Sintomas

Windows 7 e Windows Server 2008 R2 suportem expandido protecção para a autenticação integrada que inclui suporte para o canal de enlace Token (CBT) por predefinição.

Poderá detectar um ou mais dos seguintes sintomas:
  1. Os clientes do Windows que suporte o enlace de canal não conseguir ser autenticados por um servidor de Kerberos não Windows.
  2. Falhas de autenticação de NTLM de servidores de Proxy.
  3. Falhas de autenticação de NTLM de servidores de não - Windows NTLM.
  4. Falhas de autenticação de NTLM quando existe uma diferença de tempo entre o cliente e servidor DC ou grupo de trabalho.

Causa

Windows 7 e Windows Server 2008 R2 suportem expandido protecção para a autenticação integrada. Esta funcionalidade melhora a protecção e tratamento de credenciais ao autenticar ligações de rede utilizando a autenticação de Windows integrada (IWA).

Isto está Activado por predefinição. Quando um cliente tenta ligar a um servidor, o pedido de autenticação está dependente para o serviço de nome Principal (SPN) utilizado. Também quando a autenticação é efectuada dentro de um canal Transport Layer Security (TLS), podem ser vinculado a esse canal. NTLM e Kerberos fornecem informações adicionais sobre as suas mensagens para suportar esta funcionalidade.

Além disso, os computadores com o Windows 7 e Windows 2008 R2 desactivar LMv2.

Resolução

Para falhas onde não - Windows NTLM ou Kerberos servidores estão a falhar durante a recepção CBT, verifique junto do fornecedor para obter uma versão que processa CBT correctamente.

Para falhas de onde os servidores de não - Windows NTLM ou servidores proxy requerem LMv2, verifique junto do fornecedor para obter uma versão que suporte NTLMv2.

Como contornar

ImportanteEsta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que siga estes passos cuidadosamente. Para uma maior protecção, cópia do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Base de dados de conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar cópias de segurança e restaurar o registo no Windows

Para controlar o comportamento de protecção adicional, crie a seguinte subchave de registo:
Nome da chave:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Nome do valor:SuppressExtendedProtection
Tipo:DWORD
Para clientes do Windows que suporte o enlace de canal que não conseguem ser autenticados por servidores de Kerberos não Windows que não processam correctamente a CBT:
  1. Definir o valor de entrada de registo para "0x01." Isto irá configurar o Kerberos não para emitir tokens de CBT para aplicações sem patches instalados.
  2. Se isso não resolver o problema, em seguida, defina o valor de entrada de registo para "0x03." Isto irá configurar Kerberos nunca para emitir tokens CBT.

    NotaExiste um problema conhecido com Java da Sun que foi corrigida para acomodar a opção que o acceptor poderá ignorar qualquer enlaces de canal fornecidos pelo iniciador, devolver êxito mesmo se o iniciador tiver passado nos enlaces de canal de acordo com o RFC 4121-] (http://bugs.Sun.com/bugdatabase/view_bug.do?bug_id=6851973 (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973) ).

    Recomendamos que instale a seguinte actualização a partir do site de Java da Sun e reactivar a protecção adicional:
    http://Java.Sun.com/javase/6/webnotes/6u19.HTML (http://java.sun.com/javase/6/webnotes/6u19.html)
Para clientes do Windows que suporte o enlace de canal que não conseguem ser autenticados por servidores de não - Windows NTLM que não processam correctamente a CBT:
  • Definir o valor de entrada de registo para "0x01." Isto irá configurar o NTLM não para emitir tokens de CBT para aplicações sem patches instalados.
Para servidores de não - Windows NTLM ou servidores proxy, que requerem a LMv2:
  • Definir o valor de entrada de registo para "0x01." Isto irá configurar o NTLM para fornecer respostas de LMv2.
Para o cenário em que a diferença de tempo é demasiado grande:
  1. Corrigir o relógio do cliente para reflectir a hora no controlador de domínio ou servidor de grupo de trabalho.
  2. Se isso não resolver o problema, em seguida, defina o valor de entrada de registo para "0x01." Isto irá configurar o NTLM para fornecer as respostas de LMv2 que não estão submetidos às horária.

Mais Informação

O que é CBT (o canal de enlace Token)?

Canal de enlace Token (CBT) é uma parte da protecção expandido para autenticação. CBT é um mecanismo para associar um canal de seguro de TLS exterior a autenticação de canal interna, tais como o Kerberos ou NTLM.

CBT é uma propriedade do canal seguro exterior utilizado para ligar a autenticação para o canal.

Protecção expandida é efectuada pelo cliente comuniquem o SPN e o CBT para o servidor de uma forma de tamperproof. O servidor valida as informações de protecção adicional em conformidade com a sua política e rejeita a tentativas de autenticação para o qual ele não crer próprio foi o destino pretendido. Desta forma, os dois canais tornam-se criptograficamente ligados entre si.

Protecção alargada agora é suportada no Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Para mais informações sobre a protecção adicional para a autenticação no Windows, visite o seguinte Web site da Microsoft:
Informações sobre a protecção adicional para a autenticação no Windows (http://www.microsoft.com/technet/security/advisory/973811.mspx)

EXCLUSÃO DE RESPONSABILIDADE

PUBLICAÇÃO RÁPIDA ARTIGOS FORNECEM INFORMAÇÕES DIRECTAMENTE A PARTIR DE DENTRO DA ORGANIZAÇÃO DE SUPORTE DA MICROSOFT. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO CRIADAS EM RESPOSTA A EMERGENTES OU EXCLUSIVO TÓPICOS, OU É DESTINA-SE SUPLEMENTO OUTRA BASE DE DADOS DE CONHECIMENTO DA INFORMAÇÃO.

MICROSOFT E/OU OS SEUS FORNECEDORES NÃO FAZEM QUAISQUER REPRESENTAÇÕES OU GARANTIAS SOBRE A ADEQUAÇÃO, FIABILIDADE OU A EXACTIDÃO DAS INFORMAÇÕES CONTINHAM NOS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE WEB SITE (OS "MATERIAIS") PARA QUALQUER FINALIDADE. OS MATERIAIS PODERÃO INCLUIR IMPRECISÕES TÉCNICAS OU ERROS TIPOGRÁFICOS E PODEM SER REVISTOS EM QUALQUER ALTURA SEM AVISO PRÉVIO.

ATÉ À EXTENSÃO MÁXIMA PERMITIDA PELO APLICÁVEL LEI, O MICROSOFT E/OU SEUS FORNECEDORES PASSADA E EXCLUIR TODAS AS REPRESENTAÇÕES, GARANTIAS E CONDIÇÕES, QUER EXPRESSAS, IMPLÍCITAS OU LEGAIS, INCLUINDO MAS NÃO LIMITADO A REPRESENTAÇÕES, GARANTIAS OU CONDIÇÕES DO TÍTULO, A NÃO INFRACÇÃO, CONDIÇÃO SATISFATÓRIA OU QUALIDADE, COMERCIALIZAÇÃO E ADEQUAÇÃO A UM FIM ESPECÍFICO, RELATIVAMENTE A MATERIAIS.

A informação contida neste artigo aplica-se a:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palavras-chave: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 976918  (http://support.microsoft.com/kb/976918/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft