Uživatelé se po nainstalování aktualizace Service Pack 1 pro systém Windows Server 2003 setkávají s problémy s ověřením při otevírání webových stránek pomocí služby IIS 6.0 nebo zasílání dotazu na server Microsoft SQL Server 2000

Překlady článku Překlady článku
ID článku: 887993 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Upgradujete počítač se systémem Microsoft Windows Server 2003 systémem Internetová informační služba (IIS) 6.0 nebo Microsoft SQL Server 2000 a Windows Server 2003 Service Pack 1 (SP1). Po takovém uživatelé problémy ověřování při použití webových aplikací nebo při použít program dotazů databáze. Uživatel například zaznamenat příznaky, které jsou podobné následující:
  • Uživatel obdrží chybovou zprávu "Přístup byl odepřen", pokud se uživatel pokusí o přístup na webovou stránku, která načítá data z databáze back-end.
  • Uživatel nemůže připojit k jinému serveru databáze, která je umístěna v clusteru Vyrovnávání zatížení sítě (NLB). Dotazy na databázi serveru nezdaří.
Příznaky zkušenosti uživatelů se může lišit v závislosti na konkrétním prostředí.

Příčina

K tomuto problému dochází, pokud hlavní název služby (SPN) služby není ověřen. Hlavní název služby není ověřen, pokud hlavní název služby není registrován pro účet služby. Windows Server 2003 SP1 obsahuje funkci Kontrola zpětné smyčky, který je uložen v následující položce registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
Standardně je zapnuta funkce Kontrola zpětné smyčky v systému Windows Server 2003 SP1 a DisableLoopbackCheck položka registru je nastavena na 0 (nula). Funkce zpětné smyčky zaškrtnutí zabrání program registrace hlavní název služby.

Řešení

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systému Windows

Důležité: Ve výchozím nastavení je zapnuta funkce Kontrola zpětné smyčky v systému Windows Server 2003 SP1 a DisableLoopbackCheck položka registru je nastavena na 0 (nula). Zabezpečení je snížena při zakázání ověřování zaškrtnutí zpětné smyčky a otevřít server Windows Server 2003 (MITM) útokům prostředníkem (man v the-middle) na NTLM. Chcete-li předejít útokům MITM, by měla být po provedení změn SPN nula (0) vrácena hodnota položky registru. Metoda 1 je také upřednostňovaný řešení.

Metoda 1: Vytvoření názvy hostitele místní úřad zabezpečení, které lze odkazovat v požadavku na ověření NTLM (upřednostňováno)

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a klepněte na tlačítko OK.
  2. V Editoru registru vyhledejte následující klíč registru a poté na něj klikněte:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. Klepněte pravým tlačítkem myši Msv1_0, přejděte na příkaz Nový a klepněte na příkaz Víceřetězcová hodnota.
  4. Zadejte BackConnectionHostNames a stiskněte klávesu ENTER.
  5. Klepněte pravým tlačítkem myši BackConnectionHostNames a potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte název hostitele nebo názvy hostitele pro weby, které jsou v místním počítači a potom klepněte na tlačítko OK.
  7. Ukončete Editor registru a restartujte server tato změna projeví.

Metoda 2: Zakázat zpětné smyčky Kontrola ověřování a zaregistrovat hlavní název služby je služba spuštěna pod účtem

Chcete-li tento problém vyřešit, zakázat zpětné smyčky Kontrola ověřování a zaregistrovat hlavní název služby je služba spuštěna pod účtem. Nastavte položku DisableLoopbackCheck
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
v registru podklíč 1 a určit název hlavní název služby.

Krok 1: Nastavení položky registru DisableLoopbackCheck 1

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  3. DisableLoopbackCheck klepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
  4. Do pole Údaj hodnoty zadejte 1 a potom klepněte na tlačítko OK.

Krok 2: Chcete-li zjistit název hlavní název služby

  1. Přidejte následující položky registru a potom nastavte každou položku registru odpovídající hodnotu následujícím způsobem:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel

      Hodnota: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile

      Hodnota: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel

      Hodnota: c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel

      Hodnota: 1 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile

      Hodnota: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel

      Hodnota: c3
    Přidat položku registru, postupujte takto:
    1. Vyhledejte a klepněte na podklíč registru, kam chcete přidat položku registru.
    2. V nabídce Úpravy přejděte na příkaz Nový a potom klepněte na příkaz Hodnota DWORD.
    3. Zadejte název položky registru, které chcete přidat a stiskněte klávesu ENTER.
    4. Klepněte pravým tlačítkem myši v registru položky, které jste přidali v kroku 2 c a potom klepněte na příkaz změnit.
    5. Zadejte příslušnou hodnotu pro danou položku registru a klepněte na tlačítko OK.
    6. Opakujte krok 2a až 2e pro každou položku registru, které chcete přidat.
    7. Ukončete program Editor registru.
  2. Restartujte počítač a reprodukovat problém. Po to provést v systémovém protokolu je zaznamenána zpráva Chyba ID události podobná následující:
    Typ: Chyba
    Zdroj: Kerberos
    Kategorie: žádný
    ID události: 3
    Popis: Kerberos chyb přijatých zpráv:
    na přihlašovací relaci
    Čas klienta:
    Server čas: TimeDate
    Kód chyby: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    Rozšířená chyba:
    Sféra klienta:
    Název klienta:
    Sféra serveru: DomainName .com
    Název serveru: MSSQLSvc / DomainName .com:1433
    Cílový název: MSSQLSvc / ServerName. DomainName: 1433 @ DomainName.com
    Chyba text:
    Soubor: 9
    Řádek: ab8
    Chyba dat je v datech záznamu.
    Určit SPN z chybová zpráva ID události. V tomto příkladu je hlavní název služby MSSQLSvc / DomainName .com:1433.

Krok 3: Pomocí nástroje příkazového řádku Setspn.exe zaregistrovat SPN účtu příslušné služby

Ve službě IIS 6.0 účet služby je obvykle účet spouštěna webové služby nebo účet fondu aplikací používá. V Microsoft SQL Server 2000 účet služby je účet SQL Server 2000 spouštěna. Přidat nové SPN použijte následující syntaxi:
setspn - a SPN DomainName \ AccountName

Následuje příklad použití nástroje příkazového řádku Setspn.exe přidejte hlavní název služby:
setspn - a MSSQLSvc/NLBNAME.corp.domain.com:1433 DomainName \ AccountName

Další informace

Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
970536Aktualizace nástroje Setspn.exe podporu pro systém Windows Server 2003


Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
837361Protokol Kerberos KDC konfigurační klíče v systému Windows Server 2003 a položky registru


Po instalaci aktualizace zabezpečení 957097 aplikací, například SQL Server nebo Internetová informační služba (IIS) může selhat při provádění místních požadavků ověřování NTLM. Další informace o postupu při řešení tohoto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
957097MS08-068: Chyba zabezpečení v SMB by mohla umožnit vzdálené spuštění kódu
Naleznete v části "Známé problémy s touto aktualizací zabezpečení" článek 957097 podrobnosti o tento problém vyřešit.

Vlastnosti

ID článku: 887993 - Poslední aktualizace: 10. února 2009 - Revize: 4.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Klíčová slova: 
kbmt kbtshoot KB887993 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:887993

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com