DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 976918 - Última revisão: sábado, 12 de fevereiro de 2011 - Revisão: 2.0

 

Nesta página

Sumário

ImportanteEste é um artigo de publicação rápido. Para obter mais informações, consulte a seção "Isenção de responsabilidade".

Este artigo fornece uma correção para vários problemas de falha de autenticação NTLM e Kerberos servidores não podem autenticar computadores baseados no Windows Server 2008 R2 e Windows 7. Isso é causado por diferenças na maneira que os Tokens de ligação de canal são alças. Para obter informações detalhadas, consulte "Sintomas," "Causa" e seções de "Resolução" deste artigo.

Para baixar a correção para esse problema, clique noDownloads do hotfix do modo de exibição e a solicitaçãolink que está localizado no canto superior esquerdo da tela.

Sintomas

Windows 7 e Windows Server 2008 R2 suportam estendido de proteção para a autenticação integrada que inclui suporte para canal de ligação Token (CBT) por padrão.

Você pode enfrentar um ou mais dos seguintes sintomas:
  1. Os clientes Windows que suporta a vinculação de canal não ser autenticado por um servidor Kerberos não - Windows.
  2. Falhas de autenticação NTLM de servidores Proxy.
  3. Falhas de autenticação NTLM de servidores não - Windows NTLM.
  4. Falhas de autenticação NTLM quando há uma diferença de tempo entre o cliente e servidor de controlador de domínio ou grupo de trabalho.

Causa

Windows 7 e Windows Server 2008 R2 suportam estendido de proteção para a autenticação integrada. Esse recurso melhora a proteção e a manipulação de credenciais ao autenticar conexões de rede usando autenticação integrada do Windows (IWA).

Isso está ativado por padrão. Quando um cliente tenta se conectar a um servidor, a solicitação de autenticação está vinculada para o serviço Principal SPN (nome) usado. Também quando a autenticação ocorre dentro de um canal TLS (Transport Layer Security), ele pode ser ligado a esse canal. NTLM e Kerberos fornecem informações adicionais nas suas mensagens de suporte a essa funcionalidade.

Além disso, os computadores Windows 7 e Windows 2008 R2 desativar LMv2.

Resolução

Para falhas onde não - Windows NTLM ou Kerberos servidores estão falhando ao receber CBT, verifique com o fornecedor para obter uma versão que manipula a CBT corretamente.

Para onde os servidores não - Windows NTLM ou servidores proxy exigem LMv2 de falhas, verifique com o fornecedor para obter uma versão que suporta o NTLMv2.

Como Contornar

ImportanteNesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows

Para controlar o comportamento de proteção estendida, crie a seguinte subchave do registro:
Nome da chave:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Nome do valor:SuppressExtendedProtection
Tipo:DWORD
Para clientes do Windows que suporta a vinculação de canal que estão falhando sejam autenticados por servidores de Kerberos não - Windows que controla a CBT corretamente:
  1. Definir o valor da entrada do registro para "0x01". Isso irá configurar o Kerberos para não emitir tokens CBT para aplicativos sem patch.
  2. Se isso não resolver o problema, em seguida, defina o valor da entrada do registro para "0x03". Isso irá configurar Kerberos nunca para emitir tokens CBT.

    ObservaçãoHá um problema conhecido com o Sun Java que foi abordado para acomodar a opção que o acceptor pode ignorar qualquer vinculações de canal fornecidas pelo iniciador, retornando êxito mesmo que o iniciador foi passada em ligações de canal de acordo com RFC 4121 (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973 (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973) ).

    Recomendamos que você instale a seguinte atualização a partir do site de Java da Sun e reabilitar a proteção estendida:
    http://Java.sun.com/javase/6/webnotes/6u19.HTML (http://java.sun.com/javase/6/webnotes/6u19.html)
Para clientes do Windows que suporta a vinculação de canal que estão falhando sejam autenticados por servidores não - Windows NTLM que lidam com a CBT corretamente:
  • Definir o valor da entrada do registro para "0x01". Isso irá configurar o NTLM não para emitir tokens CBT para aplicativos sem patch.
Para servidores não - Windows NTLM ou servidores proxy que exijam LMv2:
  • Definir o valor de entrada do registro para "0x01". Isso irá configurar o NTLM para fornecer respostas LMv2.
Para o cenário no qual a diferença de tempo for muito grande:
  1. Corrigi o relógio do cliente para refletir a hora no controlador de domínio ou servidor de grupo de trabalho.
  2. Se isso não resolver o problema, em seguida, defina o valor da entrada do registro para "0x01". Isso irá configurar o NTLM para fornecer respostas LMv2 que não estão sujeitos a diferença de horário.

Mais Informações

O que é CBT (Token de ligação do canal)?

Canal de ligação Token (CBT) é uma parte da proteção estendida para autenticação. CBT é um mecanismo para vincular um canal seguro externo do TLS para autenticação interna de canais, como o Kerberos ou NTLM.

CBT é uma propriedade do canal seguro externo usado para vincular a autenticação para o canal.

Proteção estendida é realizada pelo cliente comunicando o SPN e a CBT para o servidor de modo à prova de violação. O servidor valida as informações de proteção estendida de acordo com sua política e rejeita tentativas de autenticação para o qual ele não acredita que ele mesmo ter sido o destino pretendido. Dessa forma, os dois canais se tornam criptograficamente Coroados.

Proteção estendida agora é suportada no Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Para obter mais informações sobre proteção estendida para autenticação no Windows, visite o seguinte site da Microsoft:
Informações sobre a proteção estendida para autenticação no Windows (http://www.microsoft.com/technet/security/advisory/973811.mspx)

ISENÇÃO DE RESPONSABILIDADE

PUBLICAÇÃO RÁPIDA ARTIGOS FORNECEM INFORMAÇÕES DIRETAMENTE DE DENTRO DA ORGANIZAÇÃO DE SUPORTE DA MICROSOFT. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO CRIADAS EM RESPOSTA A EMERGENTES OU EXCLUSIVO TÓPICOS, OU É PRETENDIDO SUPLEMENTAR OUTRAS KNOWLEDGE BASE INFORMAÇÕES.

MICROSOFT E/OU SEUS FORNECEDORES NÃO OFERECEM QUALQUER GARANTIA OU GARANTIAS SOBRE A ADEQUAÇÃO, CONFIABILIDADE OU PRECISÃO DAS INFORMAÇÕES CONTINHAM EM DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE SITE ("MATERIAIS") PARA QUALQUER FINALIDADE. OS MATERIAIS PODEM INCLUIR IMPRECISÕES TÉCNICAS OU ERROS TIPOGRÁFICOS E PODEM SER REVISADOS A QUALQUER MOMENTO SEM AVISO PRÉVIO.

NA EXTENSÃO MÁXIMA PERMITIDA PELA APLICÁVEL LEI, MICROSOFT E/OU SEUS FORNECEDORES SE ISENTAM E EXCLUIR TODAS AS REPRESENTAÇÕES, GARANTIAS E CONDIÇÕES, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, INCLUINDO, MAS NÃO SE LIMITANDO A REPRESENTAÇÕES, GARANTIAS OU CONDIÇÕES DE TÍTULO, NÃO INFRAÇÃO, CONDIÇÕES SATISFATÓRIAS OU QUALIDADE, COMERCIALIZAÇÃO E ADEQUAÇÃO A UMA FINALIDADE ESPECÍFICA, COM RELAÇÃO AOS MATERIAIS.

A informação contida neste artigo aplica-se a:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palavras-chave: 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 976918  (http://support.microsoft.com/kb/976918/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft