Zobrazí "Chyba protokolu HTTP 401.1 – Neautorizováno: přístup byl odepřen kvůli neplatná pověření" chybová zpráva při pokusu o přístup k webu, který je součástí fondu aplikací služby...

Překlady článku Překlady článku
ID článku: 871179 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Při pokusu o přístup k webu Internetová informační služba (IIS) 6.0, která je nakonfigurována pro použití integrovaného ověřování systému Windows pouze výzva k zadání pověření uživatele. Při pokusu o přihlášení zobrazí výzva k přihlášení znovu. Po pokusu o přihlášení třikrát zobrazí následující chybová zpráva:
Chyba protokolu HTTP 401.1 – Neautorizováno: Přístup je odepřen z důvodu neplatných pověření.

Příčina

Toto chování může dojít, pokud jsou splněny následující podmínky:
  • Web služby IIS 6.0 je součástí fondu aplikací služby IIS.
  • Fond aplikací je spuštěn pod místním účtem nebo pod účtem uživatele domény.
  • Webový server je nakonfigurován pomocí integrovaného ověřování systému Windows pouze.
V tomto scénáři při integrované ověřování systému Windows se pokusí použít protokol Kerberos, ověřování pomocí protokolu Kerberos, nemusí fungovat. Služba ověřování protokolem Kerberos, musí registrovat své hlavní název služby (SPN) v adresářové službě Active Directory, který je služba spuštěna pod účtem. Ve výchozím nastavení registruje systému (NetBIOS) název sítě služby Active Directory. Služba Active Directory umožňuje také síťová služba nebo místní systémový účet pomocí protokolu Kerberos.

Řešení

Pokud k tomuto chování dochází, pokud fond aplikací je spuštěn pod účtem místní, postupujte podle kroků v části "Řešení".

K vyřešení tohoto chování fond aplikací je spuštěn pod účtem uživatele domény nastavte název SPN HTTP s název NetBIOS a úplný doménový název (FQDN) domény uživatelského účtu, který fond aplikací je spuštěn pod. V řadiči domény, postupujte takto:

Důležité Název SPN pro službu lze přidružit pouze s jedním účtem. Proto pokud použijete tento navrhované řešení, další fond aplikací, který je spuštěn pod účtem uživatele jiné domény nelze použít s integrované ověřování systému Windows pouze.
  1. Nainstalujte nástroje Setspn.exe. Získání nástroje Setspn.exe pro Microsoft Windows Server 2003, klepněte na následující číslo článku:
    970536 Aktualizace nástroje Setspn.exe podporu systému Windows Server 2003
  2. Spusťte příkazový řádek a potom změňte na adresář, ve kterém nainstalován Setspn.exe.
  3. Na příkazovém řádku zadejte následující příkazy. Po každém příkazu stiskněte klávesu ENTER:
    setspn.exe -S http /IIS_computer's_NetBIOS_name Název_domény\Uživatelské jméno

    setspn.exe -S http /IIS_computer's_FQDN Název_domény\Uživatelské jméno
    Poznámka:Uživatelské jméno je-li uživatelský účet, který je spuštěn fond aplikací pod. Všimněte si také, pokud příkazu setspn.exe běží v počítači se systémem Windows 2000, použijte místo přepínače -S-přepínač.
Po nastavení SPN HTTP služby na účet uživatele domény, který je spuštěn fond aplikací pod můžete úspěšně připojit k webu bez výzvy k zadání pověření uživatele.

Jak potíže obejít

Toto chování obejít, pokud máte více fondů aplikací, které běží pod různými účty uživatelů domény, je nutné vynutit IIS použít jako mechanismus ověřování NTLM, chcete-li použít integrované ověřování systému Windows pouze. Na serveru se spuštěnou službou IIS, postupujte takto:
  1. Spusťte příkazový řádek.
  2. Vyhledejte a poté změňte adresář, který obsahuje soubor Adsutil.vbs. Standardně je tento adresář C:\Inetpub\Adminscripts.
  3. Zadejte následující příkaz a stiskněte klávesu ENTER:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
  4. Ověřit, zda NtAuthenticationProviders metabáze vlastnost NTLM, zadejte následující příkaz a stiskněte klávesu ENTER:
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    By měla být vrácena následující text:
    NTAuthenticationProviders       : (STRING) "NTLM"

Prohlášení

Toto chování je záměrné.

Další informace

Pokud nastavíte název SPN pomocí FQDN serveru se spuštěnou službou IIS, budete vyzváni k zadání pověření uživatele po 30 minutách. Časový limit 30 minut dochází kvůli způsobu ukládání informací systému DNS (Domain Name) do mezipaměti v aplikaci Internet Explorer. Po 30 minutách Internet Explorer vrátí název NetBIOS. Proto je třeba ověřit také zaregistrovat SPN pomocí názvu NetBIOS serveru se službou IIS se vyhnout zobrazení výzvy k zadání pověření uživatele.Další informace získáte klepnutím na následující číslo článku:
263558Použití mezipaměti aplikace Internet Explorer pro položky DNS hostitele
Registrovaných názvů SPN pro uživatelský účet, který je spuštěn fond aplikací pod ověřit, spusťte příkazový řádek, zadejte následující příkaz z adresáře, kde je nainstalován Setspn.exe a stiskněte klávesu ENTER:
setspn.exe -l Uživatelské jméno
Seznam registrovaných názvů SPN pro uživatelský účet je vrácena.

Internetová informační služba (IIS) 7.0

Témata popisované v tomto článku lze použít také pro IIS 7.0, pokud platí jedna z následujících podmínek:
  • Je zakázáno ověřování režimu jádra.
  • Je povoleno ověřování režimu jádra a useAppPoolCredentials atribut je nastaven na hodnotu TRUE.

Odkazy

Další informace o použití integrovaného ověřování systému Windows s fondy aplikací služby IIS na webu společnosti Microsoft:
Integrované ověřování systému Windows (IIS 6.0)
Další informace o ověřování chyby nebo selhání řízení přístupu ve službě IIS na webu společnosti Microsoft:
Ověřování a řízení přístupu Diagnostika verze 1.0 (IIS 6.0)
Poznámka: Nástroj AuthDiag je určen vám zobrazí některá z následujících chybových zpráv:
  • 401.1 přihlášení se nezdařilo.
  • 401.3 ACL
Nástroj AuthDiag také pomůže při problémy Kerberos.

Vlastnosti

ID článku: 871179 - Poslední aktualizace: 22. září 2012 - Revize: 9.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Klíčová slova: 
kbtshoot kbprb kbmt KB871179 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 871179

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com