Отстраняване на HTTP 401 грешки в IIS

Преводи на статии Преводи на статии
ID на статията: 907273 - Преглед на продукти, за които се отнася тази статия.
Колона IIS Support Voice

Отстраняване на HTTP 401 грешки в IIS

За да персонализирате тази колона според вашите нужди, искаме да ви помолим да предоставите идеи за теми, които ви интересуват, и проблеми, които искате да се разгледат в бъдещи статии от базата знания и колони Support Voice. Можете да изпратите вашите идеи и обратна информация чрез формуляра Попитайте. Има също така и връзка към формуляра в края на тази колона.
Разгъване на всички | Сгъване на всички

На тази страница

Въведение

Здравейте. Името ми е Лу Прит. Работя в отдела за поддръжка на Microsoft Internet Information Services (IIS) през последните пет години и съм ръководител на отдела за съдържанието на IIS през последните две години.

HTTP 401 грешките са сред най-често срещаните грешки, с които може да се сблъскате в IIS. Докато на причините за тези грешки може да варират значително, те се поделят в ограничен брой категории. Правилното установяване на категорията на причината за съответната HTTP 401 грешка може да намали времето, необходимо за установяване на основната причина за грешката.

Важен инструмент за отстраняване на тези проблеми е приложението за диагностика на контрола на достъпа и удостоверяването или AuthDiag. Можете да изтеглите този инструмент от следния уеб сайт на центъра за изтегляния на Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=e90fe777-4a21-4066-bd22-b931f7572e9a&DisplayLang=en
Този инструмент е част от комплекта с инструменти за диагностика на IIS, който можете да изтеглите от следния уеб сайт на центъра за изтегляния Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9bfa49bc-376b-4a54-95aa-73c9156706e7&DisplayLang=en
В почти всяка ситуация, описана в тази колона, AuthDiag може да предостави бързи отговори на съответната HTTP 401 грешка.

В тази колона ще опиша един ефективен подход към идентифицирането и отстраняването на често срещани проблеми, които водят до HTTP 401 грешки. Също така ще посоча няколко полезни статии от базата знания на Microsoft, както и редица инструменти, които ще ви помогнат.

Стъпки за отстраняване на неизправности

Идентифициране на кода на подсъстоянието на HTTP 401 грешката

Има два основни начина за идентифициране на кода на подсъстоянието:
  • Започвайки в IIS 6.0, кодът на подсъстоянието се регистрира в уеб регистрационните файлове. Уеб регистрационните файлове се намират на следното място:
    %SYSTEMROOT%\System32\LogFiles\W3SVC###\
    В уеб регистрационните файлове последните три числа във всеки запис представляват състоянието, подсъстоянието и състоянието на Win32.
    #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-Sub-status sc-win32-status
    2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 2 2148074254
    2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 1 0
    2006-03-06 20:38:36 W3SVC1 192.168.1.101 GET /default.aspx - 80 DOMAIN\user 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 200 0 0
  • Във версии на IIS, по-стари от IIS 6.0, кодът на подсъстоянието не е регистрирано в уеб регистрационните файлове. В тези случаи (или в случаи, в които нямате достъп до уеб регистрационните файлове) можете да използвате информацията, върната до браузъра. В Microsoft Internet Explorer ще трябва да забраните настройката Показвай удобни съобщения за HTTP грешки. С тази промяна трябва да видите страница за грешка, подобна на показаната по-долу. В този случай имаме HTTP 401.2 грешка, като страницата предоставя дори кратко описание на значението на грешката:
    Не сте упълномощени да преглеждате тази страница

    Нямате разрешение да преглеждате тази директория или страница с предоставените идентификационни данни, тъй като уеб браузърът изпраща заглавка за удостоверяване на WWW, която уеб сървърът не е конфигуриран да приема.

    Опитайте следното:
    Обърнете се към администратора на уеб сайта, ако смятате, че трябва да можете да виждате тази директория или страница.
    Щракнете върху бутона за обновяване, за да опитате отново с други идентификационни данни.

    HTTP грешка 401.2 – Неупълномощено: Достъпът е отказан поради конфигурацията на сървъра. Internet Information Services (IIS)

    Техническа информация (за персонал по поддръжката)
    Отидете в услугите за поддръжка на продукти на Microsoft и извършете търсене в заглавията за думите HTTP и 401.
    Отворете помощта за IIS, която е достъпна в IIS Manager (inetmgr), и потърсете теми, озаглавени "Относно защитата", "Удостоверяване" и "Относно персонализираните съобщения за грешка".
Забележка Също така може да използвате инструменти, като например WFetch и наблюдение на мрежата, за събиране на кодове за подсъстояние. За повече информация за тези инструменти щракнете върху следните номера на статии, за да прегледате статиите в базата знания на Microsoft:
284285 Как се използва Wfetch.exe за отстраняване на проблеми с HTTP връзки (Това може да е на английски)
812953 Как се използва функцията за следене на мрежата за проследяване на мрежовия трафик (Това може да е на английски)

Базирайте отстраняването на неизправности на кода за подсъстояние

След като узнаете кода на подсъстоянието на HTTP, се съсредоточете върху проблемите, свързани конкретно с това подсъстояние. Всички останали проблеми могат да се игнорират.
HTTP 401.1: Отказан поради невалидни потребителски идентификационни данни
Описание

IIS не успя да регистрира даден потребител за изпълнение на заявката. Всички заявки трябва да са свързани с даден потребител дори и ако заявката е анонимна.

Често срещани причини
  • Предоставено е неправилно потребителско име или парола. Идентифициране на потребителя, който не е успял да се регистрира, и коригиране на потребителското име или паролата.
  • Kerberos удостоверяването е неуспешно. За повече информация щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
    326985 Как се отстраняват свързани с Kerberos проблеми в IIS (Това може да е на английски)
    Други полезни статии за Kerberos са следните:
    871179 Получавате съобщение за грешка "HTTP грешка 401.1 – Неупълномощено: Достъпът е отказана поради невалидни идентификационни данни", когато опитате да отворите уеб сайт, който е част от набора приложения на IIS 6.0 (Това може да е на английски)
    Конфигуриране на идентичността на набора приложения с IIS 6.0 (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f05a7c2b-36b0-4b6e-ac7c-662700081f25.mspx

    Интегрирано Windows удостоверяване (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx

    Конфигуриране на ограниченото делегиране за Kerberos (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/df979570-81f6-4586-83c6-676bb005b13e.mspx
  • Локалните правила, правилата на домейн или назначените потребителски права не разрешава достъп на потребителя до сървъра. Ако сървърът е конфигуриран да проверява грешки при влизане, може да има допълнителна информация в регистрационния файл на защитата. Прегледайте следните статии за необходимите потребителски права:
    812614 Разрешенията по подразбиране и правата за използване за IIS 6.0 (Това може да е на английски)
    271071 Как се задават задължителни разрешения за NTFS и потребителски права за уеб сървър на IIS 5.0 (Това може да е на английски)
    832981 Потребителите нямат достъп до уеб сайтове, когато регистърът на събитията на защитата е пълен (Това може да е на английски)
    300549 Как се разрешава и прилага проверка на защитата в Windows 2000 (Това може да е на английски)
  • Тази грешка може да възникне, когато е конфигуриран анонимен достъп. Това може да възникне, ако потребителското име или паролата за анонимния акаунт, който се съхранява в метабазата на IIS, се различава от действителната информация, запазена в базата данни на локалния сървър (или услугата за директорията Active Directory, ако се използва акаунт в домейн). Подновяването на паролата за акаунта и в IIS решава този проблем.
  • След като надстроите до IIS 6.0 сървър, който изпълнява IIS 5.0, IIS се изпълнява в режим на съвместимост на IIS 5.0. След като сървърът е превключен на изолиран режим на IIS 6.0, може да получите HTTP 401.1 грешки за анонимни заявки. Това се дължи на синхронизирането на анонимни пароли на IIS 5.0. За да решите този проблем, задайте ключа на метабазата AnonymousPasswordSync на невярно и подновете паролата на анонимния потребител за акаунта, както и в IIS.
  • За повече информация относно тази грешка щракнете върху следните номера на статии, за да прегледате статиите в базата знания на Microsoft:
    896861 Получавате грешка 401.1, когато преглеждате даден уеб сайт, който използва интегрирано удостоверяване и се хоства в IIS 5.1 или IIS 6 (Това може да е на английски)
    304201 Няма достъп до уеб сайтове или не може да се стартират услугите на IIS, които се изпълняват под нелокален системен акаунт и използват Windows удостоверяване с IIS (Това може да е на английски)
    263140 Анонимното и базовото удостоверяване са неуспешни, когато се свързвате с IIS 5.0 в контролер на домейн (Това може да е на английски)
HTTP 401.2: Достъпът е отказан поради конфигуриране на сървър
Описание

Браузърът на клиента и IIS имат разминавания в протокол за удостоверяване.

Често срещани причини
  • В IIS не е избран протокол за удостоверяване (включително анонимен). Трябва да изберете най-малко един тип на удостоверяване. За повече информация щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
    253667 Съобщение за грешка: HTTP 401.2 – Неупълномощен: Влизането е неуспешно поради конфигуриране на сървъра без удостоверяване (Това може да е на английски)
  • Разрешено е само интегрираното удостоверяване, а по-стар клиентски браузър, който не е на Internet Explorer, се опитва да получи достъп до сайта. Това се случва, тъй като клиентският браузър не може да извърши интегрирано удостоверяване. За да решите проблема, използвайте някой от следните методи:
    • Конфигуриране на IIS да приема базово удостоверяване. Това трябва да се случва само чрез SSL с цел защита.
    • Използвайте клиентски браузър, който може да извършва интегрирано удостоверяване. Internet Explorer и новите версии на Netscape Navigator и Mozilla Firefox могат да извършват интегрирано удостоверяване.
  • Интегрираното удостоверяването се извършва чрез прокси сървър. Това се случва, тъй като прокси сървърът не поддържа NTLM удостоверената връзка и по този начин изпраща анонимна заявка от клиента до сървъра. Опциите за решаване на този проблем са следните:
    • Конфигуриране на IIS да приема базово удостоверяване. Това трябва да се случва само чрез SSL с цел защита.
    • Не използвайте прокси сървър.
HTTP 401.3: Достъпът е отказана от ACL ресурс
Описание

Тази грешка се връща, когато потребителят е успешно удостоверен в сървъра, но потребителят няма разрешения за NTFS за заявеното съдържание.

Основни решения
  • Задавайте разрешенията за NTFS правилно в съответствие със съдържанието. Прегледайте раздела за разрешения за NTFS в следните статии:
    812614 Разрешенията по подразбиране и правата за използване за IIS 6.0 (Това може да е на английски)
    271071 Как се задават задължителни разрешения за NTFS и потребителски права за уеб сървър на IIS 5.0 (Това може да е на английски)
  • Проверете дали е зададен правилният метод на удостоверяване. Например, когато използвате интегрирано удостоверяване, потребителите не получават подкана за идентификационни данни за удостоверяване. В този случай може да не е ясно дали заявката се удостоверява, или не.
  • Ако съдържанието е разположена на отдалечен дял, уверете се, че потребителите имат необходимите разрешения за NTFS и за споделяне. За повече информация щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
    332142 NTLM заявките за съдържание за UNC дял може да се върнат със съобщения за грешки от тип 401 (Това може да е на английски)
HTTP 401.4: Достъпът е отказана от персонализиран ISAPI филтър
Описание

Зареден ISAPI филтър отказва заявката.

Решение

Установете кой ISAPI филтър е отказал заявката и се свържете с разработчика или доставчика, за да намерите решение.
HTTP 401.5: Достъпът е отказан от персонализирано ISAPI/CGI уеб приложение
Описание

Разширение на ISAPI или приложение на CGI отказа заявката.

Решение

Установете кое разширение на ISAPI или приложение на CGI е отказало заявката и се свържете с разработчика или доставчика, за да намерите решение.

Обобщение

В обобщение, когато отстранявате проблеми с HTTP 401 грешки, първата стъпка винаги трябва да е определяне на кода на подсъстоянието.
  • 401.1: Извършен е неуспешен опит за удостоверяване.
  • 401.2: Не е извършен опит за удостоверяване, тъй като сървърът и клиентът не се споразумяха за протокола за удостоверяване.
  • 401.3: Удостоверяването е успешно, но удостоверяващият акаунт няма достатъчно разрешения за достъп до заявения ресурс или съдържание.
  • 401.4: ISAPI филтър отказа заявката.
  • 401.5: Разширение на ISAPI или приложение на CGI отказа заявката.

Полезни инструменти и ресурси

Инструменти на Microsoft

  • Authentication and Access Control Diagnostics 1.0
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e90fe777-4a21-4066-bd22-b931f7572e9a&DisplayLang=en
  • Набор инструменти за диагностика на IIS
    http://www.microsoft.com/downloads/details.aspx?FamilyID=9bfa49bc-376b-4a54-95aa-73c9156706e7&DisplayLang=en
  • WFetch
    284285 Как се използва Wfetch.exe за отстраняване на проблеми с HTTP връзки (Това може да е на английски)
  • Мрежов монитор
    148942 Как се заснема мрежовият трафик с мрежовия монитор (Това може да е на английски)
  • Проверка/регистър на защитата
    300549 Как се разрешава и прилага проверка на защитата в Windows 2000 (Това може да е на английски)

Инструменти на други производители

До следващия път. Благодаря за вашето внимание, желая ви приятен ден. Както винаги, не спирайте да изпращате идеи за теми, които искате да се разгледат в бъдещи статии или в базата знания, с помощта на формуляра Попитайте.

Microsoft предоставя информация за контакт с други производители, за да ви помогне да намерите техническа поддръжка. Тази информация за контакт може да се променя без уведомяване. Microsoft не гарантира точността на информацията за контакт с други производители.

Продуктите на други производители, описани в тази статия, са произведени от независими от Microsoft фирми. Microsoft не дава никаква гаранция, неявна или друга, за характеристиките или надеждността на тези продукти.
Забележка Това е статия "БЪРЗА ПУБЛИКАЦИЯ", създадена директно в рамките на организацията за поддръжка на Microsoft. Информацията, съдържаща се тук, се ограничава до съдържащото се в нея и е дадена в отговор на появили се проблеми. В резултат на краткия срок до тяхното предлагане, материалите може да съдържат печатни грешки и могат да бъдат преработвани във всеки момент без предизвестие. Вижте Условия на ползване за други съображения.

Свойства

ID на статията: 907273 - Последна рецензия: 31 май 2012 г. - Редакция: 1.0
ВАЖИ ЗА:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Server 1.01
Ключови думи: 
kbhowto kbinfo KB907273

Изпратете обратна информация

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com