Komunikat o błędzie podczas próby lokalnego dostępu do serwera przy użyciu jego nazwy FQDN lub aliasu CNAME po zainstalowaniu dodatku Service Pack 1 dla systemu Windows Server 2003: Odmowa dostępu lub Brak dostawcy sieci akceptował daną ścieżkę sieciową
Ten artykuł zawiera rozwiązanie błędu występującego podczas próby lokalnego dostępu do serwera przy użyciu jego nazwy FQDN lub aliasu CNAME.
Dotyczy systemów: Windows 7 z dodatkiem Service Pack 1 i Windows Server 2012 R2
Oryginalny numer KB: 926642
Uwaga
Ten artykuł zawiera informacje, które pokazują, jak pomóc obniżyć ustawienia zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany, aby obejść określony problem. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z zaimplementowaniem tego obejścia w określonym środowisku. Jeśli zaimplementujesz to obejście, wykonaj wszelkie odpowiednie dodatkowe kroki, aby chronić system.
Symptomy
Rozpatrzmy następujący scenariusz: Program Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (SP1) jest instalowany na komputerze z systemem Windows Server 2003. Po wykonaniu tej czynności podczas próby uzyskania dostępu do serwera lokalnie wystąpią problemy z uwierzytelnianiem przy użyciu w pełni kwalifikowanej nazwy domeny (FQDN) lub aliasu CNAME w ścieżce uniwersalnej konwencji nazewnictwa (UNC): \\nazwa_\serwera_ nazwy udziału.
W tym scenariuszu wystąpi jeden z następujących objawów:
- Otrzymasz powtarzające się okna logowania.
- Zostanie wyświetlony komunikat o błędzie "Odmowa dostępu".
- Zostanie wyświetlony komunikat o błędzie "Żaden dostawca sieci nie zaakceptował danej ścieżki sieciowej".
- Identyfikator zdarzenia 537 jest rejestrowany w dzienniku zdarzeń zabezpieczeń.
Uwaga
Dostęp do serwera można uzyskać przy użyciu jego nazwy FQDN lub aliasu CNAME z innego komputera w sieci innej niż ten komputer, na którym zainstalowano system Windows Server 2003 z dodatkiem SP1. Ponadto można uzyskać dostęp do serwera na komputerze lokalnym przy użyciu następujących ścieżek:
- \\IPaddress-of-local-computer
- \\Netbiosname lub \\ComputerName
Przyczyna
Ten problem występuje, ponieważ system Windows Server 2003 z dodatkiem SP1 zawiera nową funkcję zabezpieczeń o nazwie funkcja sprawdzania sprzężenia zwrotnego. Domyślnie funkcja sprawdzania sprzężenia zwrotnego jest włączona w systemie Windows Server 2003 SP1, a wartość wpisu rejestru DisableLoopbackCheck jest ustawiona na 0 (zero).
Uwaga
Funkcja sprawdzania sprzężenia zwrotnego jest przechowywana w podkluczu rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
.
Rozwiązanie
Ważna
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.
Uwaga
To obejście może sprawić, że komputer lub sieć będą bardziej narażone na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Nie zalecamy tego obejścia, ale udostępniamy te informacje, aby można było zaimplementować to obejście według własnego uznania. To obejście użytkownicy stosują na własną odpowiedzialność.
Aby rozwiązać ten problem, ustaw wartość 1 wpisu rejestru DisableStrictNameChecking. Następnie użyj jednej z następujących metod, odpowiednio do danej sytuacji.
Metoda 1 (zalecane): Utwórz nazwy hostów urzędu zabezpieczeń lokalnych, do których można się odwoływać w żądaniu uwierzytelniania NTLM
W tym celu wykonaj następujące kroki dla wszystkich węzłów na komputerze klienckim:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
Odszukaj, a następnie kliknij następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Kliknij prawym przyciskiem myszy MSV1_0, wskaż polecenie Nowy, a następnie kliknij pozycję Wartość wielociągowa.
W kolumnie Nazwa wpisz BackConnectionHostNames, a następnie naciśnij klawisz ENTER.
Kliknij prawym przyciskiem myszy pozycję BackConnectionHostNames, a następnie kliknij przycisk Modyfikuj.
W polu Dane wartości wpisz CNAME lub alias DNS, który jest używany dla udziałów lokalnych na komputerze, a następnie kliknij przycisk OK.
Uwaga
- Wpisz każdą nazwę hosta w osobnym wierszu.
- Jeśli wpis rejestru BackConnectionHostNames istnieje jako typ REG_DWORD, musisz usunąć wpis rejestru BackConnectionHostNames.
Zakończ działanie Edytora rejestru, a następnie ponownie uruchom komputer.
Metoda 2. Wyłączanie sprawdzania sprzężenia zwrotnego uwierzytelniania
Ponownie włącz zachowanie, które istnieje w systemie Windows Server 2003, ustawiając wpis rejestru DisableLoopbackCheck w podkluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry
na 1. Aby ustawić wpis rejestru DisableLoopbackCheck na 1, wykonaj następujące kroki na komputerze klienckim:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
Odszukaj, a następnie kliknij następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Kliknij prawym przyciskiem myszy pozycję Lsa, wskaż pozycję Nowy, a następnie kliknij pozycję Wartość DWORD .
Wpisz DisableLoopbackCheck, a następnie naciśnij klawisz ENTER.
Kliknij prawym przyciskiem myszy pozycję DisableLoopbackCheck, a następnie kliknij przycisk Modyfikuj.
W polu Dane wartości wpisz 1, a następnie kliknij przycisk OK.
Zamknij Edytor rejestru.
Uruchom ponownie komputer.
Uwaga
Aby ta zmiana została wprowadzona, należy ponownie uruchomić serwer. Domyślnie funkcja sprawdzania sprzężenia zwrotnego jest włączona w systemie Windows Server 2003 z dodatkiem SP1, a wpis rejestru DisableLoopbackCheck jest ustawiony na 0 (zero). Zabezpieczenia są zmniejszane po wyłączeniu sprawdzania sprzężenia zwrotnego uwierzytelniania i otwarciu serwera z systemem Windows Server 2003 w przypadku ataków typu man-in-the-middle (MITM) na NTLM.
Stan
Firma Microsoft potwierdziła, że jest to problem w produktach firmy Microsoft wymienionych na początku tego artykułu.
Więcej informacji
Po zainstalowaniu 957097 aktualizacji zabezpieczeń aplikacje takie jak SQL Server lub Internet Information Services (IIS) mogą zakończyć się niepowodzeniem podczas wykonywania lokalnych żądań uwierzytelniania NTLM.
Aby uzyskać więcej informacji na temat sposobu rozwiązania tego problemu, zobacz sekcję "Znane problemy z tą aktualizacją zabezpieczeń" artykułu KB 957097.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla