أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

يواجه المستخدمون مشكلات المصادقة عند الوصول إلى صفحة ويب في IIS 6.0 أو استعلام SQL Server 2000 بعد تثبيت Windows Server 2003 المزود بحزمة الخدمة Service Pack 1

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية887993


الأعراض
ترقية جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 ويقوم بتشغيل Microsoft خدمات معلومات إنترنت (IIS) 6.0 أو SQL Server 2000 إلى Windows Server 2003 المزود بحزمة الخدمة Service Pack 1 (SP1). بعد القيام بذلك، يواجه المستخدمون مشكلات المصادقة عند استخدامهم تطبيقات ويب أو عند استخدامهم برنامج يقوم باستعلام قاعدة البيانات. على سبيل المثال، قد تواجه أحد المستخدمين الأعراض التي تشبه أحد الإجراءات التالية:
  • يتلقى المستخدم رسالة خطأ "تم رفض وصول" عندما يحاول المستخدم الوصول إلى صفحة ويب باسترداد البيانات من قاعدة بيانات ذات النهاية الخلفية.
  • يتعذر على المستخدم الاتصال بملقم قاعدة بيانات آخر موجود في كتلة تعتمد موازنة تحميل شبكة اتصال (NLB). فشل استعلامات إلى ملقم قاعدة البيانات.
قد تختلف الأعراض التي تواجهها المستخدمين استناداً إلى بيئة التشغيل الخاصة بك.
السبب
تحدث هذه المشكلة في حالة غير مصادقة إلى الاسم الرئيسي للخدمة (SPN) الخدمة. غير مصادقة في SPN إذا لم يتم تسجيله في SPN لحساب خدمة. تتضمن حزمة الخدمة SP1 الخاصة بنظام التشغيل Windows Server 2003 الاسترجاع الاختيار الوظائف المخزنة في إدخال التسجيل التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
بشكل افتراضي، وظيفة الاختيار الاسترجاع قيد التشغيل في "نظام التشغيل Windows Server 2003 المزود بحزمة الخدمة" وإعادة تعيين إدخال التسجيل DisableLoopbackCheck إلى 0 (صفر). منع وظيفة الاختيار الاسترجاع تسجيل SPN في البرنامج.
الحل
هام هذا المقطع أو أسلوب أو المهمة على خطوات إخبارك عن كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من اتبع الخطوات التالية بعناية. المضافة للحماية عمل نسخة احتياطية من السجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (ينتقل بك هذا الارتباط إلى صفحة قد يكون محتواها كله أو جزء منه باللغة الإنجليزية):
322756كيفية عمل نسخة احتياطية واستعادته في Windows

هام بشكل افتراضي، تشغيل وظيفة الاختيار الاسترجاع في حزمة الخدمة SP1 الخاصة بنظام التشغيل Windows Server 2003 ثم تعيين إدخال التسجيل DisableLoopbackCheck إلى 0 (صفر). يتم تقليل الأمان عند تعطيل الاختيار الاسترجاع المصادقة وقمت بفتح الملقم Windows Server 2003 عن هجمات رجل - in-the-middle (MITM) على NTLM. لتجنب الهجمات MITM قيمة إدخال التسجيل يجب إرجاع إلى صفر (0) بعد إجراء التغييرات SPN. كما يعتبر الطريقة الأولى الحل المفضل.

الطريقة الأولى: إنشاء أسماء المضيفين "مرجع الأمان المحلي" التي يمكن الرجوع إليها في طلب مصادقة NTLM (المفضلة)

  1. انقر فوق ابدأ ثم انقر فوق تشغيل اكتب regedit ثم انقر فوق موافق.
  2. حدد موقع في "محرر التسجيل" ، ثم انقر فوق مفتاح التسجيل التالي:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. انقر بزر الماوس الأيمن فوق MSV1_0 أشر إلى جديد ثم انقر فوق قيمة السلاسل المتعددة.
  4. اكتب BackConnectionHostNames ثم اضغط مفتاح الإدخال ENTER.
  5. انقر بزر الماوس الأيمن فوق BackConnectionHostNames له ثم انقر فوق تعديل.
  6. في المربع "بيانات القيمة" ، اكتب اسم المضيف أو اسم المضيف للمواقع التي يتم على الكمبيوتر المحلي ثم انقر فوق موافق.
  7. قم بإنهاء "محرر التسجيل" ثم قم بإعادة تشغيل الخادم هذا التغيير نافذ المفعول.

الأسلوب 2: تعطيل الاختيار الاسترجاع المصادقة وتسجيله في SPN مع الحساب الذي تعمل الخدمة تحته

لحل هذه المشكلة، قم بتعطيل الاختيار الاسترجاع المصادقة ثم قم بالتسجيل في SPN مع الحساب الذي تعمل الخدمة تحته. للقيام بذلك، قم بتعيين الإدخال DisableLoopbackCheck
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
التسجيل المفتاح الفرعي 1 فيه ثم تحديد اسم SPN.

خطوة 1: تعيين إدخال التسجيل DisableLoopbackCheck إلى 1

  1. انقر فوق ابدأ ، ثم انقر فوق تشغيل ، اكتب regedit ثم انقر فوق موافق.
  2. حدد موقع ثم انقر فوق مفتاح التسجيل الفرعي التالي:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. انقر بزر الماوس الأيمن فوق DisableLoopbackCheck له ثم انقر فوق تعديل.
  4. اكتب 1 في المربع "بيانات القيمة ثم انقر فوق موافق.

الخطوة 2: لتحديد اسم SPN

  1. إضافة إدخالات التسجيل التالية ثم قم بتعيين كل إدخال التسجيل إلى القيمة المناسبة كما يلي:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel

      قيمة: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile

      قيمة: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel

      قيمة: c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel

      القيمة 1: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile

      قيمة: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel

      قيمة: c3
    لإضافة إدخال تسجيل اتبع الخطوات التالية:
    1. حدد موقع ثم انقر فوق مفتاح التسجيل الفرعي حيث تريد إضافة إدخال التسجيل.
    2. في القائمة تحرير أشر إلى جديد ثم انقر فوق قيمة DWORD.
    3. اكتب اسم إدخال السجل الذي تريد إضافته ثم اضغط مفتاح الإدخال ENTER.
    4. انقر بزر الماوس الأيمن فوق السجل الإدخال الذي قمت بإضافته في الخطوة 2 c ثم انقر فوق تعديل.
    5. اكتب القيمة المناسبة ذلك إدخال سجل، ثم انقر فوق موافق.
    6. كرر الخطوة 2أ خلال 2e لكل إدخال التسجيل الذي تريد إضافته.
    7. قم بإنهاء "محرر التسجيل".
  2. أعد تشغيل الكمبيوتر ثم إعادة إنشاء المشكلة. بعد القيام بذلك، يتم تسجيل رسالة خطأ معرف حدث مشابهة لما يلي في سجل النظام:
    النوع: خطأ
    المصدر: Kerberos
    الفئة: بلا
    معرف الحدث: 3
    الوصف: Kerberos خطأ يتم تلقي الرسائل:
    في جلسة عمل تسجيل الدخول
    وقت العميل:
    خادم التوقيت: TimeDate
    رمز الخطأ: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    خطأ الموسعة:
    المجال العميل:
    اسم العميل:
    المجال الملقم: .com DomainName
    اسم الخادم: MSSQLSvc / .com:1433 DomainName
    اسم الهدف: MSSQLSvc / ServerName. DomainName: 1433 @ DomainName.com
    خطأ في النص:
    الملف: 9
    خط: ab8
    تعد بيانات الخطأ في بيانات السجل.
    تحديد SPN من رسالة الخطأ "معرف الحدث. في هذا المثال، يتم SPN MSSQLSvc / .com:1433 DomainName.

الخطوة 3: استخدام أداة سطر الأوامر Setspn.exe لتسجيل SPN لحساب الخدمة المناسب

في IIS 6.0 حساب خدمة يتم عادةً حساب خدمة WWW تشغيله ضمن أو حساب تجمع التطبيقات يستخدم. في Microsoft SQL Server 2000 هو حساب خدمة حساب يقوم بتشغيل SQL Server 2000 ضمن. استخدم بناء الجملة التالي لإضافة SPN جديد:
setspn - a SPN DomainName \ AccountName

التالي مثال عن كيفية استخدام أداة سطر الأوامر Setspn.exe لإضافة SPN:
setspn - a DomainName MSSQLSvc/NLBNAME.corp.domain.com:1433 \ AccountName
معلومات أخرى
لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (ينتقل بك هذا الارتباط إلى صفحة قد يكون محتواها كله أو جزء منه باللغة الإنجليزية):
970536تحديث أداة دعم Setspn.exe لنظام التشغيل Windows Server 2003


لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (ينتقل بك هذا الارتباط إلى صفحة قد يكون محتواها كله أو جزء منه باللغة الإنجليزية):
837361إدخالات التسجيل بروتوكول Kerberos ومفاتيح التكوين KDC في نظام التشغيل Windows Server 2003


بعد تثبيت التحديث الأمني 957097 قد تفشل تطبيقات مثل SQL Server أو خدمات معلومات إنترنت (IIS) عند إنشاء طلبات المصادقة NTLM المحلي. لمزيد من المعلومات حول كيفية حل هذه المشكلة انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (ينتقل بك هذا الارتباط إلى صفحة قد يكون محتواها كله أو جزء منه باللغة الإنجليزية):
957097MS08-068: قد تسمح مشكلة عدم الحصانة في SMB مما قد يسمح بتنفيذ التعليمات البرمجية عن بُعد
راجع قسم "مشكلات معروفة مع هذا التحديث الأمني" من مقالة 957097 للحصول على تفاصيل حول كيفية حل المشكلة.
w2k3 setspn kerberos

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 887993 - آخر مراجعة: 02/10/2009 21:38:16 - المراجعة: 4.1

Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)

  • kbmt kbtshoot KB887993 KbMtar
تعليقات
/html>ppendChild(m); mp;t=">