Сообщение об ошибке при попытке локального доступа к серверу с помощью его полного доменного имени или псевдонима CNAME после установки Windows Server 2003 с пакетом обновления 1(SP1): Доступ запрещен или Сетевой поставщик не принял указанный сетевой путь

  • Статья

В этой статье описывается решение ошибки, возникающей при попытке локального доступа к серверу с помощью его полного доменного имени или псевдонима CNAME.

Применимо к: Windows Server 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний: 926642

Примечание.

В этой статье содержатся сведения о том, как снизить параметры безопасности или отключить функции безопасности на компьютере. Эти изменения можно внести, чтобы обойти определенную проблему. Перед внесением этих изменений рекомендуется оценить риски, связанные с реализацией этого обходного решения в конкретной среде. Если вы реализуете это обходное решение, выполните все необходимые дополнительные действия для защиты системы.

Симптомы

Рассмотрим следующий сценарий. Вы устанавливаете Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) на компьютере под управлением Windows Server 2003. После этого возникают проблемы с проверкой подлинности при попытке локального доступа к серверу с использованием его полного доменного имени (FQDN) или псевдонима CNAME в пути UNC: \\servername\sharename.

В этом сценарии возникает один из следующих симптомов:

  • Вы получите окна повторного входа.
  • Появляется сообщение об ошибке "Доступ запрещен".
  • Появляется сообщение об ошибке "Поставщик сети не принял указанный сетевой путь".
  • Событие с идентификатором 537 регистрируется в журнале событий безопасности.

Примечание.

Доступ к серверу можно получить с помощью его полного доменного имени или псевдонима CNAME с другого компьютера в сети, отличного от компьютера, на котором установлен Windows Server 2003 с пакетом обновления 1 (SP1). Кроме того, вы можете получить доступ к серверу на локальном компьютере, используя следующие пути:

  • \\IPaddress-of-local-computer
  • \\Netbiosname или \\ComputerName

Причина

Эта проблема возникает из-за того, что Windows Server 2003 с пакетом обновления 1 (SP1) включает новую функцию безопасности с именем loopback проверка функциональные возможности. По умолчанию функция замыкания на себя проверка включена в Windows Server 2003 с пакетом обновления 1 (SP1), а значение параметра DisableLoopbackCheck реестра равно 0 (ноль).

Примечание.

Функция замыкания на себя проверка хранится в подразделе реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Разрешение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Примечание.

При использовании этого обходного решения компьютер или сеть могут стать более уязвимыми для атак злоумышленников или вредоносных программ, например вирусов. Мы не рекомендуем это обходное решение, но предоставляем эти сведения, чтобы вы могли реализовать это решение по своему усмотрению. Ответственность за использование этого обходного пути несет пользователь.

Чтобы устранить эту проблему, задайте для параметра Реестра DisableStrictNameChecking значение 1. Затем используйте любой из следующих методов в соответствии с вашей ситуацией.

Для этого выполните следующие действия для всех узлов на клиентском компьютере:

  1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

  2. Найдите и откройте следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Щелкните правой кнопкой мыши MSV1_0, наведите указатель мыши на пункт Создать, а затем выберите Пункт Многострочного значения.

  4. В столбце Имя введите BackConnectionHostNames и нажмите клавишу ВВОД.

  5. Щелкните правой кнопкой мыши BackConnectionHostNames и выберите команду Изменить.

  6. В поле Данные значения введите CNAME или псевдоним DNS, который используется для локальных общих папок на компьютере, а затем нажмите кнопку ОК.

    Примечание.

    • Введите имя каждого узла в отдельной строке.
    • Если запись реестра BackConnectionHostNames существует как тип REG_DWORD, необходимо удалить запись реестра BackConnectionHostNames.

  7. Закройте редактор реестра и перезагрузите компьютер.

Метод 2. Отключение проверка замыкания на себя проверки подлинности

Повторно включите поведение, существующее в Windows Server 2003, задав для записи реестра DisableLoopbackCheck в подразделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry значение 1. Чтобы задать для параметра Реестра DisableLoopbackCheck значение 1, выполните следующие действия на клиентском компьютере:

  1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

  2. Найдите и откройте следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Щелкните правой кнопкой мыши Lsa, наведите указатель мыши на пункт Создать, а затем выберите значение DWORD .

  4. Введите DisableLoopbackCheck и нажмите клавишу ВВОД.

  5. Щелкните правой кнопкой мыши DisableLoopbackCheck и выберите команду Изменить.

  6. В поле Значение введите 1 и нажмите кнопку ОК.

  7. Закройте редактор реестра.

  8. Перезагрузите компьютер.

Примечание.

Чтобы это изменение вступило в силу, необходимо перезапустить сервер. По умолчанию функция замыкания на себя проверка включена в Windows Server 2003 с пакетом обновления 1 (SP1), а запись реестра DisableLoopbackCheck имеет значение 0 (ноль). Безопасность снижается при отключении замыкания на себя проверки подлинности проверка и открытии сервера Windows Server 2003 для атак "человек в середине" (MITM) на NTLM.

Состояние

Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в начале этой статьи.

Дополнительная информация

После установки обновления безопасности 957097 приложения, такие как SQL Server или службы IIS, могут завершиться сбоем при выполнении локальных запросов на проверку подлинности NTLM.

Дополнительные сведения о том, как устранить эту проблему, см. в разделе "Известные проблемы с этим обновлением для системы безопасности" статьи базы знаний 957097.