IIS 6.0 uygulama havuzunun bir parçası olan bir Web sitesine erişmeye çalıştığınızda "http hatası 401.1 - yetkisiz: erişim geçersiz kimlik bilgileri nedeniyle engellendi" hata iletisi alırsınız

Makale çevirileri Makale çevirileri
Makale numarası: 871179 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Tümleşik Windows kimlik doğrulaması kullanacak şekilde yapılandırılmış bir Microsoft Internet Information Services (IIS) 6.0 Web sitesine erişmeye çalıştığınızda, kullanıcı kimlik bilgileriniz istenir. Oturum açmaya çalıştığınızda, oturum açma istemini yeniden alırsınız. Üç kez üzerinde oturum açmaya çalıştıktan sonra aşağıdaki hata iletisini alırsınız:
HTTP hatası 401.1-: Geçersiz kimlik bilgileri nedeniyle erişim reddedildi.

Neden

Bu davranış, aşağıdaki koşullar geçerli olduğunda oluşabilir:
  • IIS 6.0 Web sitesini IIS uygulama havuzu bir parçasıdır.
  • Uygulama havuzu, bir yerel hesap altında veya bir etki alanı kullanıcı hesabı altında çalışıyor.
  • Tümleşik Windows kimlik doğrulaması kullanacak biçimde yapılandırılmış bir Web sitesi.
Tümleşik Windows kimlik doğrulaması, Kerberos kullanmaya çalıştığında, bu senaryoda, Kerberos kimlik doğrulaması çalışmayabilir. Kerberos kimlik doğrulaması kullanmak için bir hizmetin, hizmet asıl adı (SPN) Active Directory dizin hizmetindeki hizmetin altında çalıştığı hesabı altında kaydetmeniz gerekir. Varsayılan olarak, Active Directory, ağ temel giriş/çıkış sistemi (NetBIOS) bilgisayar adını kaydeder. Active Directory ayrıca ağ hizmeti veya yerel sistem hesabının Kerberos kullanmasına izin verir.

Çözüm

Bu davranış oluşursa, uygulama havuzunu yerel bir hesap altında çalışırken, "Geçici Çözüm" bölümündeki adımları izleyin.

Uygulama havuzu bir etki alanı kullanıcı hesabı altında çalışıyorsa, bu davranışı gidermek için NetBIOS adını ve tam etki alanı adını (FQDN) uygulama havuzu, altında çalıştığı etki alanı kullanıcı hesabı ile HTTP SPN ayarlayın. Bunu yapmak için bir etki alanı denetleyicisinde aşağıdaki adımları izleyin:

Önemli Bir hizmet için bir SPN yalnızca bir firmayla ilişkilendirilebilir. Bu nedenle, bu önerilen çözümü kullanıyorsanız, farklı bir etki alanı kullanıcı hesabı altında çalışan herhangi bir uygulama havuzu yalnızca tümleşik Windows kimlik doğrulaması ile kullanılamaz.
  1. Setspn.exe aracını yükleyin. Setspn.exe aracını edinmek için Microsoft Windows Server 2003 için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    970536 Setspn.exe destek aracı Windows Server 2003 güncelleştirmesi
  2. Bir komut istemi başlatın ve sonra Setspn.exe yüklediğiniz dizine değiştirin.
  3. Komut istemine aşağıdaki komutları yazın. Her komutun ardından ENTER tuşuna basın:
    Setspn.exe -S http /IIs_Computer's_NetBIOS_name EtkiAlanıAdı\Kullanıcı adı

    Setspn.exe -S http /IIs_Computer's_FQDN EtkiAlanıAdı\Kullanıcı adı
    NotKullanıcı adı Uygulama havuzu, altında çalıştığı kullanıcı hesabıdır. Setspn.exe komut bir Windows 2000 makinesinde çalıştırıyorsanız - anahtar -S anahtarı yerine kullanmak da unutmayın.
SPN HTTP hizmeti için uygulama havuzu, altında çalıştığı etki alanı kullanıcı hesabı için ayarladıktan sonra Web sitesi için kullanıcı kimlik bilgileri istenmeden başarıyla bağlanabilir.

Pratik Çözüm

Farklı bir etki alanı kullanıcı hesapları altında çalışan birden çok uygulama havuzları varsa, bu davranışa geçici bir çözüm için IIS Tümleşik Windows kimlik doğrulaması kullanmak istiyorsanız, kimlik doğrulama mekanizması olarak NTLM kullanmaya zorlamanız gerekir. Bunu yapmak için IIS çalıştıran sunucu üzerinde aşağıdaki adımları izleyin:
  1. Bir komut istemi başlatın.
  2. Bulun ve sonra Adsutil.vbs dosyasını içeren dizini değiştirin. Varsayılan olarak, bu C:\Inetpub\Adminscripts dizinidir.
  3. Aşağıdaki komutu yazın ve ENTER tuşuna basın:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
  4. Doğrulamak için NtAuthenticationProviders Metatabanı Özellik NTLM olarak ayarlanır, aşağıdaki komutu yazın ve ENTER tuşuna basın:
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Aşağıdaki metni döndürülmelidir:
    NTAuthenticationProviders       : (STRING) "NTLM"

Durum

Bu davranış tasarımdan kaynaklanır.

Daha fazla bilgi

Yalnızca IIS çalıştıran sunucuya FQDN'sini kullanarak SPN ayarlamak, 30 dakika sonra kullanıcı kimlik bilgileri istenir. 30 Dakikalık zaman aşımı Internet Explorer etki alanı adı sistemi (DNS) bilgilerini önbelleğe alma biçimi nedeniyle oluşur. 30 Dakika sonra Internet Explorer için NetBIOS adı geri döner. Bu nedenle, kullanıcı kimlik bilgileri için sorulmasını önlemek için IIS'nin çalıştığı sunucunun NetBIOS adını kullanarak SPN aynı zamanda kayıt emin olmanız gerekir.Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
263558Internet Explorer önbellek için DNS ana bilgisayar girdileri nasıl kullanır
Uygulama havuzu, altında çalıştığı kullanıcı hesabı için kayıtlı SPN doğrulamak için bir komut istemi başlatın, Setspn.exe yüklü olduğu dizinden aşağıdaki komutu yazın ve ENTER tuşuna basın:
Setspn.exe -l Kullanıcı adı
Kullanıcı hesabı için kayıtlı SPN listesini verir.

Internet Information Services (IIS) 7.0

Aşağıdaki koşullardan biri doğru olduğunda bu makalede açıklanan konular için IIS 7.0 da uygulayabilirsiniz:
  • Çekirdek modu kimlik doğrulaması devre dışı bırakılır.
  • Çekirdek modu kimlik doğrulaması etkindir ve useAppPoolCredentials özniteliği TRUE olarak ayarlanır.

Referanslar

Tümleşik Windows kimlik doğrulaması, IIS uygulama havuzları ile kullanma hakkında ek bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Tümleşik Windows kimlik doğrulaması (IIS 6.0)
Kimlik doğrulama başarısızlıkları veya IIS'de erişim denetimi hataları hakkında ek bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Kimlik doğrulama ve erişim denetimi tanılama sürüm 1.0 (IIS 6.0)
Not AuthDiag aracı aşağıdaki hata iletilerinden birini gördüğünüzde yardımcı olmak için tasarlanmıştır:
  • 401.1 oturum açma başarısız oldu
  • 401.3 ACL
Kerberos sorunlarla karşılaştığınızda AuthDiag aracı da yardımcı olabilir.

Özellikler

Makale numarası: 871179 - Last Review: 7 Haziran 2013 Cuma - Gözden geçirme: 6.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Anahtar Kelimeler: 
kbtshoot kbprb kbmt KB871179 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 871179

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com