Εμφανίζεται το μήνυμα "Σφάλμα HTTP 401.1 - Μη εξουσιοδοτημένη πρόσβαση: Δεν επιτρέπεται η πρόσβαση εξαιτίας μη έγκυρων διαπιστευτηρίων" κατά την προσπάθεια πρόσβασης σε μια τοποθεσία Web που είναι μέρος ενός χώρου συγκέντρωσης εφαρμογών του I...

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 871179 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Συμπτώματα

Κατά την προσπάθειά σας να αποκτήσετε πρόσβαση σε μια τοποθεσία Web των υπηρεσιών Microsoft Internet Information Services (IIS) 6.0, η οποία έχει ρυθμιστεί να χρησιμοποιεί μόνο τον ενσωματωμένο έλεγχο ταυτότητας των Windows, σας ζητείται να δώσετε τις πιστοποιήσεις χρήστη που χρησιμοποιείτε. Κατά την προσπάθειά σας να συνδεθείτε, εμφανίζεται ξανά η προτροπή σύνδεσης. Αφού επιχειρήσετε να συνδεθείτε για τρίτη φορά, εμφανίζεται το ακόλουθο μήνυμα λάθους:
Σφάλμα HTTP 401.1 - Μη εξουσιοδοτημένη πρόσβαση: Δεν επιτρέπεται η πρόσβαση εξαιτίας μη έγκυρων πιστοποιήσεων" (HTTP Error 401.1 - Unauthorized: Access is denied due to invalid credentials).

Αιτία

Αυτή η συμπεριφορά ενδέχεται να προκύψει αν ισχύουν οι ακόλουθες συνθήκες:
  • Αυτή η τοποθεσία Web των IIS 6.0 αποτελεί μέρος ενός χώρου συγκέντρωσης εφαρμογών των IIS.
  • Ο χώρος συγκέντρωσης εφαρμογών εκτελείται σε έναν τοπικό λογαριασμό ή σε έναν λογαριασμό χρήστη τομέα.
  • Η τοποθεσία Web έχει ρυθμιστεί έτσι ώστε να χρησιμοποιεί μόνο τον ενσωματωμένο έλεγχο ταυτότητας των Windows.
Σε αυτό το σενάριο, όταν ο ενσωματωμένος έλεγχος ταυτότητας των Windows επιχειρήσει να χρησιμοποιήσει τον έλεγχο ταυτότητας Kerberos, ο Kerberos ενδέχεται να μην λειτουργήσει. Για να χρησιμοποιήσει τον έλεγχο ταυτότητας Kerberos, μια υπηρεσία πρέπει να δηλώσει το κύριο όνομα υπηρεσίας (SPN) στο λογαριασμό της υπηρεσίας καταλόγου Active Directory, στον οποίο εκτελείται η υπηρεσία. Από προεπιλογή, η υπηρεσία καταλόγου Active Directory δηλώνει το όνομα υπολογιστή του βασικού συστήματος εισόδου/εξόδου (NetBIOS) του δικτύου. Η υπηρεσία καταλόγου Active Directory επιτρέπει επίσης στην "Υπηρεσία δικτύου" (Network Service) ή στο λογαριασμό "Τοπικό σύστημα" (Local System) να χρησιμοποιούν τον έλεγχο ταυτότητας Kerberos.

Προτεινόμενη αντιμετώπιση

Εάν αυτή η συμπεριφορά παρουσιαστεί όταν ο χώρος συγκέντρωσης εφαρμογών εκτελείται σε έναν τοπικό λογαριασμό, ακολουθήστε τα βήματα της ενότητας "Λύση".

Για να επιλύσετε αυτήν τη συμπεριφορά όταν ο χώρος συγκέντρωσης εφαρμογών εκτελείται σε ένα λογαριασμό χρήστη τομέα, ορίστε ένα HTTP SPN με το όνομα NetBIOS και το έγκυρο όνομα τομέα (FQDN) του λογαριασμού χρήστη τομέα, στον οποίο εκτελείται ο χώρος συγκέντρωσης εφαρμογών. Για να γίνει αυτό,ακολουθήστε τα εξής βήματα σε έναν ελεγκτή τομέα:

Σημαντικό Το SPN μιας υπηρεσίας είναι δυνατόν να συσχετιστεί μόνο με ένα λογαριασμό. Επομένως, εάν χρησιμοποιήσετε αυτήν την προτεινόμενη επίλυση, κάθε άλλη εφαρμογή που εκτελείται με διαφορετικό λογαριασμό χρήστη τομέα δεν είναι δυνατόν να χρησιμοποιηθεί μόνο με τον ενσωματωμένο έλεγχο ταυτότητας των Windows.
  1. Εγκαταστήστε το εργαλείο Setspn.exe. Για την απόκτηση του εργαλείου Setspn.exe για Windows Server 2003, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
    970536 Ενημέρωση εργαλείου υποστήριξης Setspn.exe για Windows Server 2003
  2. Ξεκινήστε μια γραμμή εντολών και, στη συνέχεια, αλλάξτε τον κατάλογο όπου έχετε εγκαταστήσει το Setspn.exe.
  3. Στη γραμμή εντολών, πληκτρολογήστε τις ακόλουθες εντολές. Πατήστε το πλήκτρο ENTER μετά από κάθε εντολή:
    setspn.exe -S http/IIS_όνομα_NetBIOS_υπολογιστή Όνομα τομέα\Όνομα χρήστη

    setspn.exe -S http/IIS_FQDN_υπολογιστή Όνομα τομέα\Όνομα χρήστη
    Σημείωση Το Όνομα χρήστη είναι ο λογαριασμός χρήστη υπό τον οποίο εκτελείται ο χώρος συγκέντρωσης εφαρμογών. Σημειώστε, επίσης, ότι αν εκτελέσετε την εντολή setspn.exe σε υπολογιστή με Windows 2000, θα πρέπει να χρησιμοποιήσετε το διακόπτη -A αντί για το διακόπτη -S.
Μόλις ορίσετε το SPN για την υπηρεσία HTTP στο λογαριασμό χρήστη τομέα στον οποίο εκτελείται ο χώρος συγκέντρωσης εφαρμογών, μπορείτε να συνδεθείτε με επιτυχία με την τοποθεσία Web χωρίς να σας ζητηθεί να δώσετε πιστοποιήσεις χρήστη.

Εναλλακτικός τρόπος αντιμετώπισης

Για να επιλύσετε αυτήν τη συμπεριφορά στην περίπτωση που έχετε πολλούς χώρους συγκέντρωσης εφαρμογών που εκτελούνται σε διαφορετικούς λογαριασμούς χρήστη τομέα, πρέπει να επιβάλλετε στις IIS να χρησιμοποιήσουν το NTLM ως μηχανισμό ελέγχου ταυτότητας, εάν θέλετε να χρησιμοποιήσετε μόνο τον ενσωματωμένο έλεγχο ταυτότητας των Windows. Για να γίνει αυτό, ακολουθήστε τα εξής βήματα στο διακομιστή που εκτελεί τις IIS:
  1. Ανοίξτε μια γραμμή εντολών.
  2. Εντοπίστε και, στη συνέχεια, αλλάξτε τον κατάλογο που περιέχει το αρχείο Adsutil.vbs. Από προεπιλογή, αυτός ο κατάλογος είναι ο C:\Inetpub\Adminscripts.
  3. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
  4. Για να βεβαιωθείτε ότι η ιδιότητα μετα-βάσης NtAuthenticationProviders έχει οριστεί σε NTLM, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Πρέπει να εμφανιστεί το ακόλουθο κείμενο:
    NTAuthenticationProviders       : (STRING) "NTLM"

Κατάσταση

Αυτή η συμπεριφορά οφείλεται στη σχεδίαση.

Περισσότερες πληροφορίες

Εάν ορίσετε το SPN χρησιμοποιώντας μόνο το FQDN του διακομιστή που εκτελεί τις IIS, θα σας ζητηθούν πιστοποιήσεις χρήστη μετά από 30 λεπτά. Το χρονικό όριο των 30 λεπτών παρουσιάζεται εξαιτίας του τρόπου με τον οποίο ο Internet Explorer αποθηκεύει στη μνήμη cache τις πληροφορίες DNS (Domain Name System). Μετά από 30 λεπτά,ο Internet Explorer επαναφέρει το όνομα NetBIOS. Κατά συνέπεια, πρέπει να βεβαιωθείτε ότι έχετε επίσης δηλώσει το SPN, χρησιμοποιώντας το όνομα NetBIOS του διακομιστή που εκτελεί τις IIS, για να αποτρέψετε την εμφάνιση του ερωτήματος που σας ζητά τις πιστοποιήσεις χρήστη. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
263558 Τρόπος με τον οποίο ο Internet Explorer χρησιμοποιεί τη μνήμη cache για καταχωρήσεις κεντρικού υπολογιστή DNS
Για να επαληθεύσετε τα καταχωρημένα SPN για το λογαριασμό χρήστη υπό τον οποίο εκτελείται ο χώρος συγκέντρωσης εφαρμογών σας, εκκινήστε μια γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή από τον κατάλογο στον οποίο είναι εγκατεστημένο το Setspn.exe και κατόπιν πατήστε το ENTER:
setspn.exe -l Όνομα χρήστη
Επιστρέφεται η λίστα των καταχωρημένων SPN για το λογαριασμό χρήστη.

Υπηρεσίες Internet Information Services (IIS) 7.0

Τα θέματα που αναλύονται σε αυτό το άρθρο μπορούν επίσης να εφαρμοστούν και για τις υπηρεσίες IIS 7.0 εάν ισχύει κάποια από τις ακόλουθες συνθήκες:
  • Ο έλεγχος ταυτότητας λειτουργίας πυρήνα είναι απενεργοποιημένος.
  • Ο έλεγχος ταυτότητας λειτουργίας πυρήνα είναι ενεργοποιημένος και το χαρακτηριστικό useAppPoolCredentials έχει οριστεί ως TRUE.

Αναφορές

Για επιπλέον πληροφορίες σχετικά με τη χρήση του ενσωματωμένου ελέγχου ταυτότητας των Windows με χώρους συγκέντρωσης εφαρμογών IIS, επισκεφτείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Ενσωματωμένος έλεγχος ταυτότητας των Windows (IIS 6.0)
Για πρόσθετες πληροφορίες σχετικά με αποτυχίες ελέγχου ταυτότητας ή ελέγχου πρόσβασης στις υπηρεσίες IIS, επισκεφτείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Εργαλείο διαγνωστικών ελέγχων Authentication and Access Control Diagnostics έκδοση 1.0 (IIS 6.0)
Σημείωση Το εργαλείο AuthDiag έχει σχεδιαστεί για βοήθεια όταν εμφανίζεται κάποιο από τα ακόλουθα μηνύματα σφάλματος:
  • Η σύνδεση 401.1 απέτυχε (401.1 logon failed)
  • 401.3 ACL
Το εργαλείο AuthDiag μπορεί επίσης να σας βοηθήσει όταν αντιμεπίζετε προβλήματα με τον έλεγχο ταυτότητας Kerberos.
Σημείωση Αυτό είναι ένα άρθρο «ΤΑΧΕΙΑΣ ΔΗΜΟΣΙΕΥΣΗΣ» που δημιουργήθηκε απευθείας από τον οργανισμό υποστήριξης της Microsoft. Οι πληροφορίες που περιλαμβάνονται σε αυτό το άρθρο, παρέχονται ως απόκριση σε θέματα που προκύπτουν. Ως αποτέλεσμα της ταχύτητας διάθεσής του, το υλικό ενδέχεται να έχει τυπογραφικά λάθη και να αναθεωρηθεί ανά πάσα στιγμή χωρίς ειδοποίηση. Ανατρέξτε στους Όρους χρήσης για άλλα ζητήματα.

Ιδιότητες

Αναγν. άρθρου: 871179 - Τελευταία αναθεώρηση: Πέμπτη, 3 Οκτωβρίου 2013 - Αναθεώρηση: 1.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Οδηγός Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Λέξεις-κλειδιά: 
kbtshoot kbprb KB871179

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com