Komunikat o błędzie podczas próby lokalnego dostępu do serwera przy użyciu jego nazwy FQDN lub aliasu CNAME po zainstalowaniu dodatku Service Pack 1 dla systemu Windows Server 2003: Odmowa dostępu lub Brak dostawcy sieci akceptował daną ścieżkę sieciową

  • Artykuł

Ten artykuł zawiera rozwiązanie błędu występującego podczas próby lokalnego dostępu do serwera przy użyciu jego nazwy FQDN lub aliasu CNAME.

Dotyczy systemów: Windows 7 z dodatkiem Service Pack 1 i Windows Server 2012 R2
Oryginalny numer KB: 926642

Uwaga

Ten artykuł zawiera informacje, które pokazują, jak pomóc obniżyć ustawienia zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany, aby obejść określony problem. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z zaimplementowaniem tego obejścia w określonym środowisku. Jeśli zaimplementujesz to obejście, wykonaj wszelkie odpowiednie dodatkowe kroki, aby chronić system.

Symptomy

Rozpatrzmy następujący scenariusz: Program Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (SP1) jest instalowany na komputerze z systemem Windows Server 2003. Po wykonaniu tej czynności podczas próby uzyskania dostępu do serwera lokalnie wystąpią problemy z uwierzytelnianiem przy użyciu w pełni kwalifikowanej nazwy domeny (FQDN) lub aliasu CNAME w ścieżce uniwersalnej konwencji nazewnictwa (UNC): \\nazwa_\serwera_ nazwy udziału.

W tym scenariuszu wystąpi jeden z następujących objawów:

  • Otrzymasz powtarzające się okna logowania.
  • Zostanie wyświetlony komunikat o błędzie "Odmowa dostępu".
  • Zostanie wyświetlony komunikat o błędzie "Żaden dostawca sieci nie zaakceptował danej ścieżki sieciowej".
  • Identyfikator zdarzenia 537 jest rejestrowany w dzienniku zdarzeń zabezpieczeń.

Uwaga

Dostęp do serwera można uzyskać przy użyciu jego nazwy FQDN lub aliasu CNAME z innego komputera w sieci innej niż ten komputer, na którym zainstalowano system Windows Server 2003 z dodatkiem SP1. Ponadto można uzyskać dostęp do serwera na komputerze lokalnym przy użyciu następujących ścieżek:

  • \\IPaddress-of-local-computer
  • \\Netbiosname lub \\ComputerName

Przyczyna

Ten problem występuje, ponieważ system Windows Server 2003 z dodatkiem SP1 zawiera nową funkcję zabezpieczeń o nazwie funkcja sprawdzania sprzężenia zwrotnego. Domyślnie funkcja sprawdzania sprzężenia zwrotnego jest włączona w systemie Windows Server 2003 SP1, a wartość wpisu rejestru DisableLoopbackCheck jest ustawiona na 0 (zero).

Uwaga

Funkcja sprawdzania sprzężenia zwrotnego jest przechowywana w podkluczu rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Rozwiązanie

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Uwaga

To obejście może sprawić, że komputer lub sieć będą bardziej narażone na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Nie zalecamy tego obejścia, ale udostępniamy te informacje, aby można było zaimplementować to obejście według własnego uznania. To obejście użytkownicy stosują na własną odpowiedzialność.

Aby rozwiązać ten problem, ustaw wartość 1 wpisu rejestru DisableStrictNameChecking. Następnie użyj jednej z następujących metod, odpowiednio do danej sytuacji.

W tym celu wykonaj następujące kroki dla wszystkich węzłów na komputerze klienckim:

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.

  2. Odszukaj, a następnie kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Kliknij prawym przyciskiem myszy MSV1_0, wskaż polecenie Nowy, a następnie kliknij pozycję Wartość wielociągowa.

  4. W kolumnie Nazwa wpisz BackConnectionHostNames, a następnie naciśnij klawisz ENTER.

  5. Kliknij prawym przyciskiem myszy pozycję BackConnectionHostNames, a następnie kliknij przycisk Modyfikuj.

  6. W polu Dane wartości wpisz CNAME lub alias DNS, który jest używany dla udziałów lokalnych na komputerze, a następnie kliknij przycisk OK.

    Uwaga

    • Wpisz każdą nazwę hosta w osobnym wierszu.
    • Jeśli wpis rejestru BackConnectionHostNames istnieje jako typ REG_DWORD, musisz usunąć wpis rejestru BackConnectionHostNames.

  7. Zakończ działanie Edytora rejestru, a następnie ponownie uruchom komputer.

Metoda 2. Wyłączanie sprawdzania sprzężenia zwrotnego uwierzytelniania

Ponownie włącz zachowanie, które istnieje w systemie Windows Server 2003, ustawiając wpis rejestru DisableLoopbackCheck w podkluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry na 1. Aby ustawić wpis rejestru DisableLoopbackCheck na 1, wykonaj następujące kroki na komputerze klienckim:

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.

  2. Odszukaj, a następnie kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Kliknij prawym przyciskiem myszy pozycję Lsa, wskaż pozycję Nowy, a następnie kliknij pozycję Wartość DWORD .

  4. Wpisz DisableLoopbackCheck, a następnie naciśnij klawisz ENTER.

  5. Kliknij prawym przyciskiem myszy pozycję DisableLoopbackCheck, a następnie kliknij przycisk Modyfikuj.

  6. W polu Dane wartości wpisz 1, a następnie kliknij przycisk OK.

  7. Zamknij Edytor rejestru.

  8. Uruchom ponownie komputer.

Uwaga

Aby ta zmiana została wprowadzona, należy ponownie uruchomić serwer. Domyślnie funkcja sprawdzania sprzężenia zwrotnego jest włączona w systemie Windows Server 2003 z dodatkiem SP1, a wpis rejestru DisableLoopbackCheck jest ustawiony na 0 (zero). Zabezpieczenia są zmniejszane po wyłączeniu sprawdzania sprzężenia zwrotnego uwierzytelniania i otwarciu serwera z systemem Windows Server 2003 w przypadku ataków typu man-in-the-middle (MITM) na NTLM.

Stan

Firma Microsoft potwierdziła, że jest to problem w produktach firmy Microsoft wymienionych na początku tego artykułu.

Więcej informacji

Po zainstalowaniu 957097 aktualizacji zabezpieczeń aplikacje takie jak SQL Server lub Internet Information Services (IIS) mogą zakończyć się niepowodzeniem podczas wykonywania lokalnych żądań uwierzytelniania NTLM.

Aby uzyskać więcej informacji na temat sposobu rozwiązania tego problemu, zobacz sekcję "Znane problemy z tą aktualizacją zabezpieczeń" artykułu KB 957097.