Message d’erreur lorsque vous essayez d’accéder à un serveur localement à l’aide de son nom de domaine complet ou de son alias CNAME après avoir installé Windows Server 2003 Service Pack 1 : Accès refusé ou Aucun fournisseur réseau n’a accepté le chemin réseau donné

  • Article

Cet article fournit une solution à une erreur qui se produit lorsque vous essayez d’accéder à un serveur localement à l’aide de son nom de domaine complet ou de son alias CNAME.

Produits concernés : Windows 7 Service Pack 1, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 926642

Remarque

Cet article contient des informations qui vous montrent comment réduire les paramètres de sécurité ou comment désactiver les fonctionnalités de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Avant d’apporter ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement particulier. Si vous implémentez cette solution de contournement, prenez toutes les mesures supplémentaires appropriées pour protéger votre système.

Symptômes

Prenons le cas de figure suivant. Vous installez Microsoft Windows Server 2003 Service Pack 1 (SP1) sur un ordinateur Windows Server 2003. Après cela, vous rencontrez des problèmes d’authentification lorsque vous essayez d’accéder à un serveur localement à l’aide de son nom de domaine complet (FQDN) ou de son alias CNAME dans le chemin d’accès UNC (Universal Naming Convention) : \\servername\sharename.

Dans ce scénario, vous rencontrez l’un des symptômes suivants :

  • Vous recevez des fenêtres d’ouverture de session répétées.
  • Vous recevez un message d’erreur « Accès refusé ».
  • Vous recevez un message d’erreur « Aucun fournisseur réseau n’a accepté le chemin d’accès réseau donné ».
  • L’ID d’événement 537 est enregistré dans le journal des événements de sécurité.

Remarque

Vous pouvez accéder au serveur à l’aide de son nom de domaine complet ou de son alias CNAME à partir d’un autre ordinateur du réseau que celui sur lequel vous avez installé Windows Server 2003 SP1. En outre, vous pouvez accéder au serveur sur l’ordinateur local à l’aide des chemins d’accès suivants :

  • \\Adresse IP de l’ordinateur local
  • \\Netbiosname ou \\ComputerName

Cause

Ce problème se produit car Windows Server 2003 SP1 inclut une nouvelle fonctionnalité de sécurité nommée bouclage case activée fonctionnalité. Par défaut, le bouclage case activée fonctionnalité est activé dans Windows Server 2003 SP1 et la valeur de l’entrée de Registre DisableLoopbackCheck est définie sur 0 (zéro).

Remarque

La fonctionnalité de bouclage case activée est stockée dans la sous-clé de Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Résolution

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Remarque

Ce contournement peut rendre votre ordinateur ou réseau plus vulnérable aux attaques provenant d'utilisateurs ou de logiciels (virus, par exemple) malveillants. Nous ne recommandons pas cette solution de contournement, mais nous fournissons ces informations afin que vous puissiez implémenter cette solution de contournement à votre propre discrétion. Son utilisation relève de votre responsabilité.

Pour résoudre ce problème, définissez l’entrée de Registre DisableStrictNameChecking sur 1. Ensuite, utilisez l’une des méthodes suivantes, en fonction de votre situation.

Pour ce faire, procédez comme suit pour tous les nœuds sur l’ordinateur client :

  1. Cliquez sur Démarrer et sur Exécuter, tapez regedit, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Cliquez avec le bouton droit sur MSV1_0, pointez sur Nouveau, puis cliquez sur Valeur multi-chaîne.

  4. Dans la colonne Nom , tapez BackConnectionHostNames, puis appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur BackConnectionHostNames, puis cliquez sur Modifier.

  6. Dans la zone Données de la valeur , tapez le CNAME ou l’alias DNS utilisé pour les partages locaux sur l’ordinateur, puis cliquez sur OK.

    Remarque

    • Tapez chaque nom d’hôte sur une ligne distincte.
    • Si l’entrée de Registre BackConnectionHostNames existe en tant que type REG_DWORD, vous devez supprimer l’entrée de Registre BackConnectionHostNames.

  7. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.

Méthode 2 : Désactiver le bouclage d’authentification case activée

Réactivez le comportement existant dans Windows Server 2003 en définissant l’entrée de Registre DisableLoopbackCheck dans la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry sous-clé sur 1. Pour définir l’entrée de Registre DisableLoopbackCheck sur 1, procédez comme suit sur l’ordinateur client :

  1. Cliquez sur Démarrer et sur Exécuter, tapez regedit, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Cliquez avec le bouton droit sur Lsa, pointez sur Nouveau, puis cliquez sur Valeur DWORD .

  4. Tapez DisableLoopbackCheck, puis appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur DisableLoopbackCheck, puis cliquez sur Modifier.

  6. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.

  7. Fermez l’Éditeur du Registre.

  8. Redémarrez l'ordinateur.

Remarque

Vous devez redémarrer le serveur pour que cette modification prenne effet. Par défaut, le bouclage case activée fonctionnalité est activé dans Windows Server 2003 SP1 et l’entrée de Registre DisableLoopbackCheck est définie sur 0 (zéro). La sécurité est réduite lorsque vous désactivez le bouclage d’authentification case activée et que vous ouvrez le serveur Windows Server 2003 pour les attaques mitm (man-in-the-middle) sur NTLM.

Statut

Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés au début de cet article.

Plus d’informations

Après avoir installé 957097 de mise à jour de sécurité, des applications telles que SQL Server ou IIS (Internet Information Services) peuvent échouer lors de l’envoi de demandes d’authentification NTLM locales.

Pour plus d’informations sur la résolution de ce problème, consultez la section « Problèmes connus liés à cette mise à jour de sécurité » de l’article de la Base de connaissances 957097.