คุณได้รับข้อความแสดงข้อผิดพลาด "HTTP Error 401.1 - Unauthorized: Access is denied due to invalid credentials" เมื่อคุณพยายามเข้าถึงเว็บไซต์ที่เป็นส่วนหนึ่งของพูลโปรแกรมประยุกต์ IIS 6.0

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 871179 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

เมื่อคุณพยายามเข้าถึงเว็บไซต์ Microsoft Internet Information Services (IIS) 6.0 ที่ถูกกำหนดค่าให้ใช้การพิสูจน์ตัวจริงแบบรวมของ Windows เท่านั้น คุณได้รับพร้อมท์สำหรับข้อมูลประจำตัวของผู้ใช้ เมื่อคุณพยายามเข้าสู่ระบบ คุณได้รับพร้อมท์การเข้าสู่ระบบอีกครั้ง หลังจากที่คุณพยายามเข้าสู่ระบบสามครั้ง คุณได้รับข้อความแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้:
ข้อผิดพลาด HTTP 401.1 - ไม่ได้รับอนุญาต: การเข้าถึงถูกปฏิเสธเนื่องจากข้อมูลประจำตัวที่ไม่ถูกต้อง

สาเหตุ

ลักษณะการทำงานนี้อาจเกิดขึ้นหากมีเงื่อนไขต่อไปนี้:
  • เว็บ 6.0 IIS ไซต์เป็นส่วนหนึ่งของพูลโปรแกรมประยุกต์ IIS
  • พูลโปรแกรมประยุกต์กำลังทำงานภาย ใต้บัญชีแบบภายใน หรือภาย ใต้บัญชีผู้ใช้โดเมน
  • เว็บไซต์มีการกำหนดค่าการใช้การพิสูจน์ตัวจริงแบบรวมของ Windows เท่านั้น
ในสถานการณ์นี้ เมื่อมีการพิสูจน์ตัวจริงแบบรวมของ Windows พยายามที่ใช้ Kerberos การรับรองความถูกต้อง Kerberos อาจไม่ทำงาน เมื่อต้องใช้การรับรองความถูกต้อง Kerberos การบริต้องลงทะเบียนของชื่อบริการหลัก (SPN) ภายใต้บัญชีในบริการไดเรกทอรี Active Directory ที่บริการกำลังเรียกใช้ภายใต้ โดยค่าเริ่มต้น Active Directory ลงทะเบียนชื่อคอมพิวเตอร์ระบบอินพุต/เอาท์พุตพื้นฐาน (NetBIOS) ของเครือข่าย ไดเรกทอรีที่ใช้งานอยู่และยังอนุญาตให้บริการเครือข่ายหรือบัญชี Local System การใช้ Kerberos

การแก้ไข

หากลักษณะการทำงานนี้เกิดขึ้นเมื่อมีการพูลโปรแกรมประยุกต์กำลังทำงานภายใต้บัญชีของเครื่อง ให้ทำตามขั้นตอนในส่วน "วิธีแก้ปัญหา"

เมื่อต้องแก้ไขลักษณะการทำงานนี้เมื่อมีการเรียกใช้พูลโปรแกรมประยุกต์ภายใต้บัญชีผู้ใช้โดเมน ตั้งค่าการ SPN HTTP กับชื่อ NetBIOS และชื่อโดเมน(แบบเต็ม FQDN) ของบัญชีผู้ใช้โดเมนที่พูลโปรแกรมประยุกต์กำลังทำงานอยู่ภายใต้ เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้บนตัวควบคุมโดเมน:

สิ่งสำคัญ ข้อ SPN สำหรับบริการเท่านั้นสามารถเชื่อมโยงกับบัญชีหนึ่ง ดังนั้น ถ้าคุณใช้ความละเอียดที่แนะนำนี้ พูใด ๆ อื่น ๆ ลโปรแกรมประยุกต์ที่กำลังเรียกใช้ภายใต้บัญชีผู้ใช้โดเมนที่แตกต่างกันไม่สามารถใช้กับการพิสูจน์ตัวจริงแบบรวมของ Windows เท่านั้น
  1. ติดตั้งเครื่องมือ Setspn.exe เมื่อต้องการขอรับเครื่องมือ Setspn.exe สำหรับ Microsoft Windows Server 2003 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    970536 ปรับปรุงเครื่องมือสนับสนุน Setspn.exe สำหรับ Windows Server 2003
  2. เริ่มการทำงานของพร้อมท์รับคำสั่ง และจากนั้น ให้เปลี่ยนไดเรกทอรีที่คุณติดตั้ง Setspn.exe
  3. พิมพ์คำสั่งต่อไปนี้ที่คอมมานด์พร้อมต์ กด ENTER หลังจากแต่ละคำสั่ง:
    -S http ของ setspn.exe /IIS_computer's_NetBIOS_name DomainName\ชื่อผู้ใช้

    -S http ของ setspn.exe /IIS_computer's_FQDN DomainName\ชื่อผู้ใช้
    หมายเหตุชื่อผู้ใช้ มีแอคเคาท์ผู้ใช้พูลโปรแกรมประยุกต์กำลังทำงานอยู่ภายใต้ นอกจากนี้สังเกตว่าถ้าคุณกำลังเรียกใช้คำสั่ง setspn.exe บนเครื่องจักร Windows 2000 ใช้สวิตช์แทนสวิตช์ -S
หลังจากที่คุณได้ตั้งค่าการ SPN สำหรับบริการ HTTP สำหรับบัญชีผู้ใช้โดเมนที่มีการเรียกใช้พูลโปรแกรมประยุกต์ภายใต้ คุณสามารถเชื่อมได้สำเร็จต่อไปยังเว็บไซต์โดยไม่ต้องถูกพร้อมท์ให้ใส่ข้อมูลประจำตัวของผู้ใช้

การหลีกเลี่ยงปัญหา

เมื่อต้องแก้ไขปัญหานี้หากคุณมีพูลโปรแกรมประยุกต์หลายที่รันภายใต้บัญชีผู้ใช้โดเมนที่แตกต่างกัน คุณต้องบังคับให้ IIS เมื่อต้องใช้ NTLM เป็นกลไกการรับรองความถูกต้องของคุณถ้าคุณต้องการใช้การพิสูจน์ตัวจริงแบบรวมของ Windows เท่านั้น เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้บนเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS:
  1. เริ่มการพรอมต์คำสั่ง
  2. ค้นหา และจากนั้น ให้เปลี่ยนไดเรกทอรีที่ประกอบด้วยแฟ้ม Adsutil.vbs โดยค่าเริ่มต้น ไดเรกทอรีนี้คือ C:\Inetpub\Adminscripts
  3. พิมพ์คำสั่งต่อไปนี้ และกด ENTER:
    adsutil.vbs cscript จะตั้งค่า "NTLM" w3svc/NTAuthenticationProviders
  4. เมื่อต้องการตรวจสอบว่า การ NtAuthenticationProviders ตั้งค่าคุณสมบัติ metabase เป็น NTLM พิมพ์คำสั่งต่อไปนี้ และจากนั้น กด ENTER:
    cscript จะ adsutil.vbs รับ w3svc/NTAuthenticationProviders
    ควรจะส่งคืนข้อความต่อไปนี้:
    NTAuthenticationProviders       : (STRING) "NTLM"

สถานะ

ลักษณะการทำงานนี้ได้ โดยการออกแบบ

ข้อมูลเพิ่มเติม

ถ้าคุณตั้งค่าการ SPN โดยใช้ FQDN ของเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS เท่านั้น คุณจะได้รับพร้อมท์สำหรับข้อมูลประจำตัวของผู้ใช้ของคุณหลังจาก 30 นาที หมดเวลา 30 นาทีเกิดขึ้น เพราะวิธีการที่ Internet Explorer เก็บข้อมูลของ Domain Name System (DNS) หลังจาก 30 นาที Internet Explorer แปลงกลับเป็นชื่อ NetBIOS ดังนั้น คุณต้องตรวจสอบให้แน่ใจว่า คุณอาจลงทะเบียน SPN ที่ โดยใช้ชื่อ NetBIOS ของเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS เพื่อหลีกเลี่ยงการถูกพร้อมท์ให้ใส่ข้อมูลประจำตัวของผู้ใช้สำหรับข้อมูลเพิ่มเติม คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
263558วิธีการที่ Internet Explorer ใช้แคสำหรับรายการของโฮสต์ DNS
เมื่อต้องการตรวจสอบ SPNs สำหรับบัญชีผู้ใช้ที่การพูลโปรแกรมประยุกต์ของคุณกำลังทำงานอยู่ภายใต้การลงทะเบียน เริ่มพรอมต์คำสั่ง พิมพ์คำสั่งต่อไปนี้จากไดเรกทอรีที่ติดตั้ง Setspn.exe และจากนั้น กด ENTER:
setspn.exe -l ชื่อผู้ใช้
รายการของ SPNs สำหรับบัญชีผู้ใช้ลงทะเบียนจะถูกส่งกลับ

Internet Information Services (IIS) 7.0

หัวข้อกล่าวถึงในบทความนี้ยังสามารถใช้กับ IIS 7.0 หากเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • รับรองความถูกต้องของโหมดเคอร์เนลที่ถูกปิดใช้งาน
  • รับรองความถูกต้องของโหมดเคอร์เนลจะเปิดใช้งาน และ useAppPoolCredentials แอตทริบิวต์ถูกตั้งค่าเป็น TRUE

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้การพิสูจน์ตัวจริงของ Windows แบบรวมกับพูลโปรแกรมประยุกต์ IIS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
พิสูจน์ตัวจริงของ Windows แบบรวม (IIS 6.0)
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความล้มเหลวในการรับรองความถูกต้องหรือความล้มเหลวของการควบคุมการเข้าถึงใน IIS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
รุ่นการวินิจฉัยการควบคุมการเข้าถึง 1.0 (IIS 6.0) และการรับรองความถูกต้อง
หมายเหตุ เครื่องมือ AuthDiag ถูกออกแบบมาเพื่อช่วยให้คุณเมื่อคุณเห็นข้อความแสดงข้อผิดพลาดต่อไปนี้:
  • เข้าสู่ระบบ 401.1 ล้มเหลว
  • 401.3 ACL
เครื่องมือ AuthDiag สามารถยังช่วยให้คุณเมื่อคุณประสบปัญหา Kerberos

คุณสมบัติ

หมายเลขบทความ (Article ID): 871179 - รีวิวครั้งสุดท้าย: 30 ตุลาคม 2555 - Revision: 6.0
ใช้กับ
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Keywords: 
kbtshoot kbprb kbmt KB871179 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:871179

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com