Você está offline; aguardando reconexão

As solicitações NTLM de conteúdo em compartilhamento UNC podem ser retornadas com mensagens de erro 401

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 332142
É altamente recomendável que todos os usuários atualizem para Microsoft (IIS) versão 7.0 em execução no Microsoft Windows Server 2008. O IIS 7.0 aumenta significativamente a segurança de infra-estrutura da Web. Para obter mais informações sobre tópicos relacionados à segurança do IIS, visite o seguinte site:Para obter mais informações sobre o IIS 7.0, visite o seguinte site:
Sintomas
Ao conteúdo armazenado em cache ou uma extensão ISAPI localizado em um UNC compartilhar e hospedada no Internet Information Services (IIS) é solicitada com NTLM autenticação, os usuários podem ver resultados inconsistentes. Em algumas situações o conteúdo é fornecido, mas em outras situações o usuário recebe a seguinte mensagem de erro, mesmo se o usuário for o mesmo:
HTTP 401.3
Acesso negado pela ACL no recurso
Causa
Quando um servidor IIS contém conteúdo ou uma extensão ISAPI que está localizada em um UNC compartilhamento sem delegação, uma solicitação autenticado NTLM para esse servidor IIS está sem êxito na primeira tentativa. A solicitação tiver êxito após uma solicitação autenticado Basic bem-sucedida. Você pode enfrentar comportamento semelhante para solicitações para outros tipos de conteúdo.
Situação
Esse comportamento é por design.
Mais Informações
A seqüência de eventos que faz com que esse comportamento para uma extensão ISAPI é da seguinte maneira:
  1. É feita uma solicitação que usa autenticação NTLM no servidor. IIS tenta chamar a função LoadLibraryW . Essa chamada não obtém êxito porque as credenciais NTLM não podem ser delegadas.

    Observação LoadLibraryW é a versão Unicode do LoadLibrary . LoadLibrary mapeia o módulo executável especificado no espaço de endereço do processo de chamada.
  2. O servidor recebe outra solicitação que usa autenticação básica (por exemplo, a solicitação é recebida de um cliente que está usando o Microsoft Windows 98 ou o Netscape). Nesse caso, porque o token pode ser delegado, a chamada LoadLibraryW for bem-sucedido e retorna um identificador é válido no IIS servidor.
  3. A função AccessCheck é chamada na alça para verificar se o usuário possui credenciais suficientes para fazer a solicitação. Se o usuário tem acesso, a solicitação terá êxito.

    Observação AccessCheck determina se um descritor de segurança concede um conjunto de direitos de acesso para cliente identificado por um token de acesso especificado.
  4. Uma nova solicitação que usa autenticação NTLM é recebida. Uma chamada LoadLibraryW não é necessária porque um identificador para a extensão foi carregado no servidor IIS quando a solicitação de autenticação básica anterior bem-sucedida. (No caso de conteúdo em um compartilhamento UNC, o conteúdo pode em ser cache no servidor da solicitação de Basic bem-sucedida.) AccessCheck é chamado no identificador. Isso pode ser feito sem delegação porque todos os objetos e tokens agora são locais. Se AccessCheck for bem-sucedida, o IIS permite que a solicitação.

    importante AccessCheck é chamado em cada solicitação. Se AccessCheck falhar, o IIS retorna uma mensagem de erro (não autorizado) HTTP 401. Devido a isso, nenhum usuário terá acesso sem credenciais suficientes. Todos os três solicitações podem ser feitas pelo mesmo usuário, por diferentes usuários, ou qualquer combinação dos dois. O fator importante é se IIS já tiver uma alça de ou em cache o conteúdo para a solicitação.
Com autenticação básica, recomendamos que os dados são criptografados usando SSL. Isso ocorre porque é muito fácil obter credenciais de um rastreamento de rede. Para obter mais informações sobre como instalar o SSL no IIS 5.0, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
228836Instalando um certificado novo com o Assistente de certificado para uso em SSL/TLS
Referências
Para obter mais informações sobre LoadLibrary , visite o seguinte site da Web Microsoft Developer Network (MSDN): Para obter mais informações sobre AccessCheck , visite o seguinte site da MSDN: Para obter mais informações sobre autenticação do IIS e por quê NTLM falha de delegação, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
264921Como o IIS autentica clientes de navegador
IIS 5

Propriedades

ID do Artigo: 332142 - Última Revisão: 07/07/2008 20:48:50 - Revisão: 5.2

Microsoft Internet Information Server 1.01, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services version 5.1, Microsoft Internet Information Services 5.0, Microsoft Internet Information Server 4.0

  • kbmt kbpending kbprb KB332142 KbMtpt
Comentários
pt>"); ocument.getElementsByTagName("head")[0].appendChild(m);