אינך במצב לא מקוון כעת, ממתין לחיבור לאינטרנט

אתה מקבל "שגיאת HTTP 401.1 – לא מורשה: Access נדחתה עקב אישורים לא חוקיים" הודעת שגיאה כאשר אתה מנסה לגשת לאתר אינטרנט המהווה חלק מאגר היישומים של IIS 6.0

חשוב: מאמר זה תורגם באמצעות תוכנת תרגום מכונה של Microsoft וייתכן שנערך לאחר מכן על-ידי קהילת Microsoftבאמצעות טכנולוגייתCommunity Translation Framework (CTF) או באמצעות תרגום אנושי. Microsoft מציעה לך גם מאמרים בתרגום אנושי, מאמרים בתרגום מכונה ומאמרים שנערכו על ידי הקהילה כדי לאפשר גישה למאמרים הקיימים במאגר הידע (Knowledge Base) שלMicrosoft בשפות שונות. מאמרים מתורגמים יכולים להכיל שגיאות באוצר המילים, בתחביר או בדקדוק. Microsoft אינה אחראית לחוסר דיוק, שגיאות או נזקים שייגרמו כתוצאה מטעויות בתכנים או משימוש בתכנים על ידי לקוחותיה.

כותרת מאמר זה באנגלית: 871179
מאפייני הבעיה
כאשר אתה מנסה לגשת לאתר האינטרנט של Microsoft Internet Information Services (IIS) 6.0 אשר מוגדר להשתמש באימות משולב של Windows בלבד, תתבקש לספק אישורי המשתמש שלך. כאשר אתה מנסה להיכנס, תקבל את בקשת הכניסה שוב. לאחר שאתה מנסה להיכנס שלוש פעמים, מתקבלת הודעת השגיאה הבאה:
שגיאת HTTP 401.1 – לא מורשה: Access נדחתה עקב אישורים לא חוקיים.
סיבה
התנהגות זו עשויה להתרחש אם מתקיימים התנאים הבאים:
 • אתר האינטרנט של IIS 6.0 הוא חלק מאגר היישומים של IIS.
 • מאגר היישומים פועל תחת חשבון מקומי או תחת חשבון משתמש תחום.
 • אתר האינטרנט מוגדר להשתמש באימות משולב של Windows בלבד.
בתרחיש זה, בעת אימות משולב של Windows מנסה להשתמש ב- Kerberos, אימות Kerberos לא יפעלו. כדי להשתמש באימות Kerberos, שירות עליך לרשום את שם ראשי של שירות (SPN) תחת החשבון בשירות הספריות Active Directory שבו השירות פועל תחת. כברירת מחדל, Active Directory רושם את שם המחשב ברשת (NetBIOS) של מערכת קלט/פלט בסיסית. Active Directory מאפשר גם שירות רשת או חשבון המערכת המקומית כדי להשתמש ב- Kerberos.
פתרון הבעיה
אם אופן פעולה זה מתרחש כאשר מאגר היישומים פועל תחת חשבון מקומי, בצע את השלבים בסעיף 'דרכים לעקיפת הבעיה'.

כדי לפתור אופן פעולה זה כאשר מאגר היישומים פועל תחת חשבון משתמש תחום, להגדיר SPN HTTP עם שם NetBIOS ואת שם התחום המלא (FQDN) של חשבון משתמש תחום שבו מאגר היישומים פועל תחת. לשם כך, בצע את הפעולות הבאות בבקר קבוצת מחשבים:

חשוב ה-SPN עבור שירות יכול להיות משויך חשבון אחד בלבד. לכן, אם אתה משתמש זה הפתרון המוצע, אין אפשרות להשתמש במאגר יישומים אחרים שבהם פועל תחת חשבון משתמש של תחום אחר באמצעות אימות משולב של Windows בלבד.
 1. התקנת הכלי Setspn.exe. כדי להשיג את הכלי Setspn.exe עבור Microsoft Windows Server 2003, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
  970536 עדכון Setspn.exe של כלי תמיכה עבור Windows Server 2003
 2. הפעל שורת פקודה ולאחר מכן לשנות את הספרייה שבה התקנת Setspn.exe.
 3. בשורת הפקודה, הקלד את הפקודות הבאות. הקש ENTER לאחר כל פקודה:
  setspn.exe -S http /IIS_computer's_NetBIOS_name DomainName\שם משתמש

  setspn.exe -S http /IIS_computer's_FQDN DomainName\שם משתמש
  הערהשם משתמש הוא מאגר היישומים פועל תחת חשבון המשתמש. כמו כן שים לב אם אתה מפעיל את הפקודה setspn.exe במחשב Windows 2000, השתמש בבורר - A במקום הבורר -S.
לאחר שתגדיר את ה-SPN עבור שירות HTTP לחשבון משתמש של תחום שבו מאגר היישומים פועל תחת, באפשרותך להתחבר בהצלחה לאתר האינטרנט מבלי שתתבקש להזין את האישורים של המשתמש.
דרכים לעקיפת הבעיה
כדי לעקוף אופן פעולה זה אם יש לך מספר מאגרי יישומים הפועלים תחת חשבונות משתמשים בתחום אחר, עליך לכפות IIS כדי להשתמש NTLM מנגנון האימות שלך אם ברצונך להשתמש באימות משולב של Windows בלבד. לשם כך, בצע את הפעולות הבאות בשרת בו פועל IIS:
 1. הפעל שורת פקודה.
 2. אתר ולאחר מכן שנה הספריה המכילה את הקובץ Adsutil.vbs. כברירת מחדל, ספריה זו היא C:\Inetpub\Adminscripts.
 3. הקלד את הפקודה הבאה ולאחר מכן הקש ENTER:
  cscript adsutil.vbs להגדיר w3svc/NTAuthenticationProviders "NTLM"
 4. כדי לוודא כי NtAuthenticationProviders המאפיין metabase מוגדר ל- NTLM, הקלד את הפקודה הבאה ולאחר מכן הקש ENTER:
  קבל adsutil.vbs של cscript w3svc/NTAuthenticationProviders
  יש להחזיר את הטקסט הבא:
  NTAuthenticationProviders    : (STRING) "NTLM"
סטטוס
אופן פעולה זה הוא מכוון.
מידע נוסף
אם תגדיר את ה-SPN באמצעות רק ה-FQDN של שרת בו פועל IIS, תתבקש להזין את האישורים של המשתמש לאחר 30 דקות. פסק זמן של 30 דקות מתרחשת בשל האופן שבו Internet Explorer מאחסן במטמון מערכת שמות תחומים (DNS). לאחר 30 דקות, Internet Explorer יחזור שם NetBIOS. לכן, עליך לוודא גם לרשום את ה-SPN באמצעות שם NetBIOS של השרת בו פועל IIS כדי למנוע הצגת בקשה לקבלת אישורי המשתמש שלך.לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
263558האופן שבו Internet Explorer משתמש במטמון עבור ערכי מארח DNS
כדי לוודא את ה-Spn הרשומים עבור מאגר היישומים שלך פועל תחת חשבון המשתמש, הפעל שורת פקודה, הקלד את הפקודה הבאה מתוך הספריה שבה מותקנת Setspn.exe ולאחר מכן הקש ENTER:
setspn.exe -l שם משתמש
רשימה של שמות ה-Spn הרשומים עבור חשבון המשתמש מוחזר.

Internet Information Services (IIS) 7.0

הנושאים הנדונים במאמר זה ניתן גם להחיל IIS 7.0 אם מתקיים אחד מהתנאים הבאים:
 • אימות של מצב ליבה אינו זמין.
 • אימות של מצב ליבה מופעל, ו useAppPoolCredentials התכונה מוגדר כ- TRUE.
מידע נוסף
לקבלת מידע נוסף אודות השימוש באימות משולב של Windows עם מאגרי יישומים של IIS, בקר באתר האינטרנט הבא של Microsoft:לקבלת מידע נוסף אודות כשלים באימות או כשלים בקרת הגישה ב- IIS, בקר באתר האינטרנט הבא של Microsoft:הערה הכלי AuthDiag שנועדו לעזור לך כאשר אתה רואה אחת מהודעות השגיאה הבאות:
 • 401.1 הכניסה נכשל
 • 401.3 ACL
הכלי AuthDiag יכול גם לסייע לך כאשר אתה נתקל בבעיות Kerberos.

אזהרה: מאמר זה תורגם באופן אוטומטי.

מאפיינים:

מזהה פריט: 871179 - סקירה אחרונה: 06/19/2013 19:57:00 - תיקון: 1.0

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0

 • kbtshoot kbprb kbmt KB871179 KbMthe
משוב