Windows Server 2003 Service Pack 1 yüklendikten sonra, kullanıcılar IIS 6.0'da bir Web sayfasına eriştiğinde veya Microsoft SQL Server 2000'i sorguladığında kimlik doğrulama sorunlarıyla karşılaşıyor

Makale çevirileri Makale çevirileri
Makale numarası: 887993 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Windows Server 2003 Service Pack 1 (SP1) için Microsoft ınternet ınformation Services (IIS) 6.0 veya Microsoft SQL Server 2000 çalıştıran Microsoft Windows Server 2003 tabanlı bir bilgisayara yükseltme. Bunu yaptıktan sonra kullanıcılar Web uygulamaları kullandıklarında veya veritabanını sorgulayan bir program kullandıklarında kimlik doğrulama sorunları yaşıyor. Örneğin, bir kullanıcı, aşağıdakilerden birine benzer belirtilerle karşılaşabilirsiniz:
  • Kullanıcı, kullanıcı bir arka uç veritabanından veri alan bir Web sayfasına erişmeye çalıştığında "erişim engellendi" hata iletisi alır.
  • Kullanıcı, bir Ağ Yükü Dengeleme (NLB) kümesinde bulunan başka bir veritabanı sunucusuna bağlanamıyor. Veritabanı sunucusu için sorgular başarısız.
Kullanıcılar belirtilerle belirli ortamınıza bağlı olarak değişebilir.

Neden

Hizmet asıl adı (SPN) hizmeti kimlik doğrulaması, bu sorun oluşur. Bir hizmet hesabı için SPN kayıtlı SPN doğrulanır. Windows Server 2003 SP1, aşağıdaki kayıt defteri girdisinde saklanır, geridöngü onay işlevleri içerir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
Varsayılan olarak, geridöngü onay işlevi Windows Server 2003 SP1'de açık olduğundan ve DisableLoopbackCheck</a0> kayıt defteri girdisini 0 olarak ayarlanmışsa (sıfır). Geridöngü onay işlevselliği, program SPN kaydetmesinin engeller.

Çözüm

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme

Önemli Varsayılan olarak, geridöngü onay işlevi Windows Server 2003 SP1'de açık ve DisableLoopbackCheck</a0> kayıt defteri girdisini 0 (sıfır) olarak ayarlanır. Güvenlik, kimlik doğrulama geri döngü denetimi devre dışı bırakmak ve NTLM (MITM) saldırılarını man-in--middle için Windows Server 2003 sunucusuna açtığınız düşürülür. SPN değişiklikler yapıldıktan sonra MITM saldırıları önlemek için <a0></a0>, kayıt defteri girdisinin değerini sıfır (0) döndürülmelidir. Ayrıca, yöntem 1, tercih edilen bir çözüm vardır.

Yöntem 1: (önerilen) bir NTLM kimlik doğrulama isteğinde başvurulabilir yerel güvenlik yetkilisine ana bilgisayar adlarını oluşturun...

  1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, regedit yazın ve Tamam ' ı tıklatın.
  2. Kayıt Defteri Düzenleyicisi'nde bulun ve aşağıdaki kayıt defteri anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. Msv1_0 sağ tıklatın, Yeni ' nin üzerine gelin ve Çok dizeli değer ' i tıklatın.
  4. BackConnectionHostNames yazın ve ENTER tuşuna basın.
  5. BackConnectionHostNames ' ı sağ tıklatın ve sonra Değiştir ' i tıklatın.
  6. Değer verisi</a0> kutusunda, ana bilgisayar adını veya yerel bilgisayar üzerinde tıklatın ve sonra Tamam siteler için ana bilgisayar adlarını yazın.
  7. Kayıt Defteri Düzenleyicisi'nden çıkın ve bu değişikliğin etkili olması sunucuyu yeniden başlatın.

Yöntem 2: kimlik doğrulama geri döngü denetimi devre dışı bırak ve hizmetin çalıştığı hesabın SPN kaydedilemedi

Bu sorunu gidermek için <a0></a0>, kimlik doğrulama geridöngü onay'ı devre dışı bırakın ve sonra hizmet, altında çalıştığı hesabın SPN kaydedilemedi. Bunu yapmak için <a0></a0>, DisableLoopbackCheck giriş ayarlamak
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
, kayıt defteri 1 alt anahtarına geçin ve sonra SPN adını belirleyin.

Adım 1: DisableLoopbackCheck</a0> kayıt defteri girdisi 1 olarak ayarlamak için

  1. Başlat ' ı Çalıştır ' ı tıklatın, regedit yazın ve Tamam ' ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    Hkey_local_machıne\system\currentcontrolset\control\lsa
  3. DisableLoopbackCheck ' ı sağ tıklatın ve sonra Değiştir ' i tıklatın.
  4. 1 <a2>Değer verisi</a2> kutusuna yazın ve Tamam ' ı tıklatın.

Adım 2: SPN adını belirlemek için

  1. Aşağıdaki kayıt defteri girdilerini ekleyin ve her bir kayıt defteri girdisini uygun değere aşağıdaki gibi ayarlayın:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel

      Değer: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile

      Değer: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel

      Değer: c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel

      Değer: 1 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile

      Değer: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel

      Değer: c3
    Bir kayıt defteri girdisini eklemek için <a0></a0>, aşağıdaki adımları izleyin:
    1. Bulun ve kayıt defteri girdisini eklemek istediğiniz kayıt defteri alt anahtarını bulup tıklatın.
    2. Düzen menüsünden Yeni ' nin üzerine gidin ve DWORD değeri ' ni tıklatın.
    3. Kayıt defteri girdisini eklemek istediğiniz adı yazın ve ENTER tuşuna basın.
    4. Kayıt'ı sağ tıklatın, eklediğiniz giriş 2 c adım ve Değiştir ' i tıklatın.
    5. Bu kayıt defteri girdisini uygun değerini yazın ve Tamam ' ı tıklatın.
    6. Adım 2a ile 2e eklemek istediğiniz her bir kayıt defteri girişi için yineleyin.
    7. Kayıt Defteri Düzenleyicisi'nden çıkın.
  2. Bilgisayarı yeniden başlatın ve sonra sorunu yeniden. Bunu yaptıktan sonra aşağıdakine benzer bir olay KIMLIĞI hata iletisi sistem günlüğüne kaydedilir:
    Tür: hata
    Kaynak: Kerberos
    Kategori: yok
    Olay KIMLIĞI: 3
    Açıklama: Kerberos hata iletisi alındı:
    oturum açma oturumunda
    Istemci saati:
    Sunucu zaman: TimeDate
    Hata kodu: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    Genişletilmiş hata:
    Istemci bölgesi:
    Istemci adı:
    Sunucu bölgesi: DomainName .com
    Sunucu adı: MSSQLSvc / DomainName .com:1433
    Hedef adı: MSSQLSvc / ServerName. DomainName: 1433 @ DomainName.com
    Hata metni:
    Dosya: 9
    Satır: ab8
    Kayıt verileri hata veri var.
    Olay KIMLIĞI hata iletisinden SPN belirler. Bu örnekte, MSSQLSvc SPN dir / DomainName .com:1433.

3. Adım:, uygun bir hizmet hesabı için SPN kaydetmek için Setspn.exe komut satırı aracını kullanın.

IIS 6. 0'da, hizmet genellikle WWW hizmetinin altında çalıştığı hesabın veya uygulama havuzunun kullandığı hesabı hesaptır. Microsoft SQL Server 2000'de SQL Server 2000, altında çalıştığı hesabın hizmet hesabıdır. Yeni bir SPN eklemek için aşağıdaki sözdizimini kullanın:
setspn - a SPN DomainName \ AccountName

SPN eklemek için Setspn.exe komut satırı aracını kullanmak bir örnek şudur:
setspn - a MSSQLSvc/NLBNAME.corp.domain.com:1433 DomainName \ AccountName

Daha fazla bilgi

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
970536Setspn.exe destek aracını Windows Server 2003 güncelleştirmesi


Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
837361Kayıt defteri girdileri ve Windows Server 2003'te KDC konfigürasyon anahtarları, Kerberos iletişim kuralı


957097 Güvenlik güncelleştirmesi yüklendikten sonra SQL Server veya ınternet ınformation Services (IIS) gibi uygulamalar yerel NTLM kimlik doğrulama isteklerini yaparken başarısız olabilir. Bu sorunu giderme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
957097MS08-068: SMB'deki güvenlik açığı uzaktan kod yürütülmesine izin verebilir
Nasıl sorun giderileceği hakkında ayrıntılar için BB makalesi 957097 "Bilinen, bu güvenlik güncelleştirmesinde sorunlar" bölümüne bakın.

Özellikler

Makale numarası: 887993 - Last Review: 10 Şubat 2009 Salı - Gözden geçirme: 4.1
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
Anahtar Kelimeler: 
kbmt kbtshoot KB887993 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:887993

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com