Puede recibir un error "Acceso denegado" mensaje utiliza el WWW-Authenticate: negociar el método de autenticación HTTP para conectarse a un servidor Web

Síntomas

Cuando se utiliza el WWW-Authenticate: negociar el método de autenticación HTTP para conectarse a un servidor Web, puede recibir un mensaje de error similar al siguiente si expira la entrada de la caché DNS del cliente de Internet Explorer:
HTTP Error 401: no autorizado: Acceso denegado

Causa

Este problema se produce si se cumplen las condiciones siguientes:
  • Está habilitada la opción Habilitar autenticación integrada de Windows de avanzada de Internet Explorer.
  • Utilizar el nombre NetBIOS para tener acceso al sitio Web y el nombre se resuelve mediante el sistema de nombres de dominio (DNS) como un nombre de dominio completo (FQDN).
  • El sitio Web de servicio de nombre Principal (SPN) sólo existe como un FQDN en el servicio de directorio de Active Directory.
  • El valor de la configuración de tiempo de espera de caché de DNS es inferior a la hora de DNS para el valor de vida (TTL).
Cuando se utiliza el WWW-Authenticate: negociar el método de autenticación HTTP, la entrada de la caché DNS del cliente de Internet Explorer puede caducar. Cuando caduca esta entrada, el archivo Wininet.dll en el equipo cliente utiliza la entrada de nombre de host en el identificador de recursos uniforme de HTTP para solicitar un nuevo token SPNEGO desde el controlador de dominio. El archivo Wininet.dll utiliza esta entrada de nombre de host en lugar de utilizar el FQDN que ha devuelto la consulta inicial de resolución de DNS.

Solución

Información del Service pack

Para resolver este problema, obtenga el service pack más reciente para Windows Server 2003. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
889100 cómo obtener el service pack más reciente para Windows Server 2003

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma. Versión del inglés de esta revisión tiene los atributos de archivo (o atributos de último archivo) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora del Panel de Control.

Internet Explorer 6 Service Pack 1 para Windows 98, Internet Explorer 6 Service Pack 1 para Windows Millennium Edition, Internet Explorer 6 Service Pack 1 para Windows 2000 y Internet Explorer 6 Service Pack 1 para Windows XP

   Date         Time   Version           Size     File name   ----------------------------------------------------------
10-Jun-2005 18:53 6.0.2800.1510 585,728 Wininet.dll

Internet Explorer 6 para Windows XP Service Pack 2

   Date         Time   Version           Size     File name   --------------------------------------------------------
11-Jun-2005 02:42 6.0.2900.2696 659,456 Wininet.dll

Microsoft Windows Server 2003, Enterprise Edition para sistemas con Itanium y Microsoft Windows Server 2003, Datacenter Edition para sistemas basados en Itanium

   Date         Time   Version         Size       File name    Platform   ---------------------------------------------------------------------
14-Jun-2005 03:15 6.0.3790.347 1,509,888 Wininet.dll IA-64
14-Jun-2005 03:15 6.0.3790.347 627,712 Wwininet.dll x86

versiones de Windows Server 2003 basadas en x86

   Date         Time   Version           Size     File name   ----------------------------------------------------------
14-Jun-2005 03:15 6.0.3790.347 627,712 Wininet.dll

Windows Server 2003 Service Pack 1

   Date         Time   Version           Size     File name   ----------------------------------------------------------
14-Jun-2005 19:14 6.0.3790.2464 662,528 Wininet.dll

Windows XP

   Date         Time   Version           Size     File name   ----------------------------------------------------------
11-Jun-2005 02:42 6.0.2900.2696 659,456 Wininet.dll

Internet Explorer 7 para Windows XP Service Pack 2

   Date         Time   Version           Size     File name   ----------------------------------------------------------
15-May-2008 15:40 7.0.6000.20833 827,904 Wininet.dll

Internet Explorer 7 para Windows Server 2003

   Date         Time   Version           Size       File name    Platform   ---------------------------------------------------------------------
16-May-2008 10:38 7.0.6000.20833 827,904 Wininet.dll x86
16-May-2008 08:28 7.0.6000.20833 1,024,000 Wininet.dll x64
16-May-2008 08:25 7.0.6000.20833 1,887,744 Wininet.dll IA-64

Solución alternativa

Para evitar este problema y reducir la frecuencia de este error, establezca el valor de tiempo de espera de caché de DNS de Internet Explorer en el mismo valor que el valor de TTL de DNS en la empresa. Para establecer el valor de tiempo de espera de caché de DNS de Internet Explorer, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Regedity, a continuación, haga clic en
    OK.
  2. Para establecer el valor de tiempo de espera de caché de DNS de Internet Explorer por usuario, busque y, a continuación, haga clic en la subclave del registro siguiente:
    Configuración de Version\Internet de urmeaza
  3. En el menú Edición , elija
    De nuevoy, a continuación, haga clic en valor DWORD.
  4. Escriba DNSCacheTimeout y, a continuación, presione ENTRAR.
  5. Haga clic en DNSCacheTimeout,
    Editary a continuación, haga clic en Modificar.
  6. En el cuadro información del valor , escriba el valor que desee en segundos y, a continuación, haga clic en Aceptar.

    Nota: El valor predeterminado de TTL de DNS es 1800 segundos.
  7. Salga del Editor del registro.

Más información

Para habilitar esta revisión, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Regedity, a continuación, haga clic en
    OK.
  2. Para habilitar esta revisión por usuario, busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl
    Para habilitar esta revisión por equipo, busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl
  3. En el menú Edición , elija
    De nuevoy, a continuación, haga clic en clave.
  4. Escriba el
    FEATURE_ENSURE_FQDN_FOR_NEGOTIATE_KB899417 y presione ENTRAR.
  5. Haga clic en
    FEATURE_ENSURE_FQDN_FOR_NEGOTIATE_KB899417.
  6. En el menú Edición , elija
    De nuevoy, a continuación, haga clic en valor DWORD.
  7. Escriba Iexplore.exe y, a continuación, presione ENTRAR.
  8. Haga clic en Iexplore.exe.
  9. En el menú Edición , haga clic en
    Modificar.
  10. En el cuadro información del valor , escriba
    1y, a continuación, haga clic en Aceptar.

    Nota: Los valores válidos para la subclave Iexplore.exe son 0 y 1. El valor 1 habilita la revisión. Un valor de 0 deshabilita la revisión.
  11. Haga clic en
    FEATURE_ENSURE_FQDN_FOR_NEGOTIATE_KB899417.
  12. En el menú Edición , elija
    De nuevoy, a continuación, haga clic en valor DWORD.
  13. Escriba Explorer.exe y, a continuación, presione ENTRAR.
  14. Haga clic en Explorer.exe.
  15. En el menú Edición , haga clic en
    Modificar.
  16. En el cuadro información del valor , escriba
    1y, a continuación, haga clic en Aceptar.

    Nota: Los valores válidos para la subclave de Explorer.exe son 0 y 1. El valor 1 habilita la revisión. Un valor de 0 deshabilita la revisión.
  17. Salga del Editor del registro.
Para obtener más información acerca de SPNEGO y autenticación, visite el siguiente sitio Web de Microsoft:

Estado

Microsoft ha confirmado que se trata de un error de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Este problema se corrigió primero en Windows Server 2003 Service Pack 2.
Propiedades

Id. de artículo: 899417 - Última revisión: 9 ene. 2017 - Revisión: 1

Comentarios