Получавате грешка 401.1, когато преглеждате уеб сайт, който използва интегрирано удостоверяване и се хоства на IIS 5.1 или по-нова версия

Симптоми

Когато използвате пълното домейн име (FQDN) или персонализирана заглавка на хост за преглед на локален уеб сайт, който се хоства на компютър, на който се изпълнява Microsoft Internet Information Services (IIS) 5.1 или по-нова версия, можете да получите съобщение за грешка, подобно на следното:
HTTP 401.1 - неразрешено: Неуспешно влизане
Този проблем възниква, когато уеб сайтът използва интегрирано удостоверяване и има име, което е нанесено (локален loopback) адрес.

Забележка: Само получавате това съобщение за грешка, ако опитате да разглеждате уеб сайта директно на сървъра. Ако разглеждате уеб сайта от клиентски компютър, уеб сайтът работи според очакванията.

Освен това се регистрира съобщение за събитие, подобно на следното съобщение за събитие в регистрационния файл на защитата. Това съобщение за събитие включва някои странни знаци в стойността на записа в процеса на влизане:Забележка понякога странните знаци, които се появяват в това съобщение за събитие може да приличат на следните знаци:
Ðù²
Можете също да получите съобщение за грешка, подобно на следното, когато се опитвате да трасирате проект на Microsoft ASP.NET в Microsoft Visual Studio 2003:
Грешка при опит за изпълнение на проект: не може да започне отстраняване на грешки на уеб сървъра. Нямате разрешения за отстраняване на грешки на сървъра.



Проверете дали сте член на групата "Дебъгер потребители" на сървъра.
Забележка: Думата "Уеб" е неправилно с главни букви в това съобщение за грешка.

Повиквания, които са направени от уеб услуга не водят до съобщения за HTTP 401 в регистрационните файлове на IIS. HTTP 401 съобщение може да се забележи в полето Описание на събитие за грешка за приложение, което използва уеб услуга. Например този проблем може да възникне за Microsoft Commerce Server 2002. Ако това се случи, то е симптом за промяна, извършена от Microsoft Windows Server 2003 Service Pack 1 (SP1) и функцията за защита на проверка на обръщане към себе си.

Причина

Този проблем възниква, когато инсталирате Microsoft Windows XP Service Pack 2 (SP2) или Microsoft Windows Server 2003 Service Pack 1 (SP1). Windows XP SP2 и Windows Server 2003 SP1 включват loopback проверка защитна функция, която е предназначена за предотвратяване на атаки на компютъра. Следователно удостоверяването е неуспешно, ако FQDN или персонализирана заглавка на хост, който използвате не съвпада с името на локалния компютър.

Заобикаляне на проблема

Важно: Този раздел, метод или задача съдържат информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и как да извършите възстановяване на системния регистър, щракнете върху следния номер на статия, за да видите статията в базата със знания на Microsoft:

Има два метода за заобикаляне на този проблем, използвайте един от следните методи, отнасящи се за вашата ситуация.

Метод 1: Задайте имена на хостове (предпочитан метод, ако е желателно NTLM удостоверяване)

За да укажете имената на хостовете, добавени към адрес за обръщане към себе си и да се свържете към уеб сайтове на вашия компютър, изпълнете следните стъпки:
  1. Задайте записа в системния регистър DisableStrictNameChecking 1. За повече информация как да направите това, щракнете върху следния номер на статия в базата знания на Microsoft:

    281308 свързване към SMB споделяне на компютър с Windows 2000 или Windows Server 2003 компютър може да не работи с псевдоними

  2. Щракнете върху Старт, щракнете върху изпълнение, въведете regeditи щракнете върху OK.
  3. В редактора на системния регистър, намерете и след това щракнете върху следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  4. С десния бутон върху MSV1_0, посочете Създайи щракнете върху Многонизова стойност.
  5. Въведете BackConnectionHostNamesи след това натиснете ENTER.
  6. С десния бутон върху BackConnectionHostNamesи след това щракнете върху Промяна.
  7. В полето за стойност въведете името на хоста или имената на хостовете за сайтовете в локалния компютър и след това щракнете върху OK.
  8. Затворете редактора на системния регистър и рестартирайте услугата iisadmin.

Метод 2: Забраняване на проверката за обръщане към себе си (по малко препоръчван метод)

Вторият метод е да се забрани проверката за обръщане към себе си като зададете ключ на системния регистър DisableLoopbackCheck .

За да зададете DisableLoopbackCheck ключ на системния регистър, изпълнете следните стъпки:
  1. Задайте записа в системния регистър DisableStrictNameChecking 1. За повече информация как да направите това, щракнете върху следния номер на статия в базата знания на Microsoft:

    281308 свързване към SMB споделяне на компютър с Windows 2000 или Windows Server 2003 компютър може да не работи с псевдоними

  2. Щракнете върху Старт, щракнете върху изпълнение, въведете regeditи щракнете върху OK.
  3. В редактора на системния регистър, намерете и след това щракнете върху следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. С десния бутон върху Lsa, посочете Създайи след това щракнете върху DWORD стойност.
  5. Въведете DisableLoopbackCheckи след това натиснете ENTER.
  6. С десния бутон върху DisableLoopbackCheckи след това щракнете върху Промяна.
  7. В полето стойност въведете 1и щракнете върху OK.
  8. Затворете редактора на системния регистър и рестартирайте компютъра.

Статус

Това поведение е умишлено.

Допълнителна информация

След инсталиране на актуализация на защитата 957097, приложения, като Microsoft SQL Server или IIS да завърши неуспешно, когато местните NTLM удостоверяване искания.


За повече информация как да отстраните този проблем щракнете върху следния номер на статия в базата знания на Microsoft:

957097 MS08-068: уязвимост в SMB може да позволи дистанционно изпълнение на код

За повече информация как да отстраните този проблем вижте раздела "Известни проблеми с тази актуализация на защитата" сигурност update 957097.

Препратки

За повече информация щракнете върху следните номера на статии в базата знания на Microsoft:

926642 съобщение за грешка при опит за достъп до сървъра локално чрез своите FQDN или нейните CNAME псевдоним след инсталиране на Windows Server 2003 Service Pack 1: "Достъпът отказан" или "няма мрежов доставчик не приема предоставения мрежов път"

917664 съобщение за грешка при опит да инсталирате Microsoft Operations Manager 2005 Reporting: "код на грешка: -2147467259 (неопределена грешка)"

Свойства

ИД на статията: 896861 – Последен преглед: 16.01.2017 г. – Редакция: 1

Обратна връзка