Появляется «HTTP Ошибка 401.1 - доступ запрещен: доступ запрещен из-за неправильные учетные данные "сообщение об ошибке при попытке получить доступ к веб-узел, который является частью пула приложений IIS 6.0

Переводы статьи Переводы статьи
Код статьи: 871179 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

При попытке доступа к веб-узел Microsoft IIS (IIS) 6.0, который настроен на использование встроенной проверки подлинности Windows только приглашение ввести учетные данные пользователя. При попытке войти в систему, окна входа в систему появится снова. При попытке входа в три раза, появляется следующее сообщение об ошибке:
HTTP Ошибка 401.1 - доступ запрещен: Доступ запрещен из-за неправильные учетные данные.

Причина

Это может происходить, если выполняются следующие условия:
  • IIS 6.0 веб-узла является частью пула приложений IIS.
  • Группа приложений выполняется под локальной учетной записью или учетной записи пользователя домена.
  • Веб-узел настроен на использование встроенной проверки подлинности Windows только.
В этом случае при встроенной проверке подлинности Windows пытается использовать Kerberos, проверка подлинности Kerberos не работает. Для использования проверки подлинности Kerberos, службу необходимо зарегистрировать его имя участника службы (SPN) под учетной записью в службе каталогов Active Directory, служба работает. По умолчанию Active Directory регистрирует имя компьютера сетевой базовой системы ввода вывода (NetBIOS). Active Directory также позволяет использовать сетевая служба или локальная системная учетная запись используется Kerberos.

Решение

Если это происходит, если пул приложений выполняется под локальной учетной записью, выполните действия, описанные в разделе «Временное решение».

Для решения этой проблемы, когда пул приложений выполняется под учетной записью пользователя домена, Настройка SPN HTTP с NetBIOS-имя и полное доменное имя (FQDN) учетной записи пользователя домена, под управлением пула приложений. Чтобы сделать это, выполните следующие действия на контроллере домена.

Важно Имя SPN для службы можно сопоставить только с одной учетной записи. Таким образом при использовании этого предлагаемого разрешения другого пула приложений, на котором выполняется под учетной записью пользователя домена не может использоваться с встроенной проверки подлинности Windows только.
  1. Установите средство Setspn.exe. Чтобы загрузить средство Setspn.exe для Microsoft Windows Server 2003, щелкните следующий номер статьи базы знаний Майкрософт:
    970536 Обновление средства Setspn.exe поддержки для Windows Server 2003
  2. В командной строке, а затем перейдите в каталог, где установлена Setspn.exe.
  3. В командной строке введите следующие команды. Нажмите клавишу ВВОД после каждой команды:
    http -S Setspn.exe /IIS_computer's_NetBIOS_name Имя_домена\Имя пользователя

    http -S Setspn.exe /IIS_computer's_FQDN Имя_домена\Имя пользователя
    ПримечаниеИмя пользователя — это учетная запись пользователя, под управлением пула приложений. Обратите также внимание, что если выполняется команда setspn.exe на компьютере Windows 2000, использование - коммутатора параметром -S.
После имени участника-службы для службы HTTP для учетной записи пользователя домена, под управлением пула приложений, могут успешно подключиться к веб-узла не вводя учетные данные пользователя.

Временное решение

Для временного решения этой проблемы при наличии нескольких пулов приложений, которые работают под учетными записями пользователей другого домена, необходимо явным образом настроить IIS, чтобы использовать механизм проверки подлинности NTLM, если необходимо использовать встроенную проверку подлинности Windows только. Чтобы сделать это, выполните следующие действия на сервере, на котором запущены службы IIS.
  1. Запустите командную строку.
  2. Найдите и измените каталог, содержащий файл Adsutil.vbs. По умолчанию этот каталог является C:\Inetpub\Adminscripts.
  3. Введите следующую команду и нажмите клавишу ВВОД:
    cscript adsutil.vbs задайте w3svc/NTAuthenticationProviders «NTLM»
  4. Чтобы убедиться, что NtAuthenticationProviders Свойство метабазы имеет значение NTLM, введите следующую команду и нажмите клавишу ВВОД:
    get adsutil.vbs cscript w3svc/NTAuthenticationProviders
    Должен быть возвращен следующий текст:
    NTAuthenticationProviders       : (STRING) "NTLM"

Статус

Данное поведение является особенностью.

Дополнительная информация

Если имя SPN только полное доменное имя сервера, на котором запущены службы IIS, появится приглашение ввести учетные данные пользователя через 30 минут. Время ожидания 30 минут происходит из-за способа, которым обозреватель Internet Explorer кэширует сведения о системе доменных имен (DNS). Через 30 минут Internet Explorer возвращается к NetBIOS-имя. Таким образом необходимо убедиться, также зарегистрировать имя участника-службы с помощью NetBIOS-имя сервера, на котором запущены службы IIS, чтобы избежать подсказки учетных данных пользователя.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
263558Использование кэша обозревателя Internet Explorer для записи узла DNS
Чтобы проверить зарегистрированные имена SPN для учетной записи пользователя, под управлением пула приложений, в командной строке, введите следующую команду из каталога, где установлен Setspn.exe и нажмите клавишу ВВОД:
Setspn.exe -l Имя пользователя
Возвращает список зарегистрированных имен SPN для учетной записи пользователя.

Информационные службы Интернета (IIS) 7.0

Тем, обсуждаемых в этой статье также можно применить к IIS 7.0, если выполняется одно из следующих условий:
  • Отключена проверка подлинности в режиме ядра.
  • Включена проверка подлинности в режиме ядра и useAppPoolCredentials атрибут имеет значение TRUE.

Ссылки

Дополнительные сведения об использовании пулов приложений IIS встроенную проверку подлинности Windows посетите следующий веб-узел корпорации Майкрософт:
Встроенная проверка подлинности Windows (IIS 6.0)
Дополнительные сведения о сбоях проверки подлинности или сбоев управления доступом в IIS посетите следующий веб-узел корпорации Майкрософт:
Проверка подлинности и управление доступом диагностики версии 1.0 (IIS 6.0)
Примечание Средство AuthDiag призвана помочь, когда появится одно из следующих сообщений об ошибке:
  • Ошибка 401.1 входа
  • 401.3 ACL
AuthDiag средство может помочь также в случае возникновения проблем с Kerberos.

Свойства

Код статьи: 871179 - Последний отзыв: 16 декабря 2012 г. - Revision: 8.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Ключевые слова: 
kbtshoot kbprb kbmt KB871179 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке: 871179

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com