文章編號: 926642 - 上次校閱: 2009年2月26日 - 版次: 2.2

當您嘗試使用 FQDN 或其 CNAME 別名,安裝 Windows Server 2003 Service Pack 1 後透過本機存取伺服器時,出現錯誤訊息: 存取拒絕 」 或 「 沒有網路提供者接受指定的網路路徑"

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
重要本文將告訴您,如何協助降低安全性設定或如何關閉電腦上的安全性功能的資訊。您可以進行這些變更,解決特定問題。進行這些變更之前,我們建議您先評估在特定環境中實作這項因應措施相關聯的風險。如果您要實作這項因應措施,採用任何其他的適當步驟,以協助保護您的系統。

全部展開 | 全部摺疊

徵狀

考慮下列案例。您在 Windows Server 2003 電腦上安裝 Microsoft Windows Server 2003 Service Pack 1 (SP1)。您執行這項操作之後您遇到驗證問題,當您嘗試存取伺服器在本機利用其完整格式的網域名稱 (FQDN) 或其 CNAME 別名在下列的通用命名慣例 (UNC) 路徑:
\ \ servername \ sharename
在這種情況下您會遇到其中一個下列的徵狀:
  • 您會收到重複的登入視窗。
  • 您收到 「 拒絕存取 」 錯誤訊息。
  • 您會收到一個 「 沒有網路提供者接受指定的網路路徑 」 錯誤訊息。
  • 安全性事件日誌會記錄事件識別碼 537。
附註您可以利用其 FQDN 或其 CNAME 別名從另一部電腦中安裝 Windows Server 2003 SP1 這個電腦以外的其他網路存取伺服器。此外,您可以使用下列路徑來存取本機電腦上的伺服器:
  • \ \ IPaddress-of-local-computer
  • \ \ Netbiosname 或 \ \ ComputerName
回此頁最上方

發生的原因

Windows Server 2003 SP1 包含新的安全性功能,名為回送核取功能,就會發生這個問題。預設情況下,反向迴圈核取功能已開啟在 Windows Server 2003 SP1 中,且 DisableLoopbackCheck 登錄項目的值設定為 0 (零)。

附註回送] 核取功能,儲存在下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
回此頁最上方

解決方案

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄


警告這項因應措施可能會使您的電腦] 或 [網路更容易遭受] 攻擊惡意使用者或惡意軟體 (例如病毒)。我們不建議這項因應措施,但會提供這項資訊,如此您可以在您自己慎重實作這項因應措施。這項因應措施您必須承擔使用自己的風險。

如果要解決這個問題,將 DisableStrictNameChecking 登錄項目設定為 1。此程序會說明知識庫文件 281308 < 參考 > 一節中所述。然後使用下列方法之一適合您的情況。

方法 1 (建議選項): 在 [NTLM 驗證要求中建立可參考 [本機安全性授權主機名稱

如果要執行此動作請在請在用戶端電腦上依照下列步驟執行的所有節點]:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並按一下下列登錄子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. MSV1_0] 上按一下滑鼠右鍵,指向 [新增],然後再按一下 [多字串值
  4. 在 [名稱] 欄鍵入 BackConnectionHostNames,並按下 ENTER。
  5. BackConnectionHostNames,] 上按一下滑鼠右鍵,然後按一下 [修改]
  6. 在 [數值 資料] 方塊輸入 [CNAME 或 DNS 別名,用於在電腦上本機共用,然後再按一下 [[確定]

    附註個別的行上鍵入每個主機名稱。

    附註如果 BackConnectionHostNames 登錄項目存在,它 REG_DWORD 類型,您必須刪除 BackConnectionHostNames 登錄項目。
  7. 結束 「 登錄編輯程式 」,並重新啟動電腦。

方法 2: 停用驗證回送檢查

重新啟用設定中的 DisableLoopbackCheck 登錄項目存在於 Windows Server 2003 中的行為在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry
子機碼為 1。如果要將 DisableLoopbackCheck 登錄項目設定為 1,請在用戶端電腦上依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並按一下下列登錄子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Lsa] 上按一下滑鼠右鍵,指向 [新增],然後再按一下 [DWORD 值]。
  4. 鍵入 DisableLoopbackCheck,並按下 ENTER。
  5. DisableLoopbackCheck,] 上按一下滑鼠右鍵,然後按一下 [修改]
  6. 數值資料] 方塊中鍵入 1,再按 [確定]
  7. 結束登錄編輯程式。
  8. 重新啟動電腦。
附註您必須重新啟動伺服器,讓這個變更才會生效。預設情況下,反向迴圈核取功能已開啟在 Windows Server 2003 SP1 中,且 DisableLoopbackCheck 登錄項目設定為 0 (零)。當您停用驗證回送檢查並開啟 Windows Server 2003 伺服器上 NTLM 在中間男人 (MITM) 攻擊,會降低安全性。
回此頁最上方

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。
回此頁最上方

其他相關資訊

安裝安全性更新 957097 之後,例如 SQL Server 或網際網路資訊服務 (IIS) 的應用程式可能無法進行本機 NTLM 驗證要求時。 如需有關如何解決這個問題的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
957097? (http://support.microsoft.com/kb/957097/ ) MS08-068: SMB 的弱點可能會允許遠端程式碼執行
請參閱知識庫文件 957097 如需詳細資訊有關如何解決問題 「 已知發出含有此安全性更新 」 一節。
回此頁最上方
如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
281308? (http://support.microsoft.com/kb/281308/ ) 連線到 Windows 2000 架構的電腦] 或 [Windows Server 2003 電腦上的 SMB 共用可能不適用於別名名稱
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
回此頁最上方
關鍵字:?
kbmt kbtshoot kbexpertiseinter kbprb KB926642 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:926642? (http://support.microsoft.com/kb/926642/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。