Fehlermeldung "Zugriff verweigert" oder "Der angegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen", wenn Sie nach Installation von Windows Server 2003 SP 1 mit dem FQDN- oder dem CNAME-Alias lokal auf einen Server zugreifen


Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
926642 Error message when you try to access a server locally by using its FQDN or its CNAME alias after you install Windows Server 2003 Service Pack 1: "Access denied" or "No network provider accepted the given network path"
Wichtig: Dieser Artikel enthält Informationen darüber, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Wir raten Ihnen jedoch, zunächst die Risiken dieses Workarounds für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diesen Workaround einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihr System zu schützen.

Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie die Registrierung bearbeiten. Sie müssen wissen, wie die Registrierung wiederhergestellt werden kann, wenn ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung

Problembeschreibung


Stellen Sie sich folgendes Szenario vor: Sie installieren Microsoft Windows Server 2003 Service Pack 1 (SP1) auf einem Windows Server 2003-Computer. Anschließend treten Authentifizierungsprobleme auf, wenn Sie lokal auf den Server zugreifen und dabei den FQDN-Alias (Fully Qualified Domain Name) oder den CNAME-Alias im folgenden UNC-Pfad (Universal Naming Convention) verwenden:
\\Servername\Freigabename
In diesem Szenario tritt eines der folgenden Symptome auf:
  • Es werden mehrere Anmeldefenster geöffnet.
  • Die Fehlermeldung "Zugriff verweigert" wird angezeigt.
  • Die Fehlermeldung "Der angegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen" wird angezeigt.
  • Das Ereignis mit der ID 537 wird im Sicherheitsereignisprotokoll verzeichnet.
Hinweis: Sie können auf den Server zugreifen, indem Sie den FQDN- oder den CNAME-Alias von einem anderen Computer im selben Netzwerk aus verwenden, als dem Computer, auf dem Windows Server 2003 SP1 installiert ist. Außerdem können Sie über den folgenden Pfad auf den Server auf dem lokalen Computer zugreifen:
  • \\IP-Adresse-des-lokalen-Computers
  • \\Netbiosnameoder \\Computername

Ursache


Das geschilderte Problem rührt daher, dass Windows Server 2003 SP1 das neue Sicherheitsfeature "Loopback-Funktionalität" enthält. In Windows Server 2003 SP1 wird die Loopback-Funktionalität standardmäßig aktiviert und der Wert des Registrierungseintrags "DisableLoopbackCheck" auf 0 (Null) gesetzt.

Hinweis: Die Loopback-Funktionalität ist im folgenden Registrierungsunterschlüssel gespeichert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck

Lösung


Warnung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.

Warnung: Durch diesen Workaround wird Ihr Computer oder Ihr Netzwerk möglicherweise anfälliger für Angriffe böswilliger Benutzer oder für gefährliche Software wie etwa Viren. Dieser Workaround wird zwar nicht direkt von Microsoft empfohlen, er wird jedoch hier beschrieben, sodass Sie die Wahl haben, diese Option nach eigenem Ermessen anzuwenden. Verwenden Sie den Workaround auf eigene Verantwortung.

Setzen Sie den Registrierungseintrag "DisableStrictNameChecking" auf 1, um dieses Problem zu beheben. Dieser Vorgang wird in Artikel 281308 der Microsoft Knowledge Base beschrieben, der im Abschnitt "Informationsquellen" erwähnt wird. Wenden Sie anschließend entsprechend Ihrer Situation eine der folgenden Methoden an.

Methode 1: Deaktivieren der Loopback-Funktionalität für die Authentifizierung

Sie können das in Windows Server 2003 ursprünglich bestehende Verhalten wiederherstellen, indem Sie den Registrierungseintrag "DisableLoopbackCheck" im Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry auf 1 setzen. Führen Sie die folgenden Schritte auf dem Clientcomputer aus, um den Registrierungseintrag auf 1 zu setzen:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Klicken Sie mit der rechten Maustaste auf Lsa, zeigen Sie auf Neu, und klicken Sie auf den DWORD-Wert.
  4. Geben Sie DisableLoopbackCheck ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf DisableLoopbackCheck. Klicken Sie dann auf Ändern.
  6. Geben Sie im Feld Wert den Wert 1 ein, und klicken Sie auf OK.
  7. Beenden Sie den Registrierungs-Editor.
  8. Starten Sie den Computer neu.
Hinweis: Sie müssen den Server neu starten, damit diese Änderung wirksam wird. In Windows Server 2003 SP1 wird die Loopback-Funktionalität standardmäßig aktiviert und der Wert des Registrierungseintrags "DisableLoopbackCheck" auf 0 (Null) gesetzt. Die Sicherheit ist herabgesetzt, wenn Sie die Loopback-Funktionalität für die Authentifizierung deaktivieren und den Windows Server 2003-Server für "Man in the middle"-Angriffe (MITM) auf NTLM öffnen.

Methode 2: Erstellen der LSA-Hostnamen (Local Security Authority), die in einer NTLM-Authentifizierungsanforderung referenziert werden können

Führen Sie hierzu für alle Knoten auf dem Clientcomputer die folgenden Schritte durch:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. Klicken Sie mit der rechten Maustaste auf MSV1_0, zeigen Sie auf Neu, und klicken Sie anschließend auf Wert der mehrteiligen Zeichenfolge.
  4. Geben Sie in die Spalte Name die Zeichenfolge BackConnectionHostNames ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf BackConnectionHostNames. Klicken Sie dann auf Ändern.
  6. Geben Sie im Feld Wert den CNAME- oder den DNS-Alias ein, der für die lokalen Freigaben auf dem Computer verwendet wird, und klicken Sie anschließend auf OK.

    Hinweis: Verwenden Sie für jeden Hostnamen eine neue Zeile.

    Hinweis: Wenn der Registrierungseintrag "BackConnectionHostNames" den Typ REG_DWORD aufweist, müssen Sie diesen löschen.
  7. Beenden Sie den Registrierungs-Editor, und starten Sie anschließend den Computer neu.

Status


Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
281308 Die Verbindung zu einer SMB-Freigabe auf einem Windows 2000- oder Windows Server 2003-Computer funktioniert eventuell nicht mit einem Aliasnamen
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.