Gaunate yra "HTTP klaida 401.1 – neleistina: prieiga uždrausta dėl neteisingi kredencialai" klaidos pranešimas, kai bandote pasiekti svetainę, kuri yra dalis IIS 6.0 programų telkinį

Požymiai

Kai jūs bandote prieiti prie Microsoft interneto informacijos tarnybų (IIS) 6.0 interneto svetainę, kuri yra sukonfigūruotas naudoti tik integruotu Windows autentifikavimu, esate raginami įvesti savo vartotojo kredencialus. Kai bandote įeiti, galite gauti įėjimo langą dar kartą. Kai bandote įeiti tris kartus, galite gauti tokį klaidos pranešimą:
HTTP klaida 401.1 – neteisėta: Prieiga uždrausta dėl neteisingi kredencialai.

Priežastis

Ši problema gali kilti esant šioms sąlygoms:
  • IIS 6.0 versijos žiniatinklio svetainės yra IIS programų telkinio dalis.
  • Programų telkinys veikia vietinės sąskaitos arba domeno vartotojo abonementą.
  • Svetainėje yra sukonfigūruotas naudoti tik integruotu Windows autentifikavimu.
Pagal šį scenarijų, integruotu Windows autentifikavimu bando naudoti Kerberos, Kerberos autentifikavimo gali neveikti. Norėdami naudoti Kerberos autentifikavimą, paslauga užregistruoti savo pagrindinis tarnybos pavadinimas (SPN) pagal tą sąskaitą į Active Directory katalogo tarnybą, kad paleistas pagal. Pagal numatytuosius nustatymus Active Directory registruoja tinklo pagrindinę įvesties ir išvesties sistemą (NetBIOS) kompiuterio pavadinimą. Active Directory taip pat leidžia tinklo paslauga arba vietinės sistemos paskyros naudoti Kerberos.

Sprendimas

Jei taip atsitinka, kai programų telkinys veikia pagal vietinį abonementą, atlikite veiksmus, nurodytus skyriuje "Sprendimas".

Norėdami išspręsti šią problemą, kai programų telkinys veikia domeno vartotojo abonementą, nustatyti HTTP SPN su NetBIOS vardas ir visiškai apibrėžtą domeno vardą (FQDN), programų telkinys veikia domeno vartotojo abonemento. Norėdami tai padaryti, atlikite šiuos veiksmus domeno valdiklyje:

Svarbu. SPN, paslauga gali būti tik su viena sąskaita. Todėl, jei naudojate šį siūlomą sprendimą, kitų programų telkinys, kuriame veikia pagal skirtingas domeno vartotojo abonementą negalima naudoti su integruotu Windows autentifikavimu tik.
  1. Įdiekite įrankį Setspn.exe. Gauti įrankis Setspn.exe Microsoft Windows Server 2003, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
    970536 Setspn.exe paramos priemonė naujinimas, skirtas Windows Server 2003

  2. Paleiskite komandinę eilutę, ir tada pakeiskite katalogą, kuriame įdiegėte Setspn.exe.
  3. Komandinėje eilutėje įveskite toliau nurodytas komandas. Po kiekvienos komandos paspauskite ENTER:
    Setspn.exe -S http /IIS_computer's_NetBIOS_name domeno vardas\vartotojo vardas

    Setspn.exe -S http /IIS_computer's_FQDN domeno vardas\vartotojo vardas
    Pastaba. Vartotojo vardas yra vartotojo abonementas, veikia taikomųjų programų telkinyje. Atkreipkite dėmesį, kad jei jūs naudojate komandą setspn.exe Windows 2000 mašina, naudojamas - raktas vietoj -S jungiklis.
Kai nustatote HTTP paslaugos SPN domeno vartotojo abonementą, programų telkinys veikia, galite sėkmingai prisijungti į svetainę be raginimus įvesti savo vartotojo kredencialus.

Sprendimas

Norėdami išspręsti šią problemą, jei turite kelis programos telkiniai, vykdomos pagal skirtingas domeno vartotojų abonementus, turite priverstinai IIS naudoti NTLM kaip savo autentifikavimo mechanizmą, jei norite naudoti tik integruotu Windows autentifikavimu. Norėdami tai padaryti, atlikite šiuos veiksmus serveryje, kuriame veikia IIS:
  1. Paleiskite komandinę eilutę.
  2. Raskite ir tada pakeisti į katalogą, kuriame yra Adsutil.vbs failas. Pagal numatytuosius nustatymus šis katalogas yra C:\Inetpub\Adminscripts.
  3. Įveskite toliau nurodytą komandą ir paspauskite ENTER:
    Cscript adsutil.vbs nustatyti w3svc/NTAuthenticationProviders "NTLM"
  4. Norėdami įsitikinti, kad NtAuthenticationProviders metabazės ypatybė nustatyta kaip NTLM, įveskite toliau nurodytą komandą ir paspauskite ENTER:
    Cscript adsutil.vbs gauti w3svc/NTAuthenticationProviders
    Grąžinti toks tekstas:
    NTAuthenticationProviders       : (STRING) "NTLM" 

Būsena

Tai yra sisteminis apribojimas.

Daugiau informacijos

Jei nustatysite SPN naudojant tik FQDN serverio, kuriame veikia IIS, jūsų bus paprašyta įvesti savo vartotojo kredencialus po 30 minučių. 30 minučių skirtajam dėl to, kaip kad "Internet Explorer" išsaugo domenų vardų sistemos (DNS) informacija. Po 30 minučių, "Internet Explorer" grįžta į NetBIOS vardą. Todėl įsitikinkite, kad jūs taip pat registruotis SPN naudojant NetBIOS pavadinimą serverio, kuriame veikia IIS išvengti raginimus įvesti savo vartotojo kredencialus. Jei norite gauti daugiau informacijos, spustelėkite šį straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

263558 kaip "Internet Explorer" naudoja talpyklos DNS pagrindinio kompiuterio įrašams

Norėdami patikrinti, ar registruoti SPN, jūsų programų telkinys veikia pagal vartotojo abonemento, paleiskite komandinę eilutę, įveskite toliau nurodytą komandą iš kur Setspn.exe yra įdiegta katalogo ir paspauskite ENTER:
Setspn.exe -l vartotojo vardas
Ji buvo registruota vartotojo abonemento SPN sąrašą.

Interneto informacijos tarnybų (IIS) 7.0

Temos, aprašytus šiame straipsnyje taip pat gali būti IIS 7.0 jei patenkinama viena iš šių sąlygų:
  • Branduolio režimo autentifikavimas uždraustas.
  • Branduolio režimo autentifikavimas įjungiamas, ir useAppPoolCredentials atributas yra nustatyta kaip teisinga.

Nuorodos

Jei norite gauti papildomos informacijos apie Windows integruotasis autentifikavimas naudojant IIS taikomųjų programų telkiniai, apsilankykite šioje "Microsoft" svetainėje:Papildomos informacijos apie autentiškumo šaltinio ar prieigos kontrolės problemų sprendimas IIS, apsilankykite šioje "Microsoft" svetainėje:Pastaba. AuthDiag įrankis yra skirtas padėti jums, kai jūs matote vieną iš šių klaidos pranešimų:
  • 401.1 įeiti nepavyko
  • 401.3 ACL
AuthDiag įrankis taip pat gali padėti jums, kai kyla Kerberos problemų.
Savybės

Straipsnio ID: 871179 – Paskutinė peržiūra: 2017-02-18 – Peržiūra: 2

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0

Atsiliepimai