أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

تظهر رسالة الخطأ "خطأ HTTP 401.1 - غير مصرح به: تم رفض الوصول نظراً لأن بيانات الاعتماد غير صالحة" عند محاولة الوصول إلى موقع ويب الذي يعد جزءًا من تجمع تطبيقات IIS 6.0

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية871179
الأعراض
عند محاولة الوصول إلى موقع ويب Microsoft إنترنت معلومات Services (IIS) 6.0 التي تم تكوينها لاستخدام مصادقة Windows المدمجة، فستتم مطالبتك ببيانات الاعتماد المستخدم. عند محاولة تسجيل الدخول، تظهر مطالبة تسجيل الدخول مرة أخرى. بعد محاولة تسجيل الدخول ثلاث مرات، تتلقى رسالة الخطأ التالية:
خطأ HTTP 401.1-غير مصرح به: تم رفض الوصول نظراً لبيانات الاعتماد غير صالحة.
السبب
قد يحدث هذا السلوك إذا تحققت الشروط التالية:
  • موقع ويب IIS 6.0 جزء من تجمع تطبيقات IIS.
  • يتم تشغيل تجمع التطبيقات ضمن حساب محلي أو تحت حساب مستخدم مجال.
  • تم تكوين موقع ويب لاستخدام مصادقة Windows المدمجة.
في هذا السيناريو، عند محاولة استخدام Kerberos، مصادقة Windows المتكاملة مصادقة Kerberos قد لا تعمل. لاستخدام مصادقة Kerberos، يجب تسجيل خدمة اسم خدمة أساسي (SPN) ضمن الحساب في خدمة الدليل "Active Directory" التي يتم تشغيل الخدمة تحت. بشكل افتراضي، Active Directory بتسجيل اسم الكمبيوتر نظام الإدخال/الإخراج الأساسي (NetBIOS) شبكة الاتصال. كما يسمح active Directory "خدمة شبكة الاتصال" أو حساب "النظام المحلي" لاستخدام Kerberos.
الحل
في حالة حدوث هذا السلوك عند تشغيل تجمع التطبيقات ضمن حساب محلي، اتبع الخطوات المذكورة في قسم "الحل البديل".

لحل هذه المشكلة عند تشغيل تجمع التطبيقات ضمن حساب مستخدم مجال، قم بإعداد SPN HTTP مع اسم NetBIOS واسم المجال المؤهل بالكامل (FQDN) حساب مستخدم مجال تشغيل تجمع التطبيقات ضمن. للقيام بذلك، اتبع الخطوات التالية على وحدة تحكم مجال:

هام لا يمكن ترك SPN لخدمة مقترنة بحساب واحد. لذلك، إذا كنت تستخدم هذا الحل المقترح، لا يمكن استخدام أي تجمع التطبيقات الأخرى قيد التشغيل ضمن حساب مستخدم مجال آخر باستخدام مصادقة Windows المدمجة.
  1. تثبيت الأداة Setspn.exe. للحصول على أداة Setspn.exe لنظام التشغيل Microsoft Windows Server 2003، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
    970536 تحديث أداة دعم Setspn.exe Windows Server 2003
  2. بدء تشغيل موجه الأوامر، ثم قم بتغيير إلى الدليل حيث قمت بتثبيت Setspn.exe.
  3. في موجه الأوامر، اكتب الأوامر التالية. اضغط المفتاح ENTER بعد كل أمر:
    setspn.exe-S http/IIS_computer ' s_NetBIOS_name اسم المجال\اسم المستخدم

    setspn.exe-S http/IIS_computer ' s_FQDN اسم المجال\اسم المستخدم
    ملاحظةاسم المستخدم هو حساب المستخدم الذي يتم تشغيل تجمع التطبيقات ضمن. أيضا لاحظ أنه في حالة تشغيل الأمر setspn.exe على جهاز Windows 2000، استخدم رمز التبديل-بدلاً من رمز التبديل-S.
بعد تعيين SPN لخدمة HTTP إلى حساب مستخدم المجال الذي يقوم بتشغيل تجمع التطبيقات، يمكنك الاتصال بنجاح إلى موقع ويب دون المطالبة ببيانات الاعتماد المستخدم.
الحل البديل
لحل هذا السلوك إذا كان لديك عدة تجمعات التطبيقات التي تعمل تحت حسابات مستخدمي المجال مختلفة, يجب فرض IIS لاستخدام NTLM كآلية المصادقة الخاصة بك إذا كنت تريد استخدام مصادقة Windows المدمجة. للقيام بذلك، اتبع الخطوات التالية على الخادم الذي يقوم بتشغيل IIS:
  1. بدء تشغيل موجه الأوامر.
  2. حدد موقع ثم قم بتغيير إلى الدليل الذي يحتوي على الملف Adsutil.vbs. بشكل افتراضي، هذا الدليل هو C:\Inetpub\Adminscripts.
  3. اكتب الأمر التالي، واضغط على ENTER:
    تعيين cscript adsutil.vbs w3svc/نتاوثينتيكاتيونبروفيديرس "NTLM"
  4. للتحقق من نتاوثينتيكاتيونبروفيديرس يتم تعيين خاصية قاعدة التعريف ل NTLM واكتب الأمر التالي ثم اضغط مفتاح الإدخال ENTER:
    الحصول على adsutil.vbs cscript w3svc/نتاوثينتيكاتيونبروفيديرس
    يجب أن يتم إرجاع النص التالي:
    NTAuthenticationProviders       : (STRING) "NTLM"
تصريح
هذا السلوك حسب التصميم.
معلومات أخرى
إذا قمت بتعيين SPN باستخدام FQDN الملقم الذي يشغل IIS فقط، فستطالب ببيانات الاعتماد المستخدم بعد 30 دقيقة. يحدث المهلة 30 دقيقة بسبب الطريقة التي أن Internet Explorer وتخزين معلومات نظام اسم المجال (DNS). بعد 30 دقيقة، يعود Internet Explorer إلى اسم NetBIOS. ولذلك، يجب التأكد من أن تقوم أيضا بتسجيل SPN باستخدام اسم NetBIOS الملقم الذي يشغل IIS لتجنب المطالبة ببيانات الاعتماد المستخدم.لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
263558كيفية استخدام Internet Explorer ذاكرة التخزين المؤقت لإدخالات DNS المضيف
للتحقق من SPNs المسجلة لحساب المستخدم الذي يتم تشغيل تجمع التطبيقات الخاص بك تحت، بدء تشغيل موجه الأوامر واكتب الأمر التالي من الدليل حيث تم تثبيت Setspn.exe واضغط على ENTER:
setspn.exe-l اسم المستخدم
يتم إرجاع قائمة SPNs المسجلة لحساب المستخدم.

خدمات معلومات إنترنت (IIS) 7.0

يمكن أيضا تطبيق المواضيع المطروحة في هذه المقالة IIS 7.0 إذا تحقق أحد الشروط التالية:
  • تم تعطيل "المصادقة وضع" kernel.
  • تمكين "مصادقة وضع" kernel، و أوسيببولكريدينتيالس يتم تعيين السمة إلى القيمة TRUE.
مراجع
للحصول على معلومات إضافية حول استخدام مصادقة Windows المدمجة مع تجمعات تطبيقات IIS، قم بزيارة موقع Microsoft التالي على الويب:للحصول على معلومات إضافية حول فشل المصادقة أو فشل التحكم بالوصول في IIS، قم بزيارة موقع Microsoft التالي على الويب:ملاحظة تم تصميم الأداة AuthDiag لمساعدتك عندما ترى أي من رسائل الخطأ التالية:
  • فشل تسجيل الدخول 401.1
  • 401.3 ACL
أداة AuthDiag أيضا تساعد في حالة مواجهة مشكلات Kerberos.

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 871179 - آخر مراجعة: 06/07/2013 04:13:00 - المراجعة: 6.0

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0

  • kbtshoot kbprb kbmt KB871179 KbMtar
تعليقات
/html>