文章編號: 907273 - 上次校閱: 2007年12月3日 - 版次: 2.5

在 IIS 中的 HTTP 401 錯誤疑難排解

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
IIS 支援語音資料行

在 IIS 中的 HTTP 401 錯誤疑難排解

若要自訂您的需要此資料行的 我們想要邀請您送出您的想法,有關您感興趣的主題,而且在將來知識庫文件和支援語音資料行,處理您想要查看的問題。您可以送出您的想法和使用 Ask For It (http://support.microsoft.com/common/survey.aspx?scid=sw;en;1176&p0=&p1=&p2=&p3=&p4=) 表單的意見反應。另外還有連結至表單底部的 這個資料行。

在此頁中

全部展開 | 全部摺疊

簡介

嗨。我的名稱是 Lou Prete。我已經過 Microsoft 網際網路資訊服務 (IIS) 支援過去五年,會有被 IIS 內容導致過去兩年。

HTTP 401 錯誤是最常見的錯誤,您可能要在 IIS 中處理。雖然這些錯誤的原因可以變化很大,原因會落入有限數量的類別。 正確識別的 HTTP 401 錯誤原因的類別可以減少識別根本原因的錯誤所需的時間量。

疑難排解這些問題的絕佳工具是驗證和存取控制診斷或 AuthDiag。您可以從下列 Microsoft 下載中心的網站下載這個工具:
http://www.microsoft.com/downloads/details.aspx?FamilyID=e90fe777-4a21-4066-bd22-b931f7572e9a&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=e90fe777-4a21-4066-bd22-b931f7572e9a&DisplayLang=en)
這個工具也是您可以從下列 Microsoft 下載中心的網站下載 [IIS 診斷工具組的一部份:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9bfa49bc-376b-4a54-95aa-73c9156706e7&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=9bfa49bc-376b-4a54-95aa-73c9156706e7&DisplayLang=en)
在本專欄所述的幾乎所有情況 AuthDiag 可以提供 HTTP 401 錯誤手邊的快速解答。

在本專欄中我將概述有效的方法,用來識別和修正導致 HTTP 401 錯誤的常見問題。我也會指出數目將會很有用的微軟知識庫文件以及許多工具可以幫助您以及您的方式。
回此頁最上方

疑難排解步驟

識別 HTTP 401 錯誤的子狀態的碼

有一般兩種方法可以識別子狀態碼:
  • IIS 6.0 從開始的子狀態碼被登入網站記錄。網頁記錄檔位於下列位置:
    %SYSTEMROOT%\System32\LogFiles\W3SVC###\
    Web] 記錄檔中每個項目中最後三個的數字代表狀態、 子狀態和 
    #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-Sub-status sc-win32-status
2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 2 2148074254
2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 1 0
2006-03-06 20:38:36 W3SVC1 192.168.1.101 GET /default.aspx - 80 DOMAIN\user 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 200 0 0
    Win32 狀態。
  • 在的 IIS 版本早於 IIS 6.0,子狀態碼不被記錄在網站記錄。在這些情況下 (或在您不在此有 Web 記錄檔的權限的情況下),您可以使用傳送至瀏覽器的資訊。 在 Microsoft Internet Explorer 中您必須停用 顯示好記的 HTTP 錯誤訊息 設定。此變更您應該會看到類似以下的錯誤頁面。我們在這種情況下有 HTTP 401.2 錯誤和頁面甚至提供的錯誤表示簡短描述:
    未授權您檢視此頁面

    您不具有檢視這個目錄的權限,或是使用 Web 伺服器,因為您的網頁瀏覽器會傳送 WWW 驗證標頭欄位,您提供的認證的頁面不設定成接受。

    請嘗試下列操作:
    如果您認為您應該要能夠檢視這個目錄或網頁,請連絡網站管理員。
    按一下 [重新整理] 按鈕,再試一次使用不同的認證。

    HTTP 錯誤 401.2-非授權: 拒絕存取限於伺服器組態。網際網路資訊服務 (IIS)

    技術資訊 (供支援人員使用)
    請跳到 Microsoft 產品支援服務,並執行字 HTTP 和 401 標題搜尋。
    開啟 IIS 說明,也就是可存取在 IIS 管理員 (inetmgr),並搜尋主題標題為 [關於安全性、 驗證及關於自訂錯誤訊息。
附註您也可以使用 WFetch] 和 [網路監視器等的工具來蒐集的子狀態碼。 如更多有關這些工具的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
284285? (http://support.microsoft.com/kb/284285/ ) 如何使用 Wfetch.exe HTTP 連線的疑難排解
812953? (http://support.microsoft.com/kb/812953/ ) 如何使用網路監視器擷取網路資料傳輸

基底的子狀態程式碼上進行疑難排解

一旦您知道 HTTP 的子狀態碼,焦點放在該特定的子狀態的相關問題。您可以忽略所有其他人。
HTTP 401.1: 拒絕由無效的使用者認證
描述

IIS 無法登入執行要求的使用者。即使要求是匿名,必須與一個使用者相關聯的所有要求。

常見的原因
  • 會提供錯誤的使用者名稱或密碼。識別使用者,無法登入,並修正的使用者名稱或密碼。
  • Kerberos 驗證會失敗。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    326985? (http://support.microsoft.com/kb/326985/ ) 如何疑難排解與 Kerberos 相關的問題,在 IIS 中
    其他有用的 Kerberos 文章如下所示:
    871179? (http://support.microsoft.com/kb/871179/ ) 您會收到一個"未經授權的 HTTP 錯誤 401.1-: 因為無效的認證,拒絕存取 」 當您嘗試存取是 IIS 6.0 應用程式集區的一部分的 Web 網站時,出現錯誤訊息
    使用 IIS 6.0 (IIS 6.0) 設定應用程式集區識別
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f05a7c2b-36b0-4b6e-ac7c-662700081f25.mspx (http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f05a7c2b-36b0-4b6e-ac7c-662700081f25.mspx)

    整合式的 Windows 驗證 (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx (http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx)

    設定有限的委派的 Kerberos (IIS 6.0)
    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/df979570-81f6-4586-83c6-676bb005b13e.mspx (http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/df979570-81f6-4586-83c6-676bb005b13e.mspx)
  • 本機或網域原則] 或 [使用者權利指派可防止使用者存取伺服器。如果伺服器設定為稽核登入失敗時,可能是在安全性記錄檔中的其他資訊。 請參閱下列文件的必要的使用者權限:
    812614? (http://support.microsoft.com/kb/812614/ ) 預設權限和 IIS 6.0 的使用者權限
    271071? (http://support.microsoft.com/kb/271071/ ) 如何設定所 IIS 5.0 Web 伺服器需 NTFS 權限和使用者權限
    832981? (http://support.microsoft.com/kb/832981/ ) 安全性事件記錄檔已滿時,使用者無法存取網站
    300549? (http://support.microsoft.com/kb/300549/ ) 如何啟用並套用安全性稽核在 Windows 2000 中
  • 設定匿名存取時,也可能會發生這個錯誤。如果使用者名稱或儲存在 IIS Metabase 中匿名帳戶的密碼不同於實際的資訊儲存在本機使用者資料庫 (或 Active Directory 目錄服務),如果使用網域帳戶,則可能發生這種情況。重設密碼之帳戶,並在 IIS 中解決此問題。
  • 升級伺服器,IIS 6.0 中執行 IIS 5.0 之後 IIS 在 IIS 5.0 相容性模式中執行。一旦伺服器切換到 IIS 6.0 的隔離模式上看到的可能 HTTP 401.1 錯誤匿名要求。這是由於 IIS 5.0 匿名密碼同步處理。若要解決這個問題,將 AnonymousPasswordSync Metabase 機碼設定為 false,然後重設帳戶和 IIS 中的匿名使用者的密碼]。
  • 如更多有關此錯誤的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
    896861? (http://support.microsoft.com/kb/896861/ ) 當您瀏覽的網站,使用 「 整合式驗證 」 且裝載在 IIS 5.1 或 IIS 6 上時,收到錯誤 401.1
    304201? (http://support.microsoft.com/kb/304201/ ) 無法的存取 Web 網站,或無法啟動 IIS 服務的非本機系統帳戶] 和 [使用 Windows 驗證,使用 IIS 下執行
    263140? (http://support.microsoft.com/kb/263140/ ) 當您連線到 IIS 5.0 在網域控制站上時,出現匿名和 Basic 驗證失敗
HTTP 401.2: 「 拒絕 」 的伺服器組態
描述

用戶端瀏覽器和 IIS 可能不同意驗證通訊協定。

常見的原因
  • 在 IIS 中已選取 [(包括匿名) 的驗證通訊協定]。必須選取至少一個驗證類型。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    253667? (http://support.microsoft.com/kb/253667/ ) 錯誤訊息: 未授權的 HTTP 401.2-: 登入失敗,因為具有不需要經過驗證的伺服器組態
  • 啟用只整合式的驗證及檔案的較舊,非-網際網路總管用戶端瀏覽器嘗試存取網站。會發生這種情況是因為用戶端瀏覽器無法執行整合式的驗證。如果要解決這個問題,使用下列方法之一:
    • 將 IIS 設定為接受基本驗證。基於安全理由,這應該只會透過 SSL。
    • 使用可執行整合式的驗證的用戶端瀏覽器。Internet Explorer 和新版本的 Netscape 導覽] 和 Mozilla Firefox 可以執行整合式的驗證。
  • 整合式的驗證是透過 Proxy。會發生這種情況是因為 Proxy 不會維護 NTLM 驗證連接,並因此將從用戶端匿名要求傳送至伺服器。如果要解決這個問題的選項如下所示:
    • 將 IIS 設定為接受基本驗證。基於安全理由,這應該只會透過 SSL。
    • 不要使用 proxy。
資源 ACL 被拒絕 HTTP 401.3:
描述

當使用者成功通過驗證與伺服器,但是使用者並沒有要求內容的 NTFS 權限時,就會傳回這個錯誤。

常見的解決方案
  • 在內容上正確設定 NTFS 權限。檢閱 「 要求 NTFS 權限 」 一節,下列文件:
    812614? (http://support.microsoft.com/kb/812614/ ) 預設權限和 IIS 6.0 的使用者權限
    271071? (http://support.microsoft.com/kb/271071/ ) 如何設定所 IIS 5.0 Web 伺服器需 NTFS 權限和使用者權限
  • 請確認設定正確的驗證方法。例如當您使用 [整合式的驗證的使用者不會提示輸入驗證認證。在這個執行個體可能如果要求驗證或不清楚。
  • 如果內容位於遠端共用,請確認使用者具有足夠的 NTFS 和共用使用權限。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    332142? (http://support.microsoft.com/kb/332142/ ) 在 UNC 共用上的內容的 NTLM 要求可能會傳回 401 錯誤訊息
HTTP 401.4: 拒絕被自訂 ISAPI 篩選器
描述

載入的 ISAPI 篩選器拒絕要求。

方案

識別哪些 ISAPI 篩選器拒絕該要求,並連絡開發人員或廠商,以決定方案。
HTTP 401.5: 拒絕由自訂 ISAPI/CGI Web 應用程式
描述

ISAPI 延伸或 CGI 應用程式拒絕要求。

方案

找出哪一個 ISAPI 擴充程式或 CGI 應用程式拒絕該要求,並連絡開發人員或廠商,以決定方案。
回此頁最上方

摘要

在摘要,當您疑難排解 HTTP 401 錯誤時第一個步驟應永遠在以判斷子狀態碼。
  • 401.1: 嘗試,驗證但無法驗證。
  • 401.2: 因為伺服器和用戶端可能不同意的驗證通訊協定,所以未嘗試驗證。
  • 401.3: 驗證成功,但通過驗證的帳戶沒有足夠的權限可存取要求的資源或內容。
  • 401.4: ISAPI 篩選器拒絕要求。
  • 401.5: 一個 ISAPI 擴充程式或 CGI 應用程式拒絕要求。
回此頁最上方

有用的工具和資源

Microsoft 工具

第三方廠商工具

直到下一次感謝您您的時間,而且有很棒的天。 如往常請隨意送出想法在主題上您想要在未來的資料行或使用 Ask For It (http://support.microsoft.com/common/survey.aspx?scid=sw;en;1176&p0=&p1=&p2=&p3=&p4=) 表單的知識庫,附上地址。

Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。此連絡人資訊若有變更恕不另行通知。 Microsoft 不保證此第三方連絡資訊的正確性。

在本文所討論的協力廠商產品是由 Microsoft 以外的公司所製造的。Microsoft 可讓不以暗示或其他方式,效能或可靠性這些產品的保證。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 1.01
回此頁最上方
關鍵字:?
kbmt kbhowto kbinfo KB907273 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:907273? (http://support.microsoft.com/kb/907273/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。