Fehler 401.1 beim Aufrufen einer Website, die integrierte Authentifizierung verwendet und mit IIS 5.1 oder einer höheren Version gehostet wird

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 896861 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie mithilfe des vollqualifizierten Domänennamens (FQDN) oder eines benutzerdefinierten Hostheaders eine lokale Website aufrufen, die auf einem Computer mit Microsoft Internet Information Services (IIS) 5.1 oder höher gehostet wird, wird möglicherweise eine Fehlermeldung etwa folgenden Inhalts angezeigt:
HTTP 401.1 - Unautorisiert: Anmeldung fehlgeschlagen
Dieses Problem tritt auf, wenn die Website integrierte Authentifizierung verwendet und ihr Name der lokalen Loopbackadresse zugeordnet ist.

Hinweis Diese Fehlermeldung wird nur angezeigt, wenn Sie versuchen, die Website direkt vom Server aus aufzurufen. Wenn Sie die Website von einem Clientcomputer aufrufen, funktioniert die Website erwartungsgemäß.

Darüber hinaus wird im Sicherheitsereignisprotokoll eine Ereignismeldung etwa folgenden Inhalts protokolliert. Diese Ereignismeldung enthält einige seltsame Zeichen im Wert für den Anmeldevorgangseintrag:

Ereignistyp: Fehlerüberwachung
Ereignisquelle: Sicherheit
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 537
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: Computername
Beschreibung: Anmeldung fehlgeschlagen:
Grund: Fehler bei der Anmeldung
Benutzername: Benutzername
Domäne: Domänenname
Anmeldetyp: 3
Anmeldevorgang: Ðùº
Authentifizierungspaket: NTLM
Name der Arbeitsstation: Computername
Statuscode: 0xC000006D
Substatuscode: 0x0
Aufruferbenutzername: -
Domäne des Aufrufers: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: IP-Adresse
Quellport: Portnummer

Hinweis Manchmal sehen die seltsamen Zeichen in dieser Ereignismeldung etwa wie folgt aus:
Ðù²
Beim Versuch, in Microsoft Visual Studio 2003 ein Microsoft ASP.NET-Projekt zu debuggen, wird zudem möglicherweise eine Fehlermeldung etwa folgenden Inhalts angezeigt:
Fehler beim Ausführen des Projekts: Das Debuggen kann nicht auf dem Webserver gestartet werden. Sie haben keine Berechtigung zum Debuggen des Servers.

Überprüfen Sie, ob Sie Mitglied der Gruppe "Debuggerbenutzer" auf dem Server sind.
Hinweis Das Wort "Web" ist in dieser Fehlermeldung fälschlicherweise groß geschrieben.

Aufrufe, die von einem Webdienst aus erfolgen, führen nicht zu einer HTTP 401-Meldung in den IIS-Protokollen. Im Abschnitt Beschreibung eines Fehlerereignisses für eine Anwendung, die einen Webdienst verwendet, wird möglicherweise eine HTTP 401-Meldung beschrieben. Dieses Verhalten kann beispielsweise in Microsoft Commerce Server 2002 auftreten. Wenn es auftritt, weist es auf eine Änderung hin, die von Microsoft Windows Server 2003 Service Pack 1 (SP1) sowie von der Sicherheitsfunktion zur Überprüfung von Loopbacks vorgenommen wurde.

Ursache

Dieses Problem tritt auf, wenn Sie Microsoft Windows XP Service Pack 2 (SP2) oder Microsoft Windows Server 2003 Service Pack 1 (SP1) installiert haben. Windows XP SP2 und Windows Server 2003 SP1 enthalten eine Sicherheitsfunktion zur Überprüfung von Loopbacks, die so genannte Reflection Attacks auf Ihren Computer verhindern soll. Daher schlägt die Authentifizierung fehl, wenn der von Ihnen verwendete vollqualifizierte Domänenname oder der benutzerdefinierte Hostheader nicht mit dem lokalen Computernamen übereinstimmen.

Abhilfe

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows


Das Problem lässt sich auf zweierlei Weise umgehen. Wenden Sie abhängig von Ihrer jeweiligen Situation eine der folgenden Methoden an, um dieses Verhalten zu umgehen.

Methode 1: Angeben von Hostnamen (bevorzugte Methode für NTLM-Authentifizierung)

Gehen Sie folgendermaßen vor, um die Hostnamen anzugeben, die der Loopbackadresse zugeordnet sind und eine Verbindung mit Websites auf Ihrem Computer herstellen können:
  1. Legen Sie den Registrierungseintrag
    DisableStrictNameChecking
    auf "1" fest. Weitere Informationen hierzu finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    281308 Die Verbindung zu einer SMB-Freigabe auf einem Windows 2000- oder Windows Server 2003-Computer funktioniert eventuell nicht mit einem Aliasnamen
  2. Klicken Sie auf Start, dann auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  3. Klicken Sie im Registrierungs-Editor auf den folgenden Schlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  4. Klicken Sie mit der rechten Maustaste auf MSV1_0, zeigen Sie auf Neu, und klicken Sie anschließend auf Wert der mehrteiligen Zeichenfolge.
  5. Geben Sie BackConnectionHostNames ein, und drücken Sie anschließend die EINGABETASTE.
  6. Klicken Sie mit der rechten Maustaste auf BackConnectionHostNames, und klicken Sie dann auf Ändern.
  7. Geben Sie in das Feld Wert den Hostnamen bzw. die Hostnamen für die Sites ein, die sich auf dem lokalen Computer befinden, und klicken Sie danach auf OK.
  8. Beenden Sie den Registrierungs-Editor, und starten Sie den IISAdmin-Dienst anschließend neu.

Methode 2: Deaktivieren der Loopbacküberprüfung (weniger empfehlenswerte Methode)

Die zweite Methode besteht im Deaktivieren der Loopbacküberprüfung, indem Sie den Registrierungseintrag DisableLoopbackCheck festlegen.

Gehen Sie folgendermaßen vor, um den Registrierungsschlüssel DisableLoopbackCheck festzulegen:
  1. Legen Sie den Registrierungseintrag
    DisableStrictNameChecking
    auf "1" fest. Weitere Informationen hierzu finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    281308 Die Verbindung zu einer SMB-Freigabe auf einem Windows 2000- oder Windows Server 2003-Computer funktioniert eventuell nicht mit einem Aliasnamen
  2. Klicken Sie auf Start, dann auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  3. Klicken Sie im Registrierungs-Editor auf den folgenden Schlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. Klicken Sie mit der rechten Maustaste auf Lsa, zeigen Sie auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  5. Geben Sie DisableLoopbackCheck ein, und drücken Sie anschließend die EINGABETASTE.
  6. Klicken Sie mit der rechten Maustaste auf DisableLoopbackCheck. Klicken Sie dann auf Ändern.
  7. Geben Sie in das Feld Wert den Wert 1 ein, und klicken Sie anschließend auf OK.
  8. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer neu.

Status

Es handelt sich hierbei um ein programmtechnisch bedingtes Verhalten.

Weitere Informationen

Nach Installation des Sicherheitsupdates 957097 können bei Anwendungen wie Microsoft SQL Server oder IIS Fehler auftreten, wenn diese Anwendungen versuchen, lokale NTLM-Authentifizierungsanforderungen zu erstellen. Weitere Informationen zur Lösung dieses Problems finden Sie im folgenden Artikel der Microsoft Knowledge Base:
957097 MS08-068: Sicherheitsrisiko in SMB kann die Codeausführung von Remotecstandorten aus ermöglichen
Weitere Informationen zum Beheben dieses Problems finden Sie im Abschnitt "Bekannte Probleme bei diesem Sicherheitsupdate" in Sicherheitsupdate 957097.

Informationsquellen

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
926642 Fehlermeldung, wenn Sie mit dem FQDN- oder dem CNAME-Alias lokal auf einen Server zugreifen, nachdem Windows Server 2003 Service Pack 1 installiert wurde: "Zugriff verweigert" oder "Der angegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen."
917664 Fehlermeldung beim Versuch, Microsoft Operations Manager 2005-Berichterstattung zu installieren: "Fehlercode: -2147467259 (Unbekannter Fehler)"
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen.

Eigenschaften

Artikel-ID: 896861 - Geändert am: Freitag, 31. Januar 2014 - Version: 2.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 7.0, wenn verwendet mit:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Ultimate
  • Microsoft Internet Information Services 6.0, wenn verwendet mit:
    • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Visual Studio .NET 2003 Enterprise Architect
  • Microsoft Visual Studio .NET 2003 Enterprise Developer
Keywords: 
kbtshoot kbprb KB896861
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com