Benutzer, treten Authentifizierungsprobleme beim Zugriff auf eine Webseite in IIS 6.0 oder Abfrage Microsoft SQL Server 2000 nach der Installation von Windows Server 2003 Service Pack 1

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 887993 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Sie aktualisieren einen Microsoft Windows Server 2003-basierten Computer, auf dem Microsoft Internet Information Services (IIS) 6.0 oder Microsoft SQL Server 2000 auf Windows Server 2003 Service Pack 1 (SP1) ausgeführt wird. Nachdem Sie dies getan haben, treten Benutzer Authentifizierungsprobleme bei Verwendung von Webanwendungen oder beim Verwenden eines Programms, das die Datenbank abfragt. Beispielsweise kann ein Benutzer Symptome, die eine der folgenden ähneln:
  • Der Benutzer erhält eine "Zugriff verweigert" Fehlermeldung, wenn der Benutzer versucht, eine Webseite zugreifen, die Daten aus einer Back-End-Datenbank abruft.
  • Der Benutzer kann keine Verbindung auf einen anderen Datenbankserver herstellen, der in einem Cluster mit Netzwerklastenausgleich (Network Load Balancing, NLB) befindet. Abfragen an den Datenbankserver fehlschlagen.
Die Symptome, die für den Benutzer ergeben können abhängig von Ihrer speziellen Umgebung variieren.

Ursache

Dieses Problem tritt auf, wenn der Dienstprinzipalnamen (SPN) des Dienstes nicht authentifiziert ist. Der DIENSTPRINZIPALNAME ist nicht authentifiziert, wenn der DIENSTPRINZIPALNAME nicht in ein Dienstkonto registriert ist. Windows Server 2003 SP1 enthält die Loopback-Funktionalität, die in den folgenden Registrierungseintrag gespeichert wird:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
In der Standardeinstellung Loopback-Funktionalität wird aktiviert in Windows Server 2003 SP1, und der Registrierungseintrag "DisableLoopbackCheck" auf 0 gesetzt ist (null). Die Loopback-Funktionalität verhindert, dass das Programm registriert den SPN.

Lösung

Wichtig In diesem Abschnitt, der Methode oder des Vorgangs enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Daher stellen Sie sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie diese bearbeiten. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie die folgende KB-Artikelnummer:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows

Wichtig In der Standardeinstellung Loopback-Funktionalität in Windows Server 2003 SP1 aktiviert ist, und der Registrierungseintrag "DisableLoopbackCheck" auf 0 (null) festgelegt ist. Die Sicherheit wird reduziert, wenn Sie die Authentifizierungsüberprüfung Loopback deaktivieren, und Sie den Windows Server 2003-Server für Man-in-the-Middle (MITM) Angriffe auf NTLM öffnen. Um MITM Angriffe zu vermeiden, sollten der Wert des Registrierungseintrags auf 0 (null) zurückgegeben werden, nachdem die SPN-Änderungen vorgenommen werden. Methode 1 ist die bevorzugte Lösung.

Methode 1: Erstellen Sie die Namen der lokalen Sicherheitsinstanz-Host, auf die verwiesen werden kann, in eine NTLM-Authentifizierungsanforderung (bevorzugt)

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Regedit ein, und klicken Sie dann auf OK.
  2. Im Registrierungs-Editor, und klicken Sie dann auf den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. Klicken Sie mit der rechten Maustaste auf MSV1_0, zeigen Sie auf neu, und klicken Sie anschließend auf Wert der mehrteiligen Zeichenfolge.
  4. Geben Sie BackConnectionHostNames ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf BackConnectionHostNames, und klicken Sie dann auf Ändern.
  6. Geben Sie im Feld Wert der Host-Name oder die Host-Namen für die Sites, die auf dem lokalen Computer, und klicken Sie dann auf OK.
  7. Beenden Sie den Registrierungs-Editor, und starten Sie dann den Server neu, damit diese Änderung wirksam wird.

Methode 2: Deaktivieren der Loopback-Authentifizierungsüberprüfung und registriert den SPN mit dem Konto, unter der Dienst ausgeführt wird

Um dieses Problem zu beheben, deaktivieren Sie die Authentifizierungsüberprüfung Loopback, und registrieren Sie den SPN mit dem Konto, unter der Dienst ausgeführt wird. Legen Sie hierzu den DisableLoopbackCheck Eintrag in der
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Registrierung Unterschlüssel auf 1, und bestimmen Sie den Namen der den SPN.

Schritt 1: So legen Sie den Registrierungseintrag "DisableLoopbackCheck" auf 1

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Klicken Sie auf folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  3. Klicken Sie mit der rechten Maustaste auf DisableLoopbackCheck, und klicken Sie dann auf Ändern.
  4. Geben Sie 1 im Feld Wert ein, und klicken Sie dann auf OK.

Schritt 2: So ermitteln Sie den Namen des den SPN

  1. Fügen Sie die folgenden Registrierungseinträge, und legen Sie dann jeden Registrierungseintrag auf den entsprechenden Wert wie folgt fest:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel

      Wert: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile

      Wert: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel

      Wert: c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel

      Wert: 1 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile

      Wert: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel

      Wert: c3
    Um einen Registrierungseintrag hinzuzufügen, gehen Sie folgendermaßen vor:
    1. Suchen Sie, und klicken Sie dann auf den Registrierungsunterschlüssel, in dem Sie den Registrierungseintrag hinzufügen möchten.
    2. Menü Bearbeiten zeigen Sie auf neu, und klicken Sie dann auf DWORD-Wert.
    3. Geben Sie den Namen des Registrierungseintrags, die Sie hinzufügen möchten, und drücken Sie anschließend die [EINGABETASTE].
    4. Klicken Sie mit der rechten Maustaste auf den Registrierungseintrag, dass Sie in Schritt 2 c, und klicken Sie dann auf hinzugefügt Ändern.
    5. Geben Sie den entsprechenden Wert für diesen Registrierungseintrag ein, und klicken Sie dann auf OK.
    6. Wiederholen Sie die Schritt 2a über 2e für jeden Registrierungseintrag, den Sie hinzufügen möchten.
    7. Beenden Sie den Registrierungseditor.
  2. Starten Sie den Computer neu, und reproduzieren Sie anschließend das Problem. Nachdem Sie dies tun, wird ein Ereignis-ID-Fehlermeldung, die der folgenden ähnelt im Systemprotokoll protokolliert:
    Typ: Fehler
    Quelle: Kerberos
    Kategorie: keine
    Ereignis-ID: 3
    Beschreibung: Ein Kerberos-Fehler Nachricht wurde empfangen:
    auf der Anmeldesitzung
    Client-Uhrzeit:
    Server-Uhrzeit: Time-Date
    Fehlercode: 0 x 7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    Erweiterter Fehler:
    Client-Bereich:
    Clientname:
    Bereich für Server: DomainName .com
    Servername: MSSQLSvc / DomainName .com:1433
    Zielname: MSSQLSvc / ServerName. DomainName: 1433 @ DomainName.com
    Fehler Text:
    Datei: 9
    Zeile: ab8
    Fehler-Daten sind in den Datensatzdaten.
    Bestimmen Sie den SPN aus der Ereignis-ID Fehlermeldung. In diesem Beispiel wird der SPN MSSQLSvc / DomainName .com:1433.

Schritt 3: Verwenden Sie das Befehlszeilenprogramme "Setspn.exe", um den SPN für das entsprechende Service-Konto registrieren

In IIS 6.0 ist das Dienstkonto in der Regel das Konto, dem unter der WWW-Dienst ausgeführt wird oder das Konto an, dem der Anwendungspool verwendet. In Microsoft SQL Server 2000 ist das Dienstkonto das Konto, dem unter SQL Server 2000 ausgeführt wird. Verwenden Sie die folgende Syntax, um einen neuen SPN hinzuzufügen:
Setspn - ein SPN DomainName \ AccountName

Der folgende Code ist ein Beispiel dafür, wie das Befehlszeilenprogramme "Setspn.exe" verwenden, um einen SPN hinzuzufügen:
Setspn - ein MSSQLSvc/NLBNAME.corp.domain.com:1433 DomainName \ AccountName

Weitere Informationen

Weitere Informationen finden Sie die folgende KB-Artikelnummer:
970536Setspn.exe Unterstützung Tool Update für Windows Server 2003


Weitere Informationen finden Sie die folgende KB-Artikelnummer:
837361KDC-Konfigurationsschlüssel in Windows Server 2003 und Kerberos-Protokoll-Registrierungseinträge


Nach der Installation von Sicherheitsupdate 957097 können Anwendungen wie SQL Server oder Internet-Informationsdienste (IIS) fehlschlagen, wenn lokale NTLM-Authentifizierungsanforderungen zu machen. Weitere Informationen dazu, wie Sie dieses Problem zu beheben klicken Sie auf die folgende KB-Artikelnummer:
957097MS08-068: Sicherheitsanfälligkeit in SMB kann Remotecodeausführung ermöglichen
Finden Sie im Abschnitt "Bekannte Probleme mit diesem Sicherheitsupdate" der Knowledge Base-Artikel 957097 Weitere Informationen dazu, wie Sie das Problem zu beheben.

Eigenschaften

Artikel-ID: 887993 - Geändert am: Dienstag, 10. Februar 2009 - Version: 4.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Keywords: 
kbmt kbtshoot KB887993 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 887993
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com