Feilmelding i IIS: "530 brukeren < brukernavn > kan ikke logge på. Pålogging mislyktes."


Vi anbefaler på det sterkeste at alle brukere har oppgradert til Microsoft Internet Information Services (IIS) versjon 7.0 kjører på Microsoft Windows Server 2008. IIS 7.0 øker betraktelig Web-infrastruktur. Hvis du vil ha mer informasjon om IIS-sikkerhetsrelaterte emner, kan du gå til følgende Microsoft-webområde:Hvis du vil ha mer informasjon om IIS 7.0, kan du gå til følgende Microsoft-webområde:

Symptomer


Når du bruker FTP-verktøyet til å koble til et FTP-område, får du følgende feilmelding:
530 brukeren < brukernavn > kan ikke logge på.
Pålogging mislyktes.

Årsak


Dette problemet oppstår når ett av følgende scenarier er sann:
  • Sikkerhetsinnstillingen Tillat bare anonyme tilkoblinger er aktivert i Microsoft Management Console (MMC).
  • Brukernavnet har ikke tillatelse til å logge på lokalt i Brukerbehandling.
  • Brukernavnet har ikke tillatelsen tilgang til denne datamaskinen fra nettverket i Brukerbehandling.
  • Domenenavnet er ikke angitt sammen med brukernavnet (i form av DOMENE\brukernavn).

Løsning


Løsning 1

Advarsel Når du konfigurerer webområdet til å kreve brukernavn og passord, påloggingsinformasjon og data som sendes over nettverket i klartekst og krypteres ikke på noen måte. Informasjonen er utsatt for oppfanging. Når du fjerner merket for Tillat bare anonyme tilkoblinger , anbefaler vi at du bruker SSL (Secure Socket LAYER) for FTP-området.


Fjern merket for Tillat bare anonyme tilkoblinger sikkerhet , følger du denne fremgangsmåten:

  1. Start Internet Service Manager (ISM) ISM laster snapin-modulen for Internet Information Server (IIS) for Microsoft Management Console (MMC).
  2. Høyreklikk standardmappe for FTP-område, og klikk deretter Egenskaper.
  3. Fjern merket for Tillat bare anonyme tilkoblinger sikkerhet i kategorien Sikkerhetskontoer .
  4. Klikk OK.

Løsning 2

Hvis du vil gi brukernavnet "Logg på lokalt"-tillatelse, følger du denne fremgangsmåten:

Windows NT 4.0-servere

  1. Klikk Brukerbehandling for domeneri Administrative verktøy-gruppen.

    Obs! Hvis brukernavnet ikke er medlem av standarddomene åpnet av Brukerbehandling, klikker du på bruker -menyen, og klikk deretter domenet Hvis du vil angi riktig domene. Hvis brukernavnet er medlem av brukerlisten for den lokale datamaskinen, skriver du inn \\ < datamaskinnavn > i domene -tekstboksen.
  2. Klikk Brukerrettigheterpolicyer for -menyen.
  3. Klikk Logg på lokalti rullegardinlisten rettigheter .
  4. Klikk Legg til, og Legg til riktig brukernavn (eller brukergruppe).
  5. Klikk OK to ganger.

Windows 2000-servere

Hvis du vil konfigurere logge seg på lokalt på en frittstående server, gjør du følgende:
  1. I Microsoft Management Console (MMC), åpne snapin-modulen for Lokal datamaskinpolicy . Følg denne fremgangsmåten:
    1. Klikk Start, Skriv inn MMC, og klikk deretter OK.
    2. Velg konsoll, klikker du Legg til/fjern snapin-modulog deretter Legg til.
    3. Velg Gruppepolicy, og klikk deretter Legg til.
    4. Kontroller at Gruppepolicy-objektet står lokale datamaskinen, og deretter klikker du Fullfør.
    5. Klikk Lukk, og deretter klikker du OK.
  2. Gi brukere eller brukergrupper rettigheten Logg på lokalt . Følg denne fremgangsmåten:
    1. Utvid følgende bane i MMC:
      Lokal datamaskin datamaskinpolicy\Datamaskinkonfigurasjon\Administrative Datamaskinkonfigurasjon\Windows Settings\Security innstillinger\Sikkerhetsinnstillinger\Lokale Policies\User tilordning av brukerrettigheter
    2. Dobbeltklikk logge seg på lokalt.
    3. Legg til noen brukere eller grupper som skal bruke Basic/Fjern tekst-godkjenning.
Obs! Microsoft anbefaler ikke at du installerer en IIS Web-server på en Windows 2000-domenekontroller. Trinnene nedenfor beskriver hvordan du konfigurerer logge seg på lokalt høyre ved hjelp av gruppepolicy, hvis det er nødvendig at du installerer en IIS Web-server på en Windows 2000-domenekontroller.


Hvis du vil konfigurere logge seg på lokalt direkte på en domenekontroller, gjør du følgende:
  1. I MMC, åpner du snapin-modulen for standard Policy for domenekontrollere. Følg denne fremgangsmåten:
    1. Klikk Start, Skriv inn MMC, og klikk deretter OK.
    2. Velg konsoll, klikker du Legg til/fjern snapin-modulog deretter Legg til.
    3. Velg Gruppepolicy, og klikk deretter Legg til.
    4. Klikk Bla gjennom.
    5. Dobbeltklikk domenekontrolleren for domenet.
    6. Dobbeltklikk Standard Policy for domenekontrollere, og klikk deretter Fullfør.
    7. Klikk Lukk, og deretter klikker du OK.
  2. Gi brukere eller brukergrupper rettigheten Logg på lokalt . Følg denne fremgangsmåten:
    1. Utvid følgende bane i MMC:
      Standard domene-kontrollere datamaskinpolicy\Datamaskinkonfigurasjon\Administrative Datamaskinkonfigurasjon\Windows Settings\Security innstillinger\Sikkerhetsinnstillinger\Lokale Policies\User tilordning av brukerrettigheter
    2. Dobbeltklikk logge seg på lokalt.
    3. Legg til noen brukere eller grupper som skal bruke Basic/Fjern tekst-godkjenning.
  3. Åpne en ledetekst, Skriv inn secedit/refreshpolicy maskin_policy, og lukk deretter ledeteksten for å oppdatere policyen.

Løsning 3

Avansert brukerrettigheten gir brukernavnet tillatelsen tilgang til denne datamaskinen fra nettverket ved å følge de samme trinnene som er beskrevet i løsning 2, men Velg koble til denne datamaskinen fra nettverket .

Løsning 4

Prøv å bruke kommandolinjeverktøy FTP og angi FTP-brukernavnet i formatet DOMENE\brukernavn når du logger deg inn på FTP-området. Hvis dette fungerer, og deretter kan du enten be alle brukerne om å logge på ved hjelp av formatet DOMENE\brukernavn , eller du kan angi standarddomene for godkjenning som FTP-tjenesten skal bruke til å godkjenne kontoer som ikke finnes lokalt, og som ikke var angitt i formatet DOMENE\brukernavn . For å gjøre dette må du gjøre endringer i metabasen.

Hvis du vil angi et standard påloggingsdomene slik at brukerne ikke trenger å skrive inn DOMENE\brukernavn ved pålogging til FTP-serveren, kan du bruke Windows Script Host (Hvis det ble installert under installasjonen av Windows NT Option Pack) eller NTOP-verktøyet Mdutil.exe.

Begge metodene beskrives nedenfor.

Hvis du vil bruke Windows Script Host-metoden, bruker du én av følgende metoder, avhengig av hvilken versjon av IIS som du kjører:


Obs! Du kan løse dette problemet ved å endre metabasen når FTP isolering typen er "Isolated (Active Directory)", eller hvis egenskapen UserIsolationMode er satt til 2 i IIS 6.0.

IIS 6.0

  1. Endre til mappen %Systemroot%\Inetpub\Adminscripts.
  2. Skriv inn følgende:
    Adsutil Sett MSFTPSVC DefaultLogonDomain "Domain Name"
    Kontroller at når du skriver inn navnet på domenet som det er satt i anførselstegn.
  3. Stopp og Start FTP-tjenesten.

IIS 5.0

  1. Endre til mappen %Systemroot%\Inetpub\Adminscripts.
  2. Skriv inn følgende:
    Adsutil Sett MSFTPSVC DefaultLogonDomain "Domain Name"
    Kontroller at når du skriver inn navnet på domenet som det er satt i anførselstegn.
  3. Stoppe FTP-tjenesten, og deretter starte FTP-tjenesten på nytt.

IIS 4.0

  1. Endre til mappen %systemroot%\system32\inetsrv\adminsamples.
  2. Skriv inn følgende:
    cscript //h:cscript
    Dette angir Cscript som standard WSH-tolken.
  3. Skriv inn følgende:
    Adsutil Sett MSFTPSVC DefaultLogonDomain "Domain Name"
    Kontroller at når du skriver inn navnet på domenet som det er satt i anførselstegn.
  4. Stoppe FTP-tjenesten, og deretter starte FTP-tjenesten på nytt.
Hvis Windows Script Host ikke ble installert under NTOP-installasjonen, kan du bruke Mdutil.exe. som følger:
  1. Kopier Mdutil.exe. fra CD-ROMen for Windows NT Option Pack i mappen %WINDIR%\System32\.

    Husk å kopiere Mdutil.exe. fra riktig plattform-mappen på CD-ROMen.
  2. Åpne en ledetekst, og endre til katalogen %WINDIR%\System32.
  3. Utføre kommandoen nedenfor erstatter < domenenavn > med navnet på kontodomenet du vil godkjenne brukeren mot som standard:

    mdutil set msftpsvc/DefaultLogonDomain -utype UT_Server -dtype String -value <DomainName>
    Kontroller at det er skrevet inn < domenenavn > uten anførselstegn.
  4. Når kommandoen er fullført, kan du stoppe og starte FTP-tjenesten.