Os usuários enfrentar problemas de autenticação quando acessarem uma página da Web no IIS 6.0 ou consulta Microsoft SQL Server 2000 após instalar o Windows Server 2003 Service Pack 1

Traduções deste artigo Traduções deste artigo
ID do artigo: 887993 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Atualizar um computador baseado no Microsoft Windows Server 2003 que esteja executando serviços de informações da Internet (IIS) 6.0 ou Microsoft SQL Server 2000 para Windows Server 2003 Service Pack 1 (SP1). Após fazer isso, os usuários enfrentar problemas de autenticação quando eles usam aplicativos ou quando eles usam um programa consulta o banco de dados. Por exemplo, um usuário pode enfrentar sintomas são semelhantes a um dos seguintes:
  • O usuário recebe uma mensagem de erro "Acesso negado" quando o usuário tenta acessar uma página da Web que recupera dados de um banco de dados back-end.
  • O usuário não pode se conectar a outro servidor de banco de dados está localizado em um cluster NLB (balanceamento de carga de rede). Consultas ao servidor de banco de dados falhar.
Os sintomas que os usuários experiência pode variar dependendo do seu ambiente específico.

Causa

Esse problema ocorre se o nome principal de serviço (SPN) do serviço não está autenticado. O SPN não está autenticado se o SPN não está registrado para uma conta de serviço. Windows Server 2003 SP1 inclui a funcionalidade de seleção de auto-retorno é armazenada na seguinte entrada do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
Por padrão, funcionalidade de seleção de auto-retorno está ativada no Windows Server 2003 SP1 e entrada de registro DisableLoopbackCheck é definida como 0 (zero). A funcionalidade de seleção de auto-retorno impede que o programa Registrando o SPN.

Resolução

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
322756Como fazer backup e restaurar o registro no Windows

Importante Por padrão, funcionalidade de seleção de auto-retorno está ativada no Windows Server 2003 SP1 e a entrada de registro DisableLoopbackCheck é definida como 0 (zero). A segurança é reduzida quando você desativar a verificação de auto-retorno de autenticação e abra o servidor Windows Server 2003 para ataques de (MITM) na interceptação NTLM. Para evitar ataques MITM, o valor da entrada de registro deve ser retornado para zero (0) depois de feitas as alterações SPN. Além disso, o método 1 é a solução preferencial.

Método 1: Criar os nomes de host de autoridade de segurança local podem ser referenciados em uma solicitação de autenticação NTLM (preferida)

  1. Clique em Iniciar, clique em Executar, digite regedit e clique em OK.
  2. No Editor do Registro, localize e clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. Clique com o botão direito do mouse Msv1_0, aponte para novo e clique em Valor de seqüência múltipla.
  4. Digite BackConnectionHostNames e pressione ENTER.
  5. Clique com o botão direito do mouse BackConnectionHostNames e clique em Modificar.
  6. Na caixa dados do valor, digite o nome do host ou nomes de host para sites que estão no computador local e clique em OK.
  7. Sair do Editor do Registro e reinicie o servidor para que esta alteração tenha efeito.

Método 2: Desativar a verificação de auto-retorno de autenticação e registrar o SPN com a conta em que o serviço é executado

Para resolver esse problema, desative a verificação de auto-retorno de autenticação e registrar o SPN com a conta em que o serviço é executado. Para fazer isso, defina a entrada DisableLoopbackCheck no
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
registro subchave para 1 e determinar o nome do SPN.

Etapa 1: Definir a entrada de registro DisableLoopbackCheck para 1

  1. Clique em Iniciar, clique em Executar, digite regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Clique com o botão direito do mouse DisableLoopbackCheck e clique em Modificar.
  4. Digite 1 na caixa dados do valor e clique em OK.

Etapa 2: para determinar o nome o SPN

  1. Adicione as seguintes entradas do Registro e defina cada entrada do Registro para o valor apropriado da seguinte maneira:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel

      Valor: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile

      Valor: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel

      Valor: c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel

      Valor: 1 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile

      Valor: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel

      Valor: c3
    Para adicionar uma entrada do Registro, execute essas etapas:
    1. Localize e clique na subchave do Registro onde você deseja adicionar a entrada do Registro.
    2. No menu Editar, aponte para novo e clique em Valor DWORD.
    3. Digite o nome da entrada do registro que você deseja adicionar e pressione ENTER.
    4. Clique com o botão direito do mouse no registro entrada que você adicionou na etapa 2 c e clique em Modificar.
    5. Digite o valor apropriado para a entrada de registro e clique em OK.
    6. Repita a etapa 2a através de 2e para cada entrada do registro que você deseja adicionar.
    7. Feche o Editor do Registro.
  2. Reinicie o computador e reproduzir o problema. Após fazer isso, uma mensagem de erro de identificação de evento é semelhante à seguinte é registrada no log do sistema:
    Tipo: erro
    Origem: Kerberos
    Categoria: nenhum
    IDENTIFICAÇÃO de evento: 3
    Descrição: Um erro de Kerberos mensagem foi recebida:
    na sessão de logon
    Hora de cliente:
    Hora do servidor: TimeDate
    Código de erro: 0 x 7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    Erro estendido:
    Território de cliente:
    Nome do cliente:
    Território de servidor: DomainName .com
    Nome do servidor: MSSQLSvc / DomainName .com:1433
    Nome de destino: MSSQLSvc / ServerName. DomainName: 1433 @ DomainName.com
    Erro de texto:
    Arquivo: 9
    Linha: ab8
    Dados de erro está nos dados de registros.
    Determine o SPN da mensagem de erro de identificação do evento. Neste exemplo, o SPN é MSSQLSvc / DomainName .com:1433.

Etapa 3: Usar a ferramenta de linha de comando Setspn.exe para registrar o SPN para a conta de serviço apropriado

No IIS 6.0, a conta de serviço é normalmente conta em que o serviço da Web é executado ou a conta que usa o pool de aplicativos. No Microsoft SQL Server 2000, a conta de serviço é a conta SQL Server 2000 é executado. Use a seguinte sintaxe para adicionar um SPN novo:
setspn - a SPN DomainName \ AccountName

Este é um exemplo de como usar a ferramenta de linha de comando Setspn.exe para adicionar um SPN:
setspn - a MSSQLSvc/NLBNAME.corp.domain.com:1433 DomainName \ AccountName

Mais Informações

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
970536Setspn.exe suporte ferramenta atualização para Windows Server 2003


Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
837361Entradas de registro do protocolo Kerberos e chaves de configuração do KDC no Windows Server 2003


Após instalar a atualização de segurança 957097, aplicativos como o SQL Server ou Internet Information Services (IIS) podem falhar quando fazendo solicitações de autenticação NTLM locais. Para obter mais informações sobre como resolver esse problema, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
957097MS08-068: Uma vulnerabilidade no SMB pode permitir execução remota de código
Consulte a seção "Problemas conhecidos com esta atualização de segurança" do artigo 957097 para obter detalhes sobre como resolver o problema.

Propriedades

ID do artigo: 887993 - Última revisão: terça-feira, 10 de fevereiro de 2009 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Palavras-chave: 
kbmt kbtshoot KB887993 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 887993

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com