Recebe o erro 401.1 quando navega num Web site que utiliza Autenticação Integrada e está hospedado no IIS 5.1 ou posterior

Sintomas
Quando utiliza o nome de domínio totalmente qualificado (FQDN) ou um cabeçalho de anfitrião personalizado para navegar num Web site local hospedado num computador com os Serviços de Informação Internet da Microsoft (IIS) 5.1 ou versão posterior em execução, poderá receber uma mensagem de erro semelhante à seguinte:
HTTP 401.1 - Não autorizado: Falha no início de sessão
Este problema ocorre quando o Web site utiliza autenticação integrada e tem um nome mapeado para o endereço de loopback local.

Nota: esta mensagem de erro apenas é apresentada se tentar navegar no Web site directamente a partir do servidor. Se navegar no Web site a partir de um computador cliente, o Web site funciona como esperado.

Além disso, uma mensagem de evento semelhante à seguinte é registada no registo de eventos de segurança. Esta mensagem de evento inclui alguns caracteres estranhos no valor da entrada do Processo de início de sessão:

Tipo de Evento: Auditoria sem êxito
Origem do Evento: Segurança
Categoria do Evento: Início/fim de sessão
ID do Evento: 537
Data: Data
Hora: Hora
Utilizador: NT AUTHORITY\SYSTEM
Computador: Nome_computador
Descrição: Início de sessão sem êxito:
Motivo: Ocorreu um erro durante o início de sessão
Nome de Utilizador: nome_utilizador
Domínio: nome_domínio
Tipo de início de sessão: 3
Processo de início de sessão: Ðùº
Pacote de Autenticação: NTLM
Nome da estação de trabalho: nome_computador
Código de estado: 0xC000006D
Código de subestado: 0x0
Nome de utilizador do autor de chamada: -
Domínio do autor de chamada: -
ID de início de sessão do autor de chamada: -
ID de processo do autor de chamada: -
Serviços transitados: -
Endereço de rede de origem: endereço_IP
Porta de origem: número_porta

Nota: ocasionalmente, os caracteres estranhos apresentados nesta mensagem de evento podem ser semelhantes aos que se seguem:
Ðù²
Também é possível que receba uma mensagem de erro semelhante à seguinte ao tentar depurar um projecto do Microsoft ASP.NET no Microsoft Visual Studio 2003:
Error while trying to run project: Unable to start debugging on the web server. You do not have permissions to debug the server.

Verify that you are a member of the 'Debugger Users' group on the server.
Nota: a palavra "Web" está incorrectamente escrita em maiúsculas nesta mensagem de erro.

As chamadas efectuadas a partir de um serviço Web não resultam numa mensagem HTTP 401 nos registos do IIS. Poderá encontrar uma mensagem HTTP 401 na secção da descrição de um evento do erro de uma aplicação que utilize um serviço Web. Por exemplo, este comportamento poderá ocorrer no Microsoft Commerce Server 2002. Se este comportamento ocorrer, é um sintoma de uma alteração efectuada pelo Microsoft Windows Server 2003 Service Pack 1 (SP1) e pela funcionalidade de segurança de verificação do loopback.
Causa
Este problema ocorre caso instale o Microsoft Windows XP Service Pack 2 (SP2) ou o Microsoft Windows Server 2003 Service Pack 1 (SP1). O Windows XP SP2 e o Windows Server 2003 SP1 incluem uma funcionalidade de segurança de verificação do loopback concebida para ajudar a prevenir ataques por reflexão ao computador. Por conseguinte, a autenticação falha se o FQDN ou o cabeçalho de anfitrião personalizado que utilizar não corresponder ao nome do computador local.
Como contornar
Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows


Em seguida, apresentamos dois métodos para contornar este problema. Utilize um deles, conforme adequado à situação.

Método 1: Desactivar a verificação do loopback

O primeiro método consiste em desactivar a verificação do loopback definindo a chave de registo DisableLoopbackCheck.

Para nos solicitar a correcção deste problema, consulte a secção "Corrigir por mim". Se preferir corrigir este problema sozinho, consulte a secção "Deixar-me corrigir o problema".

Corrigir por mim

Para definir a chave de registo DisableLoopbackCheck automaticamente, clique na hiperligação Corrigir este problema. Clique em Executar, na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos indicados no assistente de correcção.



Nota: embora este assistente possa estar apenas em inglês, a correcção automática também funciona em versões do Windows noutros idiomas.

Nota: se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD e, em seguida, executá-la no computador com o problema.

Deixar-me corrigir o problema

Para definir a chave de registo DisableLoopbackCheck sozinho, siga estes passos:
  1. Defina a entrada de registo
    DisableStrictNameChecking
    para 1. Para obter mais informações sobre este procedimento, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
    281308 A ligação a uma partilha SMB num computador baseado no Windows 2000 ou no Windows Server 2003 pode não funcionar com um nome de alias (em inglês)
  2. Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.
  3. No Editor de registo, localize e clique na seguinte chave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. Clique com o botão direito do rato em Lsa, aponte para Novo e clique em Valor DWORD.
  5. Escreva DisableLoopbackCheck e prima ENTER.
  6. Clique com o botão direito do rato em DisableLoopbackCheck e clique em Modificar.
  7. Na caixa Dados do valor, escreva 1 e clique em OK.
  8. Saia do Editor de registo e reinicie o computador.

Método 2: Especificar nomes de anfitrião

Para especificar os nomes de anfitrião que se encontram mapeados para o endereço de loopback e poder ligar a Web sites no computador, siga estes passos:
  1. Defina a entrada de registo
    DisableStrictNameChecking
    para 1. Para obter mais informações sobre este procedimento, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
    281308 A ligação a uma partilha SMB num computador baseado no Windows 2000 ou no Windows Server 2003 pode não funcionar com um nome de alias (em inglês)
  2. Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.
  3. No Editor de registo, localize e clique na seguinte chave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  4. Clique com o botão direito do rato em MSV1_0, aponte para Novo e clique em Valor de múltiplas cadeias.
  5. Escreva BackConnectionHostNames e prima ENTER.
  6. Clique com o botão direito do rato em BackConnectionHostNames e clique em Modificar.
  7. Na caixa Dados do valor, escreva o nome, ou nomes, de anfitrião para os sites que se encontram no computador local e clique em OK.
  8. Saia do Editor de registo e reinicie o serviço IISAdmin.
Ponto Da Situação
Este comportamento ocorre por predefinição.
Mais Informação
Após instalar a actualização de segurança 957097, é possível que aplicações como o Microsoft SQL Server ou o IIS falhem ao efectuar pedidos de autenticação NTLM locais. Para mais informações sobre como resolver este problema, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
957097 MS08-068: Vulnerabilidade no SMB pode permitir execução remota de código
Para mais informações sobre como resolver este problema, consulte a secção "Problemas conhecidos relacionados com esta actualização de segurança" da actualização de segurança 957097.
Referências
Para obter mais informações, clique nos números de artigo que se seguem para ver os artigos na Base de Dados de Conhecimento Microsoft:
926642 Mensagem de erro ao tentar aceder a um servidor localmente utilizando o respectivo alias FQDN ou CNAME após ter instalado o Windows Server 2003 Service Pack 1: "Acesso negado" ou "Nenhum fornecedor de rede aceitou o caminho de rede indicado"
917664 Mensagem de erro ao tentar instalar o Microsoft Operations Manager 2005 Reporting: "Código de erro: -2147467259 (Erro não especificado)"
Windows 2003 SP1 FrontPage Server Extensions SharePoint Administration fixit fix it
Propriedades

ID do Artigo: 896861 - Última Revisão: 02/25/2010 12:50:53 - Revisão: 11.0

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services version 5.1, Microsoft Visual Studio .NET 2003 Enterprise Architect, Microsoft Visual Studio .NET 2003 Enterprise Developer

  • kbmsifixme kbfixme kbtshoot kbprb KB896861
Comentários