Усунення помилок HTTP 401 у службі IIS

Переклади статей Переклади статей
Номер статті: 907273 - Показ продуктів, яких стосується ця стаття.
Рубрика IIS Support Voice

Усунення помилок HTTP 401 у службі IIS

Щоб ця колонка більше відповідала вимогам читачів, ми пропонуємо надсилати думки про цікавлячі вас теми та неполадки, щоб їх вирішення було висвітлено в майбутніх статтях бази знань Microsoft Knowledge Base та рубриках Support Voice. Надіслати думки та інформацію зворотнього зв'язку можна за допомогою форми Запитайте про це. Посилання на цю форму є також наприкінці цієї рубрики.
Розгорнути все | Згорнути все

На цій сторінці

Вступ

Вітаю! Мене звуть Лу Пре (Lou Prete). Я вже п'ять років працюю зі службою Microsoft Internet Information Services (IIS), а останні два роки займаю посаду керівника групи розробки вмісту служби IIS.

Помилки HTTP 401 — це найпоширеніші помилки, які можуть виникати у службі IIS. Хоча причини цих помилок можуть значно відрізнятися, їх можна розділити на певні категорії. Правильне визначення категорії помилки HTTP 401 значно зменшує час, потрібний для пошуку основної причини помилки.

Хороший засіб для усунення цих помилок — це діагностика керування доступом та автентифікацією, або AuthDiag. Щоб завантажити цей засіб з центру завантаження корпорації Майкрософт, відвідайте веб-сайт
http://www.microsoft.com/downloads/details.aspx?FamilyID=e90fe777-4a21-4066-bd22-b931f7572e9a&DisplayLang=en
Цей засіб є також частиною набору IIS Diagnostics Toolkit, який можна завантажити з центру завантаження Майкрософт на веб-сайті
http://www.microsoft.com/downloads/details.aspx?FamilyID=9bfa49bc-376b-4a54-95aa-73c9156706e7&DisplayLang=en
Майже в кожній з ситуацій, описаних у цій колонці, засіб AuthDiag забезпечує швидку відповідь на помилку HTTP 401.

У цій колонці я розгляну ефективний підхід до визначення та виправлення загальних проблем, які призводять до помилок HTTP 401. Я також дам посилання на низку статей бази знань Microsoft Knowledge Base та засоби, якими можна скористатися для вирішення цих проблем.

Основні кроки усунення неполадок

Визначення коду підпорядкованого стану помилки HTTP 401

Існує два шляхи визначення коду підпорядкованого стану:
  • Починаючи зі служби IIS версії 6.0, код підпорядкованого стану реєструється у веб-журналах. Веб-журнали містяться в такому розташуванні:
    %SYSTEMROOT%\System32\LogFiles\W3SVC###\
    У веб-журналах останні три цифри відповідають стану, підпорядкованому стану й стану Win32.
    #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-Sub-status sc-win32-status
    2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 2 2148074254
    2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 1 0
    2006-03-06 20:38:36 W3SVC1 192.168.1.101 GET /default.aspx - 80 DOMAIN\user 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 200 0 0
  • У версіях служби IIS, раніших за IIS 6.0, код підпорядкованого стану не реєструється у веб-журналах. У цих випадках (або якщо немає доступу до веб-журналів) можна скористатися відомостями, надісланими назад до браузеру. У Microsoft Internet Explorer необхідно вимкнути параметр Показувати докладні повідомлення про помилки HTTP. Після цього має відображатися сторінка з помилкою, подібна наведеній нижче. У цьому випадку з'являється помилка HTTP 401.2, і на сторінці дається стислий опис помилки:
    Ви не маєте прав на перегляд цієї сторінки

    Ви не маєте прав на перегляд цього каталогу або сторінки з цими обліковими даними, тому що браузер надсилає заголовок WWW-Authenticate, не підтримуваний веб-сервером.

    Спробуйте виконати такі дії:
    Зв'яжіться з адміністратором веб-сайту, щоб отримати дозвіл на перегляд цього каталогу або сторінки.
    Натисніть кнопку "Поновити", щоб спробуваити переглянути з іншими обліковими даними.

    Помилка HTTP 401.2 — Доступ не дозволено: Доступ заборонено через конфігурацію сервера. Internet Information Services (IIS)

    Технічні відомості (для фахівців служби підтримки)
    Перейдіть до служби підтримки продуктів корпорації Майкрософт та виконайте пошук за словами "HTTP" і "401".
    Відкрийте довідку служби IIS, яка доступна в диспетчері IIS (inetmgr) та пошукайте теми під назвами "Про безпеку", "Автентифікація" і "Про користувальницькі повідомлення про помилки".
Примітка. Зібрати коди підпорядкованого стану можна також, скориставшись такими засобами, як WFetch і Network Monitor. Докладніше про ці засоби див. у відповідних статях бази знань Microsoft Knowledge Base:
284285 Використання засобу Wfetch.exe для усунення неполадок HTTP-підключень (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
812953 Використання засобу Network Monitor для записування мережного трафіку (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)

Усунення неполадок базується на визначенні коду підпорядкованого стану

Після визначення коду підпорядкованого стану HTTP необхідно зосередитися на проблемах, які стосуються цього стану. Усі інші можна не враховувати.
HTTP 401.1: Відхилено через неправильні облікові дані користувача
Опис

Службі IIS не вдалося виконати запит на вхід користувача. Всі запити мають бути пов'язані з користувачем, навіть якщо запит анонімний.

Типові причини
  • Надано неправильне ім'я користувача або пароль. Необхідно визначити користувача, який не зміг увійти, та виправити ім'я користувача або пароль .
  • Помилка автентифікації Kerberos. Докладніше див. у статті бази знань Microsoft Knowledge Base:
    326985 Усунення неполадок, пов'язаних з автентифікацією Kerberos, у службі IIS (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    Інші корисні статті відносно Kerberos:
    871179 Отримано повідомлення про помилку "HTTP Error 401.1 — Доступ не дозволено: Доступ не дозволено через неправильні облікові дані" під час спроби доступу до веб-сайту, який є частиною пулу застосунків служби IIS 6.0 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    Налаштування ідентифікації пулу застосунків служби IIS 6.0 (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f05a7c2b-36b0-4b6e-ac7c-662700081f25.mspx

    Інтегрована автентифікація Windows (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx

    Налаштування обмеженого делегування Kerberos (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/df979570-81f6-4586-83c6-676bb005b13e.mspx
  • Локальна або доменна політика або призначення прав користувачів забороняє користувачеві доступ до сервера. Якщо сервер налаштовано на перевірку помилок входу, додаткові відомості можуть міститися в журналі безпеки. За відомостями про необхідні права користувача зверніться до наступних статей:
    812614 Стандартні дозволи та права користувача для служби IIS 6.0 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    271071 Налаштування необхідних дозволів NTFS і прав користувача для веб-сервера IIS 5.0 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    187506 Необхідні дозволи NTFS і права користувача для служби IIS 4.0 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    832981 Користувачі не можуть отримати доступ до веб-сайту, якщо журнал подій безпеки заповнений (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    300549 Увімкнення та застосування аудиту безпеки у Windows 2000 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
  • Ця помилка може також виникати, якщо налаштовано анонімний доступ. Ця ситуація можлива, якщо ім'я користувача або пароль для анонімного облікового запису, який зберігається в метабазі IIS, відрізняється від фактичних відомостей, збережених у локальній базі даних користувачів (або в каталозі служби Active Directory, якщо використовується обліковий запис домену). Скидання паролю для облікового запису і служби IIS усуває проблему.
  • Після поновлення на сервері служби IIS 5.0 до версії 6.0 служба IIS працює в сумісному з IIS 5.0 режимі. Якщо переключити сервер на режим ізоляції служби IIS 6.0, можуть з'являтися помилки HTTP 401.1 під час анонімних запитів. Ця ситуація виникає через синхронізацію анонімного паролю служби IIS 5.0. Щоб усунути цю проблему, встановіть для ключа метабази AnonymousPasswordSync значення false і скиньте пароль анонімного користувача для облікового запису і служби IIS.
  • Докладніше про цю помилку див. у наступних них статях бази знань Microsoft Knowledge Base:
    896861 З'являється повідомлення про помилку 401.1 під час спроби увійти на веб-сайт, на якому використовується інтегрована автентифікація та працює служба IIS 5.1 або IIS 6 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    304201 Неможливо увійти на веб-сайти або запустити служби IIS, які працюють з нелокальним системним обліковим записом і на яких використовується автентифікація Windows у службі IIS (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    263140 Помилка анонімної або базової автентифікації під час спроби підключитися до служби IIS 5.0 на контролері домену (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    275167 Після підключення до домену служби IIS Windows 2000 виникає помилка анонімного доступу HTTP 401.1 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
HTTP 401.2: Відхилено конфігурацією сервера
Опис

Браузер клієнта та служба IIS не можуть погодити протокол автентифікації.

Типові причини
  • Не вибрано протокол автентифікації (у тому числі анонімний) у службі IIS. Принаймні один тип автентифікації має бути обрано. Докладніше див. у статті бази знань Microsoft Knowledge Base:
    253667 Повідомлення про помилку: HTTP 401.2 – Доступ не дозволено: Помилка доступу через конфігурацію сервера без автентифікації (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
  • Увімкнуто тільки інтегровану автентифікацію, і клієнт ранішої версії, який не є браузером Internet Explorer, намагається отримати доступ до веб-сайту. Ця ситуація виникає тому що браузер-клієнт не може виконати інтегровану автентифікацію. Для усунення цієї проблеми скористайтесь одним із таких способів:
    • Налаштування служби IIS для прийняття базової автентифікації. З метою дотримання вимог безпеки цю дію необхідно виконувати тільки за допомогою протоколу SSL.
    • Використання браузера-клієнта, який може виконати інтегровану автентифікацію. Internet Explorer і нові версії браузерів Netscape Navigator і Mozilla Firefox можуть виконувати інтегровану автентифікацію.
  • Інтегрована автентифікація здійснюється через проксі-сервер. Ця ситуація виникає тому що проксі-сервер не підтримує автентифікацію NTLM-підключення і тому надсилає анонімний запит з клієнта на сервер. Варіанти вирішення цієї проблеми:
    • Налаштування служби IIS для прийняття базової автентифікації. З метою дотримання вимог безпеки цю дію необхідно виконувати тільки за допомогою протоколу SSL.
    • Не використовуйте проксі-сервер.
HTTP 401.3: Відхилено списком керування доступом (ACL) до ресурсу
Опис

Ця помилка з'являється якщо користувач успішно проходить автентифікацію на сервері, але не має дозволів NTFS, потрібних для доступу до вмісту.

Типові рішення
  • Налаштування правильних дозволів NTFS на доступ до вмісту. Перегляньте розділ "Дозволи NTFS" в таких статтях:
    812614 Стандартні дозволи та права користувача для служби IIS 6.0 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    271071 Налаштування необхідних дозволів NTFS і прав користувача для веб-сервера IIS 5.0 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
    187506 Необхідні дозволи NTFS і права користувача для служби IIS 4.0 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
  • Переконайтеся, що обрано правильний способ автентифікації. Наприклад, під час використання інтегрованої автентифікації користувачі не отримують запит на введення облікових даних. У цьому випадку може бути незрозуміло, чи було запит автентифіковано.
  • Якщо об'єкт розташований на віддаленому спільному ресурсі, переконайтеся, що користувачі мають потрібні NTFS-дозволи та дозволи на спільний доступ. Докладніше див. у статті бази знань Microsoft Knowledge Base:
    332142 NTLM-запити на доступ до вмісту спільного ресурсу UNC можуть повертатися з повідомленням про помилку 401 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
HTTP 401.4: Відхилено користувальницьким фільтром ISAPI
Опис

Завантажений фільтр ISAPI відхилив запит.

Вирішення

Визначить, який фільтр ISAPI відхилив запит, і зв'яжіться з розробником або постачальником для отримання рішення.
HTTP 401.5: Відхилено користувальницьким веб-застосунком ISAPI/CGI
Опис

Розширення ISAPI або застосунок CGI відхилили запит.

Вирішення

Визначить, яке розширення ISAPI або застосунок CGI відхилили запит, та зв'яжіться з розробником або постачальником для отримання рішення.

Резюме

В цілому під час усунення помилок HTTP 401 першим кроком завжди повинно бути визначення коду підпорядкованого стану.
  • 401.1: Спроба автентифікації завершилася помилкою.
  • 401.2: Спробу автентифікації не виконано через неузгодженість протоколу автентифікації між сервером і клієнтом.
  • 401.3: Автентифікація відбулась успішно, але обліковий запис не має необхідних дозволів на доступ до ресурсу або вмісту.
  • 401.4: Запит вдіхилено фільтром ISAPI.
  • 401.5: Розширення ISAPI або застосунок CGI відхилили запит.

Корисні засоби та ресурси

Засоби Microsoft

  • Діагностика керування доступом та автентифікацією, версія 1.0
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e90fe777-4a21-4066-bd22-b931f7572e9a&DisplayLang=en
  • Набір засобів діагностики IIS Diagnostics Toolkit
    http://www.microsoft.com/downloads/details.aspx?FamilyID=9bfa49bc-376b-4a54-95aa-73c9156706e7&DisplayLang=en
  • Засіб WFetch
    284285 Використання засобу Wfetch.exe для усунення неполадок HTTP-підключень (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
  • Засіб Network Monitor
    148942 Використання засобу Network Monitor для записування мережного трафіку (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
  • Журнал аудиту/безпеки
    300549 Увімкнення та застосування аудиту безпеки у Windows 2000 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)

Засоби сторонніх виробників

Дякую вам за витрачений час, щасливого дня і до наступної зустрічі. Як завжди, надсилайте думки про теми, які бажано розглянути в майбутніх колонках або статях бази знань Knowledge Base, скориставшись формоюЗапитайте про це.

Корпорація Майкрософт надає контактні відомості сторонніх виробників для сприяння отриманню від них технічної підтримки. Ці відомості може бути змінено без попередження. Корпорація Майкрософт не гарантує точності контактних відомостей сторонніх виробників.

Виробники продуктів, обговорюваних у цій статті, не залежать від корпорації Майкрософт. Корпорація Майкрософт не надає жодних гарантій, неявних або інших, стосовно продуктивності або надійності цих продуктів.

Властивості

Номер статті: 907273 - Востаннє переглянуто: 4 грудня 2007 р. - Редакція: 2.2
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 1.01
Ключові слова: 
kbhowto kbinfo KB907273

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com