Te saate ka "HTTP viga 401,1 - loata: Access is denied tõttu sobimatu mandaat" tõrketeade, kui proovite luua juurdepääsu veebisaidi, mis on osa rakendusekaust IIS 6.0

Artiklite tõlked Artiklite tõlked
Artikli ID: 871179 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

Sellel veebilehel

Sümptomid

Kui proovite Microsoft Internet Information Services (IIS) 6.0 veebilehel, mis on konfigureeritud kasutama Windowsi integreeritud autentimine ainult, küsitakse kasutaja mandaati. Kui proovite sisse logida, kuvatakse viip sisselogimisel uuesti. Pärast seda, kui sa püüad sisselogimist kolm korda, kuvatakse järgmine tõrketeade:
HTTP-tõrge 401,1 - loata: Juurdepääs on keelatud, kuna mandaat ei sobi.

Põhjus

Selline käitumine võib ilmneda juhul, kui täidetud on järgmised tingimused:
  • IIS 6.0 veebisait on osa IIS-i rakendusekausta.
  • Rakendusekaust töötab kohalikku kasutajakontot või domeeni kasutajakonto alt.
  • Veebilehel on konfigureeritud kasutama Windowsi integreeritud autentimine ainult.
Selle stsenaariumi puhul kui Windowsi integreeritud autentimine üritab kasutada Kerberost, Kerberose autentimine ei tööta. Kerberose autentimist kasutada teenuse peate registreerima oma teenuse põhilist nime (SPN) teenus töötab Active Directory kataloogiteenuse konto all. Vaikimisi Active Directory registreerib võrgu põhilise sisend-/ väljundsüsteemi (NetBIOS) arvuti nimi. Active Directory lubab kasutada ka võrguteenuse või kohaliku süsteemikonto kasutada Kerberost.

Lahendus

Kui selline käitumine ilmneb siis, kui rakendusekaust töötab kohalikku kasutajakontot, järgige jaotises "Lahendus".

Selle käitumise lahendamiseks rakendusekausta käitamisel domeeni kasutajakonto alt, seadistada HTTP SPN NetBIOS-nimi ja selle täielik domeeninimi (FQDN) domeeni kasutajakonto, et rakendusekaust töötab. Selleks tehke domeenikontrolleril:

Oluline Mis SPN teenust ainult saab seostada ühe konto. Seetõttu, kui selle soovitatud lahenduse kasutamist muu rakendusekaust, mis eri domeeni kasutajakonto alt töötavad ei saa kasutada integreeritud Windowsi autentimisega.
  1. Installige tööriist Setspn.exe. Tööriist Setspn.exe saamiseks Microsoft Windows Server 2003, klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
    970536 Setspn.exe vahend värskendus Windows Server 2003
  2. Käivitage käsuviip ja seejärel muuta kataloogi, kuhu on paigaldatud Setspn.exe.
  3. Tippige käsureale käsk järgmised käsud. Pärast igat käsku vajutage ENTER:
    setspn.exe -S http /IIS_computer's_NetBIOS_name Domeeninimi\Kasutajanimi

    setspn.exe -S http /IIS_computer's_FQDN Domeeninimi\Kasutajanimi
    MärkusKasutajanimi on kasutaja konto, mis töötab taotlus bassein. Pange ka tähele, et kui kasutate setspn.exe käsk Windows 2000 arvutis kasutada-lüliti -S lüliti asemel.
Pärast seda, kui seate HTTP-teenuse SPN rakendusekaust töötab domeeni kasutajakonto, saate edukalt ühendada veebisaidile ilma et küsitakse teie kasutaja.

Vastukaal

Probleemi lahendamiseks, kui teil on mitu Rakendusekaustad, mis töötavad teises domeenis kasutajakontod, peab sundima IIS Kasuta NTLM-i autentimise mehhanismi, kui soovite kasutada ainult Windowsi integreeritud autentimist. Selleks toimige järgmiselt serveris, kus töötab IIS.
  1. Käivitage käsuviip.
  2. Leidke ja seejärel muuta kataloogi, mis sisaldab Adsutil.vbs faili. Selles kataloogis on vaikimisi C:\Inetpub\Adminscripts.
  3. Tippige järgmine käsk ja vajutage seejärel sisestusklahvi ENTER:
    cscript juhtimise adsutil.vbs seatud w3svc/NTAuthenticationProviders "NTLM"
  4. Veendumaks, et selle NtAuthenticationProviders metaandmebaasi atribuudi väärtuseks on seatud NTLM, tippige järgmine käsk ja vajutage seejärel sisestusklahvi ENTER:
    cscript juhtimise adsutil.vbs saada w3svc/NTAuthenticationProviders
    Tagasi järgmine tekst:
    NTAuthenticationProviders       : (STRING) "NTLM"

Olek

Selline käitumine on ette nähtud.

Lisateave

Kui seate selle SPN kasutades ainult IIS käitava serveri FQDN, küsitakse kasutaja mandaati 30 minuti pärast. 30-Minutilise ajalõpu ilmnemisel sellepärast, et Internet Exploreri vahemälu domeeninime süsteemi (DNS) teavet. Pärast 30 minutit, taastatakse Internet Exploreri NetBIOS-nimeks. Seetõttu peate veenduma, et registreerige ka selle SPN abil IIS ei küsita teie kasutajamandaati käitava serveri NetBIOS-nimi.Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
263558Kui Internet Explorer kasutab vahemälus DNS host kirjed
Kontrollimaks, kas registreeritud SPN-id oma rakendusekaust töötab kasutajakonto, käivitage käsuviip, tippige järgmine käsk: kataloog, kus Setspn.exe on paigaldatud ja vajutage sisestusklahvi ENTER:
setspn.exe -l Kasutajanimi
Registreeritud SPN-id kasutajakonto loetelu on tagastatud.

Teenuse Internet Information Services (IIS) 7.0

Käesolevas artiklis käsitletud teemasid saate rakendada ka IIS 7.0 kui üks järgmistest tingimustest on täidetud:
  • Tuuma re?iimi autentimine on keelatud.
  • Tuuma re?iimi autentimine on lubatud, ning useAppPoolCredentials atribuut on seatud TRUE.

Viited

IIS-i Rakendusekaustad Windowsi integreeritud autentimise kasutamise kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
Windowsi integreeritud autentimine (IIS 6.0)
Autentimise rikete või juurdepääsu kontrolli rikete IIS-i kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
Autentimise ja juurdepääsu kontrollimise diagnostika versioon 1.0 (IIS 6.0)
Märkus AuthDiag tööriista eesmärk on teid aidata, kui kuvatakse üks järgmistest tõrketeadetest:
  • 401.1 sisselogimine nurjus
  • 401.3 ACL
AuthDiag tööriist aitab teil kui teil on probleeme Kerberose.

Atribuudid

Artikli ID: 871179 - Viimati läbi vaadatud: 20. juuni 2013 - Redaktsioon: 1.0
Kehtib järgmise lõigu kohta:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Märksõnad: 
kbtshoot kbprb kbmt KB871179 KbMtet
Masintõlgitud
NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.
Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 871179

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com