Problembehandlung von HTTP-Fehlern 401 in IIS

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 907273 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
907273 Troubleshooting HTTP 401 errors in IIS
IIS Support Voice-Kolumne

Problembehandlung von HTTP-Fehlern 401 in IIS

Um diese Kolumne optimal an Ihre Anforderungen anpassen zu können, bitten wir Sie, uns Ihre Vorstellungen und Wünsche zu Themen und Problemen mitzuteilen, die wir in zukünftigen Knowledge Base-Artikeln und Support Voice-Kolumnen behandeln sollten. Anregungen und Feedback können Sie uns mit dem Formular Ask For It (Fragen Sie nach!) senden. Am Ende dieser Kolumne finden Sie einen weiteren Link zu diesem Formular.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Einführung

Hallo, mein Name ist Lou Prete. Ich war die letzten fünf Jahre mit dem Support von Microsoft Internet Information Services (IIS) beschäftigt und bin seit zwei Jahren Content Lead für IIS.

HTTP-Fehler 401 gehören zu den häufigsten Fehlern, die in IIS auftreten. Diese Fehler können die unterschiedlichsten Ursachen haben. Es gibt nahezu unendlich viele Ursachenkategorien. Durch korrektes Erkennen der Kategorie der Ursache des bei Ihnen auftretenden HTTP-Fehlers 401 kann die Zeit zur Ermittlung der Hauptursache des Fehlers verringert werden.

AuthDiag (Authentication and Access Control Diagnostics) ist ein hervorragendes Tool für die Behandlung dieser Probleme. Sie können dieses Tool von der folgenden Website des Microsoft Download Centers herunterladen:
http://www.microsoft.com/downloads/details.aspx?FamilyID=e90fe777-4a21-4066-bd22-b931f7572e9a&DisplayLang=en
Dieses Tool ist auch Bestandteil des IIS Diagnostics Toolkits, das Sie von der folgenden Website des Microsoft Download Centers herunterladen können.
http://www.microsoft.com/downloads/details.aspx?FamilyID=9bfa49bc-376b-4a54-95aa-73c9156706e7&DisplayLang=en
In fast allen in dieser Kolumne beschriebenen Fällen kann Ihnen AuthDiag schnelle Antworten zu dem jeweiligen HTTP-Fehler 401 liefern.

In dieser Kolumne werde ich einen effektiven Ansatz zum Identifizieren und Beheben der allgemeinen Probleme beschreiben, die zu HTTP-Fehlern 401 führen. Ich werde außerdem verschiedene Microsoft Knowledge Base-Artikel aufführen, die hilfreich sein können, sowie mehrere Tools, die Sie bei Ihrer Arbeit unterstützen.

Problembehandlungsschritte

Ermitteln des Teilstatuscodes des HTTP-Fehlers 401

Es gibt zwei häufig verwendete Wege zur Ermittlung des Teilstatuscodes:
  • In IIS 6.0 wird der Teilstatuscode in den Webprotokollen protokolliert. Die Webprotokolle befinden sich an folgendem Speicherort:
    %SYSTEMROOT%\System32\LogFiles\W3SVC###\
    In den Webprotokollen stehen die letzten drei Zahlen in jedem Eintrag für den Status, den Teilstatus bzw. den Win32-Status.
     #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-Sub-status sc-win32-status 2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 2 2148074254 2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 1 0 2006-03-06 20:38:36 W3SVC1 192.168.1.101 GET /default.aspx - 80 DOMAIN\user 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 200 0 0
  • In früheren Versionen von IIS als ISS 6.0 wird der Teilstatuscode nicht in den Webprotokollen protokolliert. In diesem Fall (oder in Fällen, in denen Sie nicht auf die Webprotokolle zugreifen können), können Sie die Informationen verwenden, die zurück an den Browser gesendet werden. In Microsoft Internet Explorer müssen Sie die Einstellung Kurze HTTP-Fehlermeldungen anzeigen deaktivieren. Nach dieser Änderung sollte eine Fehlerseite ähnlich der unten dargestellten Seite angezeigt werden. In diesem Fall handelt es sich um einen HTTP-Fehler 401.2. Auf der Seite wird außerdem kurz die Bedeutung des Fehlers beschrieben:
    Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen.

    Möglicherweise haben Sie nicht die erforderlichen Zugriffsrechte, um das Verzeichnis oder die Seite anzuzeigen, da Ihr Webbrowser ein WWW-Authenticate-Header-Feld sendet, für das der Webserver nicht konfiguriert ist.

    Versuchen Sie Folgendes:
    Wenden Sie sich an den Websiteadministrator, wenn Sie der Meinung sind, dass Sie dieses Verzeichnis oder diese Seite anzeigen können sollten.
    Klicken Sie auf "Aktualisieren", um den Vorgang mit anderen Anmeldeinformationen zu wiederholen.

    HTTP-Fehler 401.2 - Nicht autorisiert: Der Zugriff wurde aufgrund der Serverkonfiguration verweigert. Internet Information Services (IIS)

    Technische Informationen (für Supportpersonal)
    Rufen Sie den Microsoft Software Service auf, und führen Sie eine Titelsuche nach den Wörtern "HTTP" und "401" durch.
    Öffnen Sie die IIS-Hilfe, auf die Sie in IIS Manager (inetmgr) zugreifen können, und suchen Sie nach Themen zu Sicherheit, Authentifizierung und benutzerdefinierten Fehlermeldungen.
Hinweis: Sie können auch Tools wie WFetch und Netzwerkmonitor verwenden, um Teilstatuscodes zu erfassen. Weitere Informationen zu diesen Tools finden Sie in folgenden Artikeln der Microsoft Knowledge Base:
284285 Welcher VERFAHRENSWEISE: TO: um HTTP-Verbindungen zu beheben, verwenden Sie Wfetch.exe
812953 Wie Verwenden von Netzwerkmonitor zu dem Aufzeichnen von Netzwerkverkehr

Basieren der Problembehandlung auf dem Teilstatuscode

Wenn Sie den HTTP-Teilstatuscode kennen, konzentrieren Sie sich auf Probleme im Zusammenhang mit diesem bestimmten Teilstatus. Alle anderen können ignoriert werden.
HTTP 401.1: Verweigert aufgrund ungültiger Benutzeranmeldeinformationen
Beschreibung

Ein Benutzer konnte nicht bei IIS angemeldet werden, um die Anforderung auszuführen. Alle Anforderungen müssen einem Benutzer zugeordnet sein, selbst dann, wenn die Anforderung anonym ist.

Typische Ursachen
  • Es wurde ein falscher Benutzername oder ein falsches Kennwort angegeben. Identifizieren Sie den Benutzer, der sich nicht anmelden konnte, und korrigieren Sie den Benutzernamen oder das Kennwort.
  • Bei der Kerberos-Authentifizierung tritt ein Fehler auf. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    326985 SO WIRD'S GEMACHT: Behandeln von Problemen in Verbindung mit Kerberos in IIS
    Andere hilfreiche Artikel zu Kerberos sind wie folgt:
    871179 Fehlermeldung "HTTP-Fehler 401.1 - Nicht autorisiert: Der Zugriff wurde aufgrund ungültiger Anmeldeinformationen verweigert", wenn Sie versuchen auf eine Website zuzugreifen, die Teil eines IIS 6.0-Anwendungspools ist
    Konfigurieren der Anwendungspoolidentität mit IIS 6.0 (IIS 6.0)
    http://technet2.microsoft.com/WindowsServer/de/Library/3429a680-e4aa-4a32-b364-8c4ddde552af1031.mspx?mfr=true

    Integrierte Windows-Authentifizierung (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx

    Konfigurieren der eingeschränkten Delegierung für Kerberos (IIS 6.0)
    http://technet2.microsoft.com/WindowsServer/de/Library/cdce4406-b3e6-434b-90eb-67b60f4a46e91031.mspx?mfr=true
  • Die Zuweisung der lokalen bzw. der Domänenrichtlinie oder der Benutzerrechte verhindert, dass der Benutzer auf den Server zugreifen kann. Wenn der Server so konfiguriert ist, dass fehlgeschlagene Anmeldeversuche überwacht werden, finden Sie im Sicherheitsprotokoll möglicherweise weitere Informationen. In den folgenden Artikeln erhalten Sie weitere Informationen zu den erforderlichen Benutzerrechten:
    812614 Standardberechtigungen und Benutzerrechte für IIS 6.0
    271071 SO WIRD'S GEMACHT: Festlegen minimaler für die Funktion von IIS 5.0 erforderlicher NTFS-Berechtigungen
    187506 Erforderliche NTFS-Berechtigungen und Benutzerrechte für IIS 4.0
    832981 Wenn das Sicherheitsereignisprotokoll voll ist, können Benutzer auf Website nicht zugreifen
    300549 Aktivieren und Anwenden der Sicherheitsüberwachung in Windows 2000
  • Dieser Fehler kann auch auftreten, wenn anonymer Zugriff konfiguriert wurde. Dies kann auftreten, wenn sich der Benutzername oder das Kennwort für den anonymen Zugriff, der bzw. das in der IIS-Metabase gespeichert ist, von den tatsächlichen Informationen unterscheidet, die in der lokalen Benutzerdatenbank (oder in dem Active Directory-Verzeichnisdienst, wenn ein Domänenkonto verwendet wird) gespeichert sind. Durch Zurücksetzen des Kennworts für das Konto und in IIS wird dieses Problem behoben.
  • Nachdem Sie einen Server, auf dem IIS 5.0 ausgeführt wird, auf IIS 6.0 aktualisiert haben, wird IIS im IIS 5.0-Kompatibilitätsmodus ausgeführt. Sobald der Server in den IIS 6.0-Isolationsmodus umgeschaltet wird, werden HTTP-Fehler 401.1 bei anonymen Anforderungen angezeigt. Dies tritt aufgrund der anonymen Kennwortsynchronisierung in IIS 5.0 auf. Um dieses Problem zu beheben, legen Sie den Metabase-Schlüssel AnonymousPasswordSync auf False fest, und setzen Sie das Kennwort des anonymen Benutzers für das Konto und in IIS zurück.
  • Weitere Informationen zu diesem Fehler finden Sie in folgenden Artikeln der Microsoft Knowledge Base:
    896861 Fehler 401.1 beim Aufrufen einer Website, die integrierte Authentifizierung verwendet und mit IIS 5.1 oder IIS 6 gehostet wird
    304201 Kann Zugriff, die Web Site oder II Web nicht starten kann, das nicht bearbeiten, das unter nicht lokalem Systemkonto und Verwendung Windows-Authentifizierung mit II ausgeführt wird
    263140 Anonymer und grundlegender Authentifizierungsfehler, wenn Sie sich mit IIS 5.0 auf einem Domäne-Controller verbinden
    275167 Anonymous access fails with an HTTP 401.1 error after you join an IIS Windows 2000 domain
HTTP 401.2: Verweigert aufgrund der Serverkonfiguration
Beschreibung

Der Clientbrowser und IIS konnten sich nicht auf ein Authentifizierungsprotokoll einigen.

Typische Ursachen
  • In IIS wurde kein Authentifizierungsprotokoll (auch kein anonymes) ausgewählt. Es muss mindestens ein Authentifizierungstyp ausgewählt werden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    253667 Fehlermeldung: HTTP 401.2 - Keine Autorisierung: Anmeldung wegen Serverkonfiguration ohne Autorisierung fehlgeschlagen
  • Nur die Integrierte Authentifizierung ist aktiviert, und ein älterer Clientbrowser (nicht Internet Explorer) versucht, auf die Site zuzugreifen. Dies tritt auf, da der Clientbrowser keine Integrierte Authentifizierung durchführen kann. Wenden Sie eine der folgenden Methoden an, um dieses Problem zu beheben.
    • Konfigurieren Sie IIS so, dass die Standardauthentifizierung zugelassen wird. Dies sollte aus Sicherheitsgründen nur über SSL erfolgen.
    • Verwenden Sie einen Clientbrowser, der die Integrierte Authentifizierung durchführen kann. Internet Explorer und neue Versionen von Netscape Navigator und Mozilla Firefox können die Integrierte Authentifizierung durchführen.
  • Die Integrierte Authentifizierung erfolgt über einen Proxy. Dies tritt auf, da der Proxy die NTLM-authentifizierte Verbindung nicht aufrechterhält und daher eine anonyme Anforderung von dem Client an den Server sendet. Zur Lösung des Problems stehen die folgenden Optionen zur Verfügung:
    • Konfigurieren Sie IIS so, dass die Standardauthentifizierung zugelassen wird. Dies sollte aus Sicherheitsgründen nur über SSL erfolgen.
    • Verwenden Sie keinen Proxy.
HTTP 401.3: Verweigert aufgrund der Ressourcen-ACL
Beschreibung

Dieser Fehler wird zurückgegeben, wenn der Benutzer vom Server erfolgreich authentifiziert wurde, der Benutzer jedoch nicht über NTFS-Berechtigungen für den angeforderten Inhalt verfügt.

Gängige Lösungen
  • Legen Sie die NTFS-Berechtigungen für den Inhalt korrekt fest. Lesen Sie den Abschnitt "NTFS-Berechtigungen" in den folgenden Artikeln:
    812614 Standardberechtigungen und Benutzerrechte für IIS 6.0
    271071 SO WIRD'S GEMACHT: Festlegen minimaler für die Funktion von IIS 5.0 erforderlicher NTFS-Berechtigungen
    187506 Erforderliche NTFS-Berechtigungen und Benutzerrechte für IIS 4.0
  • Überprüfen Sie, dass die korrekte Authentifizierungsmethode festgelegt ist. Wenn Sie beispielsweise die Integrierte Authentifizierung verwenden, werden Benutzer nicht zur Eingabe von Authentifizierungsinformationen aufgefordert. In diesem Fall ist es möglicherweise unklar, ob die Anforderung authentifiziert wird oder nicht.
  • Wenn sich der Inhalt auf einer Remotefreigabe befindet, vergewissern Sie sich, dass die Benutzer über ausreichende NTFS- und Freigabeberechtigungen verfügen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    332142 Mit 401-Fehlermeldung können NTLM-Anforderungen von Inhalten auf Unc-Freigabe zurückgegeben werden
HTTP 401.4: Verweigert aufgrund benutzerdefinierter ISAPI-Filter
Beschreibung

Die Anforderung wurde von einem geladenen ISAPI-Filter abgelehnt.

Lösung

Ermitteln Sie, welcher ISAPI-Filter die Anforderung abgelehnt hat, und wenden Sie sich an den Entwickler oder Hersteller, um eine Lösung zu finden.
HTTP 401.5: Verweigert aufgrund einer benutzerdefinierten ISAPI-/CGI-Webanwendung
Beschreibung

Eine ISAPI-Erweiterung oder CGI-Anwendung hat die Anforderung abgelehnt.

Lösung

Ermitteln Sie, welche ISAPI-Erweiterung oder CGI-Anwendung die Anforderung abgelehnt hat, und wenden Sie sich an den Entwickler oder Hersteller, um eine Lösung zu finden.

Zusammenfassung

Wenn Sie HTTP-Fehler 401 beheben, sollten Sie immer den Teilstatuscode ermitteln.
  • 401.1: Die Authentifizierung wurde versucht, ist jedoch fehlgeschlagen.
  • 401.2: Die Authentifizierung wurde nicht versucht, da der Server und der Client sich nicht auf ein Authentifizierungsprotokoll einigen konnten.
  • 401.3: Die Authentifizierung war erfolgreich, doch das authentifizierte Konto verfügt nicht über ausreichend Berechtigungen, um auf die angeforderte Ressource oder den angeforderten Inhalt zuzugreifen.
  • 401.4: Ein ISAPI-Filter hat die Anforderung abgelehnt.
  • 401.5: Eine ISAPI-Erweiterung oder eine CGI-Anwendung hat die Anforderung abgelehnt.

Hilfreiche Tools und Ressourcen

Microsoft-Tools

Tools von Fremdanbietern

Vielen Dank, dass Sie sich die Zeit genommen haben. Ich wünsche Ihnen noch einen schönen Tag. Wie immer haben Sie die Möglichkeit, uns Ihre Vorstellungen und Wünsche zu Themen und Problemen mitzuteilen, die wir in zukünftigen Knowledge Base-Artikeln und Support Voice-Kolumnen behandeln sollten. Verwenden Sie hierzu das Formular Ask For It (Fragen Sie nach!).

Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Eigenschaften

Artikel-ID: 907273 - Geändert am: Freitag, 11. Mai 2012 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Server 1.01
Keywords: 
kbhowto kbinfo KB907273
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com