Felmeddelande när du försöker komma åt en server lokalt med hjälp av dess FQDN eller dess CNAME-alias när du har installerat Windows Server 2003 Service Pack 1: Åtkomst nekad eller Ingen nätverksleverantör accepterade den angivna nätverkssökvägen

  • Artikel

Den här artikeln innehåller en lösning på ett fel som uppstår när du försöker komma åt en server lokalt med hjälp av dess FQDN eller dess CNAME-alias.

Gäller för: Windows 7 Service Pack 1, Windows Server 2012 R2
Ursprungligt KB-nummer: 926642

Obs!

Den här artikeln innehåller information som visar hur du kan sänka säkerhetsinställningarna eller inaktivera säkerhetsfunktioner på en dator. Du kan göra dessa ändringar för att kringgå ett specifikt problem. Innan du gör dessa ändringar rekommenderar vi att du utvärderar de risker som är associerade med att implementera den här lösningen i din miljö. Om du implementerar den här lösningen kan du vidta lämpliga ytterligare åtgärder för att skydda systemet.

Symptom

Tänk dig följande scenario: Du installerar Microsoft Windows Server 2003 Service Pack 1 (SP1) på en Windows Server 2003-baserad dator. När du gör det uppstår autentiseringsproblem när du försöker komma åt en server lokalt med hjälp av dess fullständigt kvalificerade domännamn (FQDN) eller dess CNAME-alias i UNC-sökvägen (Universal Naming Convention): \\servername\sharename.

I det här scenariot får du något av följande symptom:

  • Du får upprepade inloggningsfönster.
  • Du får felmeddelandet "Åtkomst nekad".
  • Felmeddelandet "Ingen nätverksprovider accepterade den angivna nätverkssökvägen" visas.
  • Händelse-ID 537 loggas i händelseloggen Säkerhet.

Obs!

Du kan komma åt servern med hjälp av dess FQDN eller dess CNAME-alias från en annan dator i nätverket än den här datorn där du installerade Windows Server 2003 SP1. Dessutom kan du komma åt servern på den lokala datorn med hjälp av följande sökvägar:

  • \\IPaddress-of-local-computer
  • \\Netbiosname eller \\ComputerName

Orsak

Det här problemet beror på att Windows Server 2003 SP1 innehåller en ny säkerhetsfunktion med namnet loopback check functionality. Som standard är loopback-kontrollfunktionen aktiverad i Windows Server 2003 SP1 och värdet för registerposten DisableLoopbackCheck är inställt på 0 (noll).

Obs!

Funktionen för loopback-kontroll lagras i registerundernyckeln: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Åtgärd

Viktigt

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.

Obs!

Den här lösningen kan göra din dator eller ditt nätverk mer sårbart för angrepp från skadliga användare eller av skadlig programvara som virus. Vi rekommenderar inte den här lösningen men tillhandahåller den här informationen så att du kan implementera den här lösningen efter eget gottfinnande. Använd den här lösningen på egen risk.

Lös problemet genom att ange registerposten DisableStrictNameChecking till 1. Använd sedan någon av följande metoder, efter behov för din situation.

Gör detta genom att följa dessa steg för alla noder på klientdatorn:

  1. Klicka på Start och Kör, skriv regedit och klicka sedan på OK.

  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Högerklicka på MSV1_0, peka på Ny och klicka sedan på Flersträngsvärde.

  4. I kolumnen Namn skriver du BackConnectionHostNames och trycker sedan på RETUR.

  5. Högerklicka på BackConnectionHostNames och klicka sedan på Ändra.

  6. I rutan Värdedata skriver du CNAME eller DNS-aliaset som används för de lokala resurserna på datorn och klickar sedan på OK.

    Obs!

    • Ange varje värdnamn på en separat rad.
    • Om registerposten BackConnectionHostNames finns som en REG_DWORD typ måste du ta bort registerposten BackConnectionHostNames.

  7. Stäng Registereditorn och starta om datorn.

Metod 2: Inaktivera autentiseringsloopback-kontrollen

Återaktivera det beteende som finns i Windows Server 2003 genom att ange registerposten DisableLoopbackCheck i undernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry till 1. Om du vill ange registerposten DisableLoopbackCheck till 1 följer du dessa steg på klientdatorn:

  1. Klicka på Start och Kör, skriv regedit och klicka sedan på OK.

  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Högerklicka på Lsa, peka på Ny och klicka sedan på DWORD-värde .

  4. Skriv DisableLoopbackCheck och tryck sedan på RETUR.

  5. Högerklicka på DisableLoopbackCheck och klicka sedan på Ändra.

  6. Ange 1 i rutan Värdedata och klicka sedan på OK.

  7. Avsluta Registereditorn.

  8. Starta om datorn.

Obs!

Du måste starta om servern för att ändringen ska börja gälla. Som standard är loopback-kontrollfunktionen aktiverad i Windows Server 2003 SP1 och registerposten DisableLoopbackCheck är inställd på 0 (noll). Säkerheten minskas när du inaktiverar autentiseringsloopback-kontrollen och öppnar Windows Server 2003-servern för MITM-attacker (man-in-the-middle) på NTLM.

Status

Microsoft har bekräftat att detta är ett problem i De Microsoft-produkter som visas i början av den här artikeln.

Mer information

När du har installerat 957097 kan program som SQL Server eller Internet Information Services (IIS) misslyckas när lokala NTLM-autentiseringsbegäranden görs.

Mer information om hur du löser det här problemet finns i avsnittet "Kända problem med den här säkerhetsuppdateringen" i KB-artikeln 957097.