Windows Server 2003 Service Pack 1 をインストールした後、IIS 6. 0 またはクエリの SQL Server 2000 で Web ページにアクセスすると、ユーザー認証の問題が発生します。

文書番号: 887993 - 対象製品
機械翻訳の免責機械翻訳版の免責を確認する
すべて展開する | すべて折りたたむ

目次

現象

Windows Server 2003 Service Pack 1 に (SP1) Microsoft インターネット インフォメーション サービス (IIS) 6. 0 または SQL Server 2000 を実行している Microsoft Windows Server 2003 ベースのコンピューターをアップグレードします。 この操作を行った後、ユーザーは認証の問題が Web アプリケーションを使用するとき、またはが、データベースに対してクエリを実行するプログラムを使用するときに発生します。 たとえば、ユーザーは、次のいずれかのような現象が発生することがあります。
  • ユーザーは、バックエンド データベースからデータを取得する Web ページにアクセスしようとしたとき、ユーザーは、「アクセスが拒否されました」エラー メッセージを受け取ります。
  • ユーザーはネットワーク負荷分散 (NLB) クラスター内にある別のデータベース サーバーに接続できません。 データベース サーバーへのクエリは失敗します。
この現象は、ユーザー エクスペリエンスは、特定の環境に応じて異なる場合があります。
先頭へ戻る | フィードバック

原因

この問題は、サービスのサービス プリンシパル名 (SPN) が認証されていない場合に発生します。 SPN サービス アカウントに登録されていない場合、SPN が認証されていません。 Windows Server 2003 SP1 には、次のレジストリ エントリに格納されたループバック チェック機能が含まれています。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
既定では、ループバック チェック機能 Windows Server 2003 SP1 では、点灯し、DisableLoopbackCheck レジストリ エントリを 0 に設定されます (ゼロ)。 ループバック チェック機能、プログラム、SPN の登録からできなくなります。
先頭へ戻る | フィードバック

解決方法

重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。 ただし、レジストリを誤って変更すると深刻な問題が発生する可能性があります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 バックアップ、復元、および編集方法の詳細を参照するには、以下サポート技術情報をクリックしてください:
322756
(http://support.microsoft.com/kb/322756/ )
バックアップを作成し、Windows レジストリを復元する方法

重要 既定では、Windows Server 2003 SP1 では、ループバック チェック機能が有効になっているし、DisableLoopbackCheck レジストリ エントリが 0 (ゼロ) に設定されます。 セキュリティ認証ループバック チェックを無効にして、Windows Server 2003 サーバーの男性での中間 (MITM) 攻撃に NTLM を開くときに縮小されます。 SPN の変更が加えられた後 MITM 攻撃を回避するには、レジストリ エントリの値がゼロ (0) に戻す必要があります。 また、方法 1 が望ましいソリューションです。

方法 1: (推奨)、NTLM 認証要求で参照できるローカル セキュリティ機関のホスト名を作成します。

  1. スタート ボタンをクリックして、実行] をクリックして、regedit を入力し、[OK] をクリックします。
  2. レジストリ エディタで、次のレジストリ キーを見つけてクリックします:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. MSV1_0 をマウスの右ボタンでクリックし、新規作成] をポイントし、[複数行文字列値] をクリックします。
  4. BackConnectionHostNames を入力し、Enter キーを押します。
  5. BackConnectionHostNames、マウスの右ボタンでクリックし、[変更] をクリックします。
  6. [データ] ボックスで、ホスト名またはがローカル コンピューター上にあるし、[OK] をクリックする、サイトのホスト名を入力します。
  7. レジストリ エディターを終了し、この変更を有効にするのには、サーバーを再起動します。

方法 2: 認証ループバック チェックを無効にして、サービスが実行されるアカウントに SPN を登録

この問題を解決するのには、認証ループバック チェックを無効にして、サービスを実行するとき、アカウントの SPN を登録します。 これを行うには、DisableLoopbackCheck エントリ設定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
レジストリ サブキー 1 にし、SPN の名前を決定します。

手順 1: DisableLoopbackCheck レジストリ エントリを 1 に設定します。

  1. [スタート]</a0> を クリックして 実行] をクリックし、regedit を入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. DisableLoopbackCheck、マウスの右ボタンでクリックし、[変更] をクリックします。
  4. [値データ</a0>] ボックスに、1 を入力し、[OK] をクリックします。

手順 2: SPN の名前を確認するのには

  1. 次のレジストリ エントリを追加し、各レジストリ エントリを適切な値には次のように設定します。
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel

      値: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile

      値: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel

      値: c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel

      値: 1 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile

      値: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel

      値: c3
    レジストリ エントリを追加するには、次の手順を実行します。
    1. 検索し、レジストリ エントリを追加するレジストリ サブキーを見つけてクリックします。
    2. [編集] メニューの [新規作成] をポイントし、[DWORD 値] をクリックします。
    3. 追加するレジストリ エントリの名前を入力し、Enter キーを押します。
    4. レジストリをマウスの右ボタンでクリックしてで追加したエントリが手順 2 c、および [変更] をクリックします。
    5. レジストリ エントリ、に対して適切な値を入力し、[OK] をクリックします。
    6. 手順 2a 2e 〜 レジストリ エントリを追加するごとに繰り返します。
    7. レジストリ エディタを終了します。
  2. コンピューターを再起動し、この問題を再現します。 この操作を行った後、次のようなイベント ID エラー メッセージがシステム ログに記録されます。
    種類: エラー
    ソース: Kerberos
    カテゴリ: なし
    イベント ID: 3
    説明: Kerberos エラー メッセージを受信しました。
    ログオン セッションで
    クライアントの時間:
    サーバーの時刻: TimeDate
    エラー コード: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    拡張エラー:
    クライアント領域:
    クライアント名:
    DomainName .com のサーバー領域:
    サーバー名: MSSQLSvc/DomainName .com:1433
    ターゲット名: MSSQLSvc/ServerNameDomainName: 1433 @ DomainName.com。
    エラー テキスト。
    ファイル: 9
    行: ab8
    エラー データ レコードのデータです。
    イベント ID エラー メッセージからの SPN を確認します。 この例では、MSSQLSvc、SPN を存在/DomainName .com:1433。

手順 3: Setspn.exe コマンド ライン ツールを使用して、適切なサービス アカウントに SPN を登録する. します。

IIS 6. 0 では、サービス アカウントが通常、WWW サービスを実行するアカウントまたはアプリケーション プールを使用するアカウントです。 Microsoft SQL Server 2000 では、サービス アカウントで SQL Server 2000 を実行するアカウントです。 新しい SPN を追加するのには、次の構文を使用します。
setspn-a SPN DomainName \ AccountName

SPN を追加するのには、Setspn.exe コマンド ライン ツールを使用する方法の例を次に示します。
setspn-a MSSQLSvc/NLBNAME.corp.domain.com:1433 DomainName \ AccountName
先頭へ戻る | フィードバック

詳細

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください:
970536
(http://support.microsoft.com/kb/970536/ )
Windows Server 2003 の Setspn.exe サポート ツールの更新プログラム


関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください:
837361
(http://support.microsoft.com/kb/837361/ )
Kerberos プロトコルのレジストリ エントリおよび Windows Server 2003 での KDC コンフィギュレーション キー


セキュリティ更新プログラム 957097 をインストールした後、SQL Server、インターネット インフォメーション サービス (IIS) などのアプリケーション ローカル NTLM 認証要求を行うと、失敗する可能性があります。 この問題を解決する方法の詳細については、「サポート技術情報」(Microsoft Knowledge Base) の資料を表示するには、以下「Base をクリックします。
957097
(http://support.microsoft.com/kb/957097/ )
公開 068: SMB の脆弱性によりリモートでコードが実行をされる可能性があります。
KB 資料 957097 の詳細に関する問題を解決する方法このセキュリティ更新プログラムを「既知の問題」」を参照してください。
先頭へ戻る | フィードバック

プロパティ

文書番号: 887993 - 最終更新日: 2009年2月10日 - リビジョン: 4.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
キーワード:?
kbtshoot kbmt KB887993 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:887993
(http://support.microsoft.com/kb/887993/en-us/ )
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る