来自非 NTLM Windows Kerberos 服务器的身份验证失败
来自非 NTLM Windows Kerberos 服务器的身份验证失败
谢谢。
本文内容
本文提供了一个解决方案,可解决 NTLM 和 Kerberos 服务器无法对基于 Windows 7 和 Windows Server 2008 R2 的计算机进行身份验证的一些身份验证失败问题。 这是由通道绑定令牌处理方式的差异导致的。
适用于: Windows 7 Service Pack 1,Windows Server 2012 R2
原始 KB 编号: 976918
症状
Windows 7 和 Windows Server 2008 R2 支持集成身份验证扩展保护,其中包括默认情况下对通道绑定令牌 (CBT) 的支持。
你可能会遇到以下一个或多个症状:
原因
Windows 7 和 Windows Server 2008 R2 支持集成身份验证的扩展保护。 此功能在使用集成身份验证和 IWA 身份验证功能对网络连接进行身份验证时,可Windows凭据 (处理) 。
默认情况下为"打开"。 当客户端尝试连接到服务器时,身份验证请求绑定到使用 SPN (服务) 名称。 此外,当身份验证发生在传输层安全性 (TLS) 通道内时,可以绑定到该通道。 NTLM 和 Kerberos 在邮件中提供其他信息以支持此功能。
此外,Windows 7 和 Windows 2008 R2 计算机禁用 LMv2。
解决方案
对于非 WINDOWS NTLM 或 Kerberos 服务器在收到 CBT 时出现故障的故障,请咨询供应商,了解正确处理 CBT 的版本。
对于非 Windows NTLM 服务器或代理服务器需要 LMv2 的故障,请咨询供应商,了解支持 NTLMv2 的版本。
解决方法
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 若要详细了解如何备份和还原注册表,请参阅如何在 Windows 中备份和还原注册表。
若要控制扩展保护行为无法验证服务器身份,请创建以下注册表子项:
例如Windows无法通过未正确处理 CBT 的非 Windows Kerberos 服务器进行身份验证的通道绑定的客户端:
将注册表项值设置为 0x01。 这将配置 Kerberos 不为未修补的应用程序发出 CBT 令牌。如果这样做无法解决问题,则设置注册表项值以0x03。 这将配置 Kerberos 从不发出 CBT 令牌。
备注
Sun Java 存在一个已知问题,已解决该问题以适应接受者可能忽略发起者提供的任何通道绑定的选项,即使发起者确实根据 RFC 4121 传递了通道绑定,也返回成功。 有关详细信息,请参阅 ignore incoming channel binding if acceptor does not set one。
我们建议您从 Sun Java 网站安装以下更新,并重新启用扩展保护 :1.6.0_19 (6u19 中的) 。
For Windows clients that support channel binding that are failing to be authenticated by non-Windows NTLM servers that not handle the CBT无法验证服务器身份, set the registry entry value to 0x01. 这将配置 NTLM 不为未修补的应用程序发出 CBT 令牌。
对于非 Windows NTLM 服务器或需要 LMv2 的代理服务器,请设置为注册表项值以0x01。 这将配置 NTLM 以提供 LMv2 响应。
对于时间差过大的情况:
修复客户端的时钟以反映域控制器或工作组服务器上的时间。如果这样做不能解决问题,则设置注册表项值0x01。 这将配置 NTLM 以提供不受时间扭曲限制的 LMv2 响应。什么是 CBT (通道绑定令牌) ?
CBT (通道) 令牌是身份验证扩展保护的一部分。 CBT 是一种将外部 TLS 安全通道绑定到内部通道身份验证(如 Kerberos 或 NTLM)的机制。
CBT 是外部安全通道的一个属性,用于将身份验证绑定到通道。
扩展保护是通过客户端以防篡改方式将 SPN 和 CBT 与服务器通信而完成的。 服务器按照其策略验证扩展的保护信息,并拒绝其认为不是预期目标的身份验证尝试。 这样,这两个通道就以加密方式绑定在一起。
现在,Windows XP、Windows Vista、Windows Server 2003 和 Windows Server 2008 中支持扩展保护。
