Проблемы с проверкой подлинности при доступе к веб-странице в IIS 6.0 или запросе Microsoft SQL Server 2000 после установки пакета обновления 1 для Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 887993 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

Обновление компьютера под управлением Microsoft Windows Server 2003 под управлением корпорации Майкрософт или службы информации Microsoft Интернета (IIS) 6.0 SQL Server 2000 для Windows Server 2003 с пакетом обновления 1 (SP1). После этого, проблемы с проверкой подлинности при использовании веб-приложений или при они используют программу, которая запрашивает базу данных. Например пользователь может Симптомы, похожие на одно из следующих:
  • Пользователь получает ошибку «Отказано в доступе» сообщения при пользователь пытается получить доступ к веб-странице, который извлекает данные из внутренних База данных.
  • Пользователь не может подключиться к другому серверу базы данных расположенный в кластере балансировки сетевой нагрузки (NLB). Запросы к базе данных Сбой сервера.
Проблемы, с которыми столкнуться пользователи могут различаться в зависимости от вашего конкретной среде.

Причина

Эта проблема возникает, если имя участника службы (SPN) из Служба не прошел проверку подлинности. Имя SPN не прошел проверку подлинности, если имя SPN не зарегистрированные для учетной записи службы. Windows Server 2003 SP1 включает замыкания на себя Проверьте функциональные возможности, которые хранятся в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
По умолчанию функциональные возможности проверки замыкания на себя включен в Windows Server 2003 с пакетом обновления 1, а параметр DisableLoopbackCheck имеет значение 0 (ноль). Функции проверки замыкания на себя запрещает программе регистрации имя участника-службы.

Решение

Важные Этот раздел, метод или задача содержит шаги, которые показывают, как для изменения в реестр. Тем не менее, могут возникнуть серьезные проблемы при изменении реестр неправильно. Поэтому убедитесь, что вы выполните следующие действия внимательно. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра, щелкните следующую статью номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows

Важные По умолчанию используется функция проверки замыкания на себя включено в Windows Server 2003 с пакетом обновления 1, а в реестр DisableLoopbackCheck элемент имеет значение 0 (ноль). Безопасность снижается при отключении Проверка подлинности замыкания на себя и откройте сервер Windows Server 2003 для в посредник (MITM) атак на NTLM. Для предотвращения MITM-атак, значение запись реестра должно возвращаться нулевое значение (0), после изменения имени участника-службы. Кроме того метод 1 является более предпочтительным решением.

Метод 1: Создайте локальный администратор безопасности имена узлов, на которые можно ссылаться в запрос на проверку подлинности NTLM (рекомендуется)

  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип regedit, а затем нажмите кнопку ОК.
  2. В редакторе реестра найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. Щелкните правой кнопкой мыши РАЗДЕЛ MSV1_0, выберите пунктНовый, а затем нажмите кнопку Многострочный параметр.
  4. Тип BackConnectionHostNames, и Нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой мыши BackConnectionHostNames, и Нажмите кнопку Изменить.
  6. В Значение данных Введите имя узла или имена узлов для веб-узлов, которые находятся на локальном компьютере и нажмите кнопкуОК.
  7. Закройте редактор реестра и перезапустите сервер Чтобы изменения вступили в силу.

Способ 2: Отключение проверки подлинности замыкания на себя и зарегистрировать имя участника службы с помощью учетной записи, служба будет выполняться

Чтобы устранить эту проблему, отключите проверку замыкания на себя и затем зарегистрировать имя участника службы с помощью учетной записи, работающей службы. Для этого установите Запись DisableLoopbackCheck в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
реестра подраздел 1, а затем определить имя SPN.

Шаг 1: Чтобы установить параметр реестра DisableLoopbackCheck 1

  1. Нажмите кнопку Начало, Нажмите кнопку Запустить, TYPE regedit, а затем нажмите кнопкуОК.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Щелкните правой кнопкой мыши DisableLoopbackCheck, а затем Нажмите кнопку Изменить.
  4. Тип 1 В диалоговом окне Значение DATA поле, а затем нажмите кнопку ОК.

Шаг 2: Определяет имя SPN

  1. Добавить следующие записи реестра и установите каждый запись реестра в соответствующее значение, как показано ниже:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel

      Значение: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile

      Значение: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel

      Значение: C3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel

      Значение: 1 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile

      Значение: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel

      Значение: C3
    Чтобы добавить запись реестра, выполните следующие действия.
    1. Найдите и выделите раздел реестра где вы нужно добавить запись в реестр.
    2. На Редактирование Выберите пункт Новый, а затем нажмите кнопку Значение типа DWORD.
    3. Введите имя записи реестра, который требуется добавить и нажмите клавишу ВВОД.
    4. Щелкните правой кнопкой мыши запись реестра, которая была добавлена на шаге 2 c, а затем нажмите кнопку Изменить.
    5. Введите соответствующее значение для этой записи реестра и Нажмите кнопку ОК.
    6. Повторите шаг 2а через 2e для каждой записи реестра, необходимо добавить.
    7. Закройте редактор реестра.
  2. Перезагрузите компьютер, а затем воспроизвести проблему. После это сделать, это событие ID сообщение, похожее на следующее занесено в системный журнал:
    Тип: ошибка
    Источник: Kerberos
    Категория: нет
    КОД события: 3
    Описание: Ошибка Kerberos Получено сообщение:
    в сеансе входа в систему
    Время клиента:
    Время на сервере:ВремяДата
    Код ошибки: 0X7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    Расширенное сообщение об ошибке:
    Клиентская сфера:
    Имя клиента:
    Сервер сферы: Имя_домена.com
    Имя сервера: Служба MSSQLSvc /Имя_домена.com:1433
    Имя конечного объекта: Служба MSSQLSvc /Имя_сервера.Имя_домена: 1433 @Имя_домена.com
    Ошибка Текст:
    Файлов: 9
    Линии: ab8
    Данные ошибки в данных записи.
    Определите имя участника-службы в сообщении об ошибке. В этом примере имя участника-службы является служба MSSQLSvc /Имя_домена.com:1433.

Шаг 3: Используйте средство командной строки Setspn.exe зарегистрировать имя участника службы для соответствующей учетной записи службы

В IIS 6.0 учетная запись службы обычно используется учетная запись, работает служба WWW в группе или учетной записи, которая используется пулом приложений. В Microsoft SQL Server 2000 учетная запись — это учетная запись службы SQL Server 2000 выполняется. Чтобы добавить новое имя участника-службы, используйте следующий синтаксис:
Setspn - ИМЯ УЧАСТНИКА-СЛУЖБЫ Имя_домена\Имя учетной записи

Ниже приведен пример использования Средство командной строки Setspn.exe для добавления имени SPN:
Setspn - MSSQLSvc/NLBNAME.corp.domain.com:1433 Имя_домена\Имя учетной записи

Дополнительная информация

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
970536Обновление средства Setspn.exe поддержки для Windows Server 2003


Для получения дополнительных сведения, щелкните следующий номер статьи в База знаний корпорации Майкрософт:
837361Записи реестра для протокола Kerberos и конфигурационных ключей KDC в Windows Server 2003


После установки обновления для системы безопасности 957097, может произойти сбой приложения, такие как SQL Server или серверу Интернета (IIS) При создании локальных запросов проверки подлинности NTLM. Для получения дополнительных сведений об устранении этой проблемы нажмите следующие кнопки номер статьи базы знаний Майкрософт:
957097MS08-068: Уязвимость в протоколе SMB делает возможным удаленное выполнение кода
Содержатся в разделе «Известные проблемы этого обновления для системы безопасности» раздел статья 957097 подробные сведения о том, как решить проблему.

Свойства

Код статьи: 887993 - Последний отзыв: 17 июня 2011 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Ключевые слова: 
kbtshoot kbmt KB887993 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:887993

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com