При просмотре веб-сайта, использующего встроенную проверку подлинности и размещенного на сервере IIS 5.1 или более поздней версии, появляется сообщение об ошибке 401.1

Переводы статьи Переводы статьи
Код статьи: 896861 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

При использовании полного доменного имени сервера (FQDN) или пользовательского заголовка узла для просмотра локального веб-сайта, размещенного на компьютере со службами Microsoft Internet Information Services (IIS) 5.1 или IIS 6, может появиться сообщение об ошибке, подобное следующему:
HTTP 401.1 - Unauthorized: Logon Failed (Нет доступа: вход не выполнен)
Эта проблема возникает, если веб-узел использует встроенную проверку подлинности, а его имени поставлен в соответствие локальный адрес замыкания.

Примечание. Это сообщение об ошибке отображается только в том случае, если веб-сайт просматривается непосредственно на сервере. Если веб-сайт открывается с клиентского компьютера, он работает в штатном режиме.

Кроме того, в журнале событий безопасности регистрируется сообщение, подобное приведенному ниже. Это сообщение содержит некоторые непонятные символы в записи значения процесса входа.

Тип события: аудит отказов
Источник события: безопасность
Категория события: вход/выход
Код события: 537
Дата: дата
Время: время
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: имя_компьютера
Описание: отказ входа в систему
Причина: ошибка при входе
Имя пользователя: имя_пользователя
Домен: имя_домена
Тип входа: 3
Процесс входа: ???
Пакет проверки подлинности: NTLM
Рабочая станция: имя_компьютера
Код состояния: 0xC000006D
Код подсостояния: 0x0
Исполнитель: -
Домен исполнителя: -
Код входа исполнителя: -
Код процесса исполнителя: -
Промежуточные службы: -
Адрес сети источника: IP-адрес
Порт источника: номер_порта

Примечание. В некоторых случаях странные символы, появляющиеся в этом сообщении об ошибке, могут напоминать следующие:
???
Кроме того, при попытке отладки проекта Microsoft ASP.NET в Microsoft Visual Studio 2003 может отобразиться сообщение об ошибке, подобное следующему:
Ошибка при попытке запустить проект: Не удается запустить отладку на веб-сервере. У вас отсутствуют права на выполнение отладки на сервере.

Удостоверьтесь, что на сервере вы являетесь членом группы «Пользователи отладчика».
Примечание. Слово «веб» в этом сообщении обозначает глобальную сеть.

Вызовы, сделанные из веб-службы, не приводят к появлению сообщения HTTP 401 в журналах IIS Сообщение HTTP 401 можно заметить в разделе описания случаев появления ошибок для приложения, использующего веб-службу. Например, такое поведение возможно в системе Microsoft Commerce Server 2002. Оно является симптомом изменений, произведенных пакетом обновления 1 (SP1) для Microsoft Windows Server 2003 и средством безопасности для проверки обратной связи.

Причина

Эта проблема возникает, если установлены Microsoft Windows XP с пакетом обновления 2 (SP2) или Microsoft Windows Server 2003 с пакетом обновления 1 (SP1). Windows XP SP2 и Windows Server 2003 SP1 включают средство безопасности для проверки обратной связи, созданное для предотвращения отраженных атак на компьютер. Поэтому не удается проверить подлинность, если FQDN или используемый пользовательский заголовок узла не соответствуют имени локального компьютера.

Временное решение

Важно! В данный раздел, описание метода или задачи включены сведения об изменении параметров реестра. Однако их неправильное изменение может привести к возникновению серьезных проблем, поэтому при выполнении этих действий строго соблюдайте инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. В этом случае при возникновении неполадок реестр можно будет восстановить. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows


Для обходного решения данной проблемы используйте один из двух описанных ниже способов в соответствии с ситуацией.

Способ 1. Укажите имена узлов (предпочтительный метод, если должна использоваться проверка подлинности NTLM)

Чтобы указать имена узлов, сопоставленных с петлевыми адресами и способных связаться с веб-сайтами на вашем компьютере, выполните следующие действия.
  1. Присвойте параметру реестра
    DisableStrictNameChecking
    значение 1. Дополнительные сведения о том, как это сделать, см. в следующей статье базы знаний Майкрософт:
    281308 Подключение с общим доступом по протоколу SMB на компьютерах с операционной системой Windows 2000 или Windows Server 2003 не всегда работает с псевдонимом
  2. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  3. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  4. Щелкните правой кнопкой мыши раздел MSV1_0, выберите команду Создать, а затем Мультистроковый параметр.
  5. Введите BackConnectionHostNames и нажмите клавишу ВВОД.
  6. Щелкните правой кнопкой мыши параметр BackConnectionHostNames и выберите команду Изменить.
  7. В поле Значение введите имя данного узла или имена узлов для веб-узлов, размещенных на локальном компьютере, затем нажмите OK.
  8. Закройте редактор реестра и перезапустите службу IISAdmin.

Способ 2. Отключение проверки замыкания на себя (не рекомендуется)

Второй способ заключается в отключении проверки замыкания на себя с помощью раздела реестра DisableLoopbackCheck.

Чтобы изменить раздел реестра DisableLoopbackCheck, выполните указанные ниже действия.
  1. Присвойте параметру реестра
    DisableStrictNameChecking
    значение 1. Дополнительные сведения о том, как это сделать, см. в следующей статье базы знаний Майкрософт:
    281308 Подключение с общим доступом по протоколу SMB на компьютерах с операционной системой Windows 2000 или Windows Server 2003 не всегда работает с псевдонимом
  2. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  3. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. Щелкните правой кнопкой мыши раздел Lsa, выберите команду Создать, а затем — Параметр DWORD.
  5. Введите DisableLoopbackCheck и нажмите клавишу ВВОД.
  6. Щелкните правой кнопкой мыши параметр DisableLoopbackCheck и выберите команду Изменить.
  7. В поле Значение введите 1 и нажмите кнопку ОК.
  8. Закройте редактор реестра и перезагрузите компьютер.

Статус

Такое поведение является особенностью этих продуктов.

Дополнительная информация

После установки обновления для системы безопасности 957097 могут происходить сбои при локальных запросах проверки подлинности NTLM такими приложениями, как Microsoft SQL Server или IIS. Дополнительные сведения о решении данной проблемы см. в следующей статье базы знаний Майкрософт:
957097 MS08-068: Уязвимость в протоколе SMB делает возможным удаленное выполнение кода
Дополнительные сведения о решении данной проблемы см. в разделе «Известные проблемы, связанные с данным обновлением» в описании обновления для системы безопасности 957097.

Ссылки

Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:
926642 После установки пакета обновления 1 (SP1) для Windows Server 2003 при попытке получить локальный доступ к серверу с помощью его полного доменного имени или псевдонима CNAME появляется сообщение об ошибке «Доступ запрещен» или «Ни одна из служб доступа к сети не смогла обработать заданный сетевой путь»
917664 При попытке установить компонент Microsoft Operations Manager 2005 Reporting появляется сообщение об ошибке «Код ошибки: -2147467259 (неизвестная ошибка)»
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 896861 - Последний отзыв: 31 января 2014 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 7.0 на следующих платформах
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Ultimate
  • Microsoft Internet Information Services 6.0 на следующих платформах
    • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Visual Studio .NET 2003 Enterprise Architect
  • Microsoft Visual Studio .NET 2003 Enterprise Developer
Ключевые слова: 
kbtshoot kbprb KB896861

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com