Wenn der Website "Host Header" von NetBIOS-Namen des Servers unterscheidet, kann Authentifizierung mit "401.3" Fehler fehlschlagen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 294382 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Bei der Verwendung von Internet Explorer auf einem Windows 2000 oder höher Client und Browsen zu einer Website, in der Host-Headername vom NetBIOS-Namen des Computers abweicht, kann die integrierte Authentifizierung mit einer HTTP-Fehler 401.1, Fehler 401.2 oder Fehler 401.3 scheitern.

Hinweis: Internet Explorer-Clients, die Windows NT 4 oder Windows 95 oder Windows 98 verwenden, werden nicht berücksichtigt. Auch andere Authentifizierungsschemata funktionieren.

Microsoft ASP.NET Benutzer u. u. ein Fehlermeldung angezeigt, die der folgenden ähnelt:

Serverfehler in '< Name der anwendung >' Application.

Fehler bei der Anmeldung für den Benutzer 'NT-AUTORITÄT\ANONYMOUS-Anmeldung'.

Beschreibung: Eine nicht behandelte Ausnahme ist aufgetreten während der Ausführung der aktuellen Webanforderung.
Überprüfen Sie die Stapelüberwachung, um weitere Informationen über diesen Fehler anzuzeigen und festzustellen, wo dieser Fehler im Code verursacht wurde.
Ausnahmedetails: System.Data.SqlClient.SqlException: Fehler bei der Anmeldung für den Benutzer 'NT-AUTORITÄT\ANONYMOUS-Anmeldung'.

Ursache

Während der Kerberos-Authentifizierung gewährt Windows 2000 oder Windows Server 2003 ausgeführt wird als Domänencontroller Tickets basierend auf dem Server-Prinzip (Name, SPN) des Webservers (Internet Information Services, INTERNETINFORMATIONSDIENSTE). Wenn der Host-Header (Websitename) angefordert wird von den NetBIOS-Namen des IIS 5.0-Computer abweicht, schlägt Kerberos-Authentifizierung, fehl Fehler 401.3 auf dem Client verursacht.

Mit Windows NT 4 oder Windows 95 oder Windows 98-Clients sind erfolgreich, da nicht nativ Kerberos unterstützt werden und deshalb Windows NT-Herausforderung/Rückmeldung (NTLM)-Authentifizierung verwenden.

Abhilfe

  • Bei der Verwendung von Kerberos:

    Verwenden Sie das Dienstprogramm SetSPN.exe aus dem Windows 2000 Resource Kit, um alle Headernamen Host von Websites zu registrieren, die für die "Integrierte" Authentifizierung konfiguriert sind und von Windows 2000-Clients zugegriffen wird. Wenn Ihr Webserver unter Microsoft Windows Server 2003 und IIS 6 ausgeführt wird, downloaden Sie das Programm "Setspn.exe" von folgendem Speicherort:
    970536Setspn.exe Unterstützung Tool Update für Windows Server 2003

    Beispiel:
    Servernamen: webserver1.development.exair.com
    Hostheader: www.exair.com
    Verwenden Sie den SetSPN-Befehl, um die www.exair.com SPN registrieren:
    SetSPN-S HTTP/www.exair.com webserver1
    Hinweis: HOST ist ein Standard-Diensttyp, der verwendet werden kann, wenn HTTP nicht in die registrierten SPN arbeitet. Als Beispiel können den folgenden Befehl Sie um die www.exair.com SPN auf einen Standardtyp für den Dienst zu registrieren:
    SetSPN-S HOST/www.exair.com webserver1
  • Wenn Sie Kerberos nicht verwenden:

    Entfernen Sie Kerberos aus der Liste der Authentifizierungsanbieter in Internet Information Services 5.0 mithilfe des folgenden Befehls:
    Cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Hinweis: "Adsutil.vbs" muss von einem Mitglied der lokalen Administratorengruppe auf dem IIS-Computer ausgeführt werden.

Weitere Informationen

Eine Neuinstallation von Internet-Informationsdienste 5.0 bei der integrierten Authentifizierung aktiviert wird versucht, um Clients mit Kerberos zuerst zu authentifizieren. Wenn ein Client Kerberos nicht unterstützt, sendet IIS, dass Clients ein Headers "Authenticate: NTLM" für die Authentifizierung mithilfe von Windows NT-Herausforderung/Rückmeldung zu erzwingen.

Informationsquellen

Weitere Informationen finden Sie die folgenden Artikeln der Microsoft Knowledge Base:
217098Grundlegende Übersicht über Kerberos-Authentifizierung in Windows 2000
266080Antworten auf häufig gestellte Fragen für Kerberos
215383Konfigurieren von IIS, um sowohl das Kerberos-Protokoll als auch das NTLM-Protokoll für die Netzwerkauthentifizierung zu unterstützen.
248350Kerberos-Authentifizierung schlägt nach der Aktualisierung von IIS 4.0 auf IIS 5.0 fehl

Eigenschaften

Artikel-ID: 294382 - Geändert am: Freitag, 11. Dezember 2009 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
Keywords: 
kbmt kbpending kbprb KB294382 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 294382
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com