Mensagem de erro ao tentar acessar um servidor localmente usando seu FQDN ou CNAME do seu alias após instalar o Windows Server 2003 Service Pack 1: "acesso negado" ou "nenhum provedor de rede aceitou o caminho da rede"

Considere o cenário a seguir. Você instalar o Microsoft Windows Server 2003 Service Pack 1 (SP1) em um computador baseado no Windows Server 2003. Depois de fazer isso, você enfrentar problemas de autenticação quando você tenta acessar um servidor localmente usando o nome de domínio totalmente qualificado (FQDN) ou seu CNAME do alias no seguinte caminho de convenção universal de nomenclatura (UNC):Nesse cenário, você perceber um dos seguintes sintomas:

• Você recebe as janelas de logon repetidas.
• Você receber uma mensagem de erro "Acesso negado".
• Você receberá um "nenhum provedor de rede aceitou o caminho da rede" mensagem de erro.
• ID do evento 537 é registado no log de eventos de segurança.

Observação: Você pode acessar o servidor usando seu FQDN ou o CNAME do alias de outro computador na rede diferente neste computador em que você instalou o Windows Server 2003 SP1. Além disso, você pode acessar o servidor no computador local, usando os seguintes caminhos:

• \\ IPaddress-of-local-computer
• \\ Netbiosname ou \\ ComputerName

Esse problema ocorre porque o Windows Server 2003 SP1 inclui um novo recurso de segurança chamado funcionalidade de verificação de loopback. Por padrão, funcionalidade de verificação de auto-retorno está ativada no Windows Server 2003 SP1 e o valor da entrada do registro DisableLoopbackCheck é definido como 0 (zero).

Observação:A funcionalidade de verificação de loopback é armazenada na seguinte subchave do registro:

Importante Nesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Aviso Essa solução alternativa pode tornar seu computador ou sua rede mais vulneráveis aos ataques de usuários ou softwares mal-intencionados como vírus. Nós não recomendamos esta solução alternativa, mas fornecemos para que você possa implementar esta solução alternativa à sua própria responsabilidade. Use esta solução alternativa por seu próprio risco.

Para resolver esse problema, defina a entrada de registro DisableStrictNameChecking como 1. Esse procedimento é descrito o artigo da Base de dados de Conhecimento 281308 mencionada na seção "Referências". Use um dos seguintes métodos, conforme apropriado para sua situação.

Método 1 (recomendado): criar os nomes de host de autoridade de segurança local podem ser referenciados em uma solicitação de autenticação NTLM

Para fazer isso, execute as seguintes etapas para todos os nós no computador cliente:

1. Clique em Iniciar, clique em Executar, digite regedit e, em seguida, clique em OK.
2. Localize e, em seguida, clique na seguinte subchave do registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
3. Clique com o botão direito do mouse em <a0>Msv1_0, aponte para novo e, em seguida, clique em Valor de seqüência múltipla.
4. Na coluna nome, digite BackConnectionHostNames e pressione ENTER.
5. Clique com o botão direito do mouse BackConnectionHostNames e, em seguida, clique em Modificar.
6. Na caixa dados do valor, digite o CNAME ou o alias de DNS, que é utilizado para os compartilhamentos locais no computador e clique em OK.
   
   Observação:Digite o nome de cada host em uma linha separada.
   
   Observação:Se a entrada de Registro BackConnectionHostNames existir como um tipo REG_DWORD, você precisa excluir a entrada do Registro BackConnectionHostNames.
7. Saia do Editor do registro e reinicie o computador.

Método 2: Desativar a verificação de loopback de autenticação

Reativar o comportamento que existe no Windows Server 2003 definindo a entrada de registro DisableLoopbackCheck subchave para 1. Para definir a entrada de registro DisableLoopbackCheck como 1, execute as seguintes etapas no computador cliente:

1. Clique em Iniciar, clique em Executar, digite regedit e, em seguida, clique em OK.
2. Localize e, em seguida, clique na seguinte subchave do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Clique com o botão direito do mouse em LSA, aponte para novo e, em seguida, clique em valor DWORD.
4. Digite DisableLoopbackCheck e, em seguida, pressione ENTER.
5. Clique com o botão direito do mouse DisableLoopbackCheck e, em seguida, clique em Modificar.
6. Na caixa dados do valor, digite 1 e, em seguida, clique em OK.
7. Feche o Editor do registro.
8. Reinicie o computador.

Observação:Você deve reiniciar o servidor para que esta alteração tenha efeito. Por padrão, funcionalidade de verificação de auto-retorno está ativada no Windows Server 2003 SP1 e a entrada de registro DisableLoopbackCheck é definida como 0 (zero). A segurança é reduzida quando você desativar a verificação de loopback de autenticação e abra o servidor do Windows Server 2003 para man-in-the-middle (MITM) ataques NTLM.

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Depois de instalar a atualização de segurança 957097, aplicativos, como o SQL Server ou Internet Information Services (IIS) podem falhar ao fazer solicitações de autenticação NTLM locais. Para obter mais informações sobre como resolver esse problema, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Consulte a seção "Problemas conhecidos com esta actualização de segurança" do artigo KB 957097 para obter detalhes sobre como resolver o problema.

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: