Mensagem de erro quando tenta aceder a um servidor localmente utilizando o FQDN ou o alias CNAME depois de instalar o Windows Server 2003 Service Pack 1: "acesso negado" ou "nenhum fornecedor de rede aceitou o caminho de rede indicado"

Considere o seguinte cenário. Instalar o Microsoft Windows Server 2003 Service Pack 1 (SP1) num computador com o Windows Server 2003. Depois de o fazer, detecta problemas de autenticação quando tenta aceder a um servidor localmente utilizando seu nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) ou o alias CNAME no seguinte caminho de convenção de nomenclatura universal (UNC):Neste cenário, poderá detectar um dos seguintes sintomas:

• Receberá janelas repetidas de início de sessão.
• Recebe uma mensagem de erro "Acesso negado".
• Recebe uma "nenhum fornecedor de rede aceitou o caminho de rede indicado" mensagem de erro.
• ID de evento 537 é registado no registo de eventos de segurança.

Nota É possível aceder ao servidor utilizando o FQDN ou respectivo alias CNAME de outro computador na rede que não seja este computador no qual instalou o Windows Server 2003 SP1. Além disso, podem aceder ao servidor no computador local utilizando os seguintes caminhos:

• \\ IPaddress-of-local-computer
• \\ Netbiosname ou \\ ComputerName

Este problema ocorre porque o Windows Server 2003 SP1 inclui uma nova funcionalidade de segurança com o nome a funcionalidade de verificação do loopback. Por predefinição, a funcionalidade de verificação do loopback está activada no Windows Server 2003 SP1 e o valor da entrada de registo DisableLoopbackCheck é definido como 0 (zero).

NotaA funcionalidade de verificação do loopback é armazenada na seguinte subchave de registo:

Importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

Aviso Esta medida pode tornar o computador ou rede mais vulnerável a ataques por utilizadores mal intencionados ou software malicioso como vírus. A Microsoft não recomenda esta solução alternativa mas está a fornecer estas informações para que pode implementar esta solução alternativa à sua própria responsabilidade. Usar esta solução por sua própria conta e risco.

Para resolver este problema, defina a entrada de registo DisableStrictNameChecking 1. Este procedimento é descrito no artigo da base de dados de conhecimento da 281308 mencionada na secção "Referências". Em seguida, utilize um dos seguintes métodos, conforme for adequado à sua situação.

Método 1 (recomendado): criar os nomes de anfitrião de autoridade de segurança local que podem ser referenciados num pedido de autenticação NTLM

Para tal, siga estes passos para todos os nós no computador cliente:

1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
2. Localize e clique na seguinte subchave do registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3. Clique com o botão direito do rato MSV1_0, aponte para Novo e, em seguida, clique em Valor de múltiplas cadeias.
4. Na coluna <a0>nome</a0>, escreva BackConnectionHostNames e, em seguida, prima ENTER.
5. Clique com o botão direito do rato BackConnectionHostNames e, em seguida, clique em Modificar.
6. Na caixa de dados do valor, escreva o CNAME ou o alias de DNS, é utilizado para as partilhas locais no computador e, em seguida, clique em OK.
   
   NotaEscreva cada nome de anfitrião numa linha separada.
   
   NotaSe a entrada do registo BackConnectionHostNames existir como um tipo REG_DWORD, tem de eliminar a entrada do registo BackConnectionHostNames.
7. Saia do Editor de registo e, em seguida, reinicie o computador.

Método 2: Desactivar a verificação do loopback autenticação

Reactivar o comportamento que existe no Windows Server 2003, definindo a entrada de registo DisableLoopbackCheck no subchave para 1. Para definir a entrada de registo DisableLoopbackCheck para 1, siga estes passos no computador cliente:

1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
2. Localize e clique na seguinte subchave do registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Clique com o botão direito do rato LSA, aponte para Novo e, em seguida, clique em <a2>valor DWORD.
4. Escreva DisableLoopbackCheck e, em seguida, prima ENTER.
5. Clique com o botão direito do rato DisableLoopbackCheck e, em seguida, clique em Modificar.
6. Na caixa dados do valor, escreva 1 e, em seguida, clique em OK.
7. Sair do Editor de registo.
8. Reinicie o computador.

NotaTem de reiniciar o servidor para que esta alteração tenha efeito. Por predefinição, a funcionalidade de verificação do loopback está activada no Windows Server 2003 SP1 e a entrada de registo DisableLoopbackCheck estiver definida como 0 (zero). A segurança é reduzida quando desactivar a verificação do loopback autenticação e abrir o servidor do Windows Server 2003 para man-in-the-middle (MITM) ataques NTLM.

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Depois de instalar a actualização de segurança 957097, aplicações, tais como o SQL Server ou serviços de informação Internet (IIS) poderão falhar ao efectuar pedidos de autenticação NTLM locais. Para obter mais informações sobre como resolver este problema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: Consulte a secção "Problemas conhecidos com esta actualização de segurança" do artigo KB 957097 para obter detalhes sobre como resolver o problema.

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: