Felsöka HTTP 401-fel i IIS

IIS Support Voice-spalt

Felsökning HTTP 401-fel i IIS

Om du vill anpassa den här spalten efter dina behov, skicka in dina idéer om ämnen som intresserar dig och frågor som du vill ta upp i framtida Knowledge Base-artiklar och Support Voice-kolumner. Du kan skicka in dina idéer och kommentarer med hjälp av formuläret Ask for it. Det finns också en länk till formuläret längst ner i denna spalt.

Inledning

Hej. Mitt namn är Lou Prete. Jag har försett Microsoft Internet Information Services (IIS) med support under de senaste fem åren och har varit ansvarig för IIS-innehåll de senaste två åren.

HTTP 401-fel är bland de vanligaste felen som rör IIS. Medan orsakerna till dessa fel kan variera stort kan orsakerna inordnas i ett begränsat antal kategorier. Att korrekt identifiera den orsakskategori till ditt HTTP 401-fel kan minska mängden tid som behövs för att identifiera orsaken till felet.

Ett utmärkt verktyg för felsökning av dessa problem är verifierings- och åtkomstkontrollsdiagnostik eller AuthDiag. Du kan hämta verktyget från följande Microsoft Download Center-webbplats:Detta verktyg är också en del av IIS Diagnostics Toolkit som du kan ladda ner från följande Microsoft Download Center-webbplats: I nästan varje situation som beskrivs i den här spalten kan AuthDiag ge snabba svar på aktuellt HTTP 401-fel.

I den här spalten kommer jag att beskriva en effektiv metod för att identifiera och korrigera de vanligaste problemen som leder till HTTP 401-fel. Jag kommer också att peka ut ett antal artiklar i Microsoft Knowledge Base som kan vara användbara och ett antal verktyg som hjälper dig längs din väg.

Felsökningsmetoder

Identifiera understatuskoden av HTTP 401-felet

Det finns två vanliga sätt att identifiera understatuskoden:
 • Starta i IIS 6.0, understatuskoden loggas i webbloggar. Webbloggarna finns på följande plats:
  %SYSTEMROOT%\System32\LogFiles\W3SVC###\
  I webbloggarna representerar de tre sista siffrorna i varje post status, understatus och Win32-status.
  #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-Sub-status sc-win32-status
  2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 2 2148074254
  2006-03-06 20:37:42 W3SVC1 192.168.1.101 GET /default.aspx - 80 - 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 401 1 0
  2006-03-06 20:38:36 W3SVC1 192.168.1.101 GET /default.aspx - 80 DOMAIN\user 192.168.17.45 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+InfoPath.1) 200 0 0
 • I IIS-versioner tidigare än IIS 6.0 loggas inte understatuskoden i Web-loggar. I dessa fall (eller i fall där man inte har tillgång till webbloggar), kan du använda den information som skickas tillbaka till webbläsaren. I Microsoft Internet Explorer måste du inaktivera inställningenVisa egna HTTP-felmeddelanden. Med denna ändring bör du se en felsida som liknar den nedan. I detta fall fick vi ett HTTP 401.2-fel och sidan ger även en kort beskrivning av vad felet betyder:
  Du har inte tillåtelse att visa denna sida

  Dina autentiseringsuppgifter ger dig inte behörighet att visa angiven katalog eller sida, eftersom webbläsaren skickar ett WWW-autentiseringshuvudfält som webbservern inte konfigurerats för att godta.

  Försök med följande:
  Kontakta webbplatsens administratör om du tror att du ska kunna visa den här katalogen eller sidan.
  Klicka på Uppdatera och försök igen med andra autentiseringsuppgifter.

  HTTP Fel 401.2 - Obehörig: Åtkomst nekad på grund av serverkonfiguration. IIS (Internet Information Services)

  Teknisk information (för supportpersonal)
  Gå till Microsoft Product Support Services och gör en sökning efter orden HTTP och 401.
  Öppna IIS Hjälp, som är tillgänglig i IIS Manager (inetmgr) och sök efter ämnen med titeln Om säkerhet, Autentisering, och Om anpassade felmeddelanden.
Obs!Du kan också använda verktyg, såsom WFetch och Network Monitor, för att samla understatuskoder.
Om du vill veta mer om de här verktygen klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
284285 Hur du använder Wfetch.exe för felsökning av HTTP-anslutningar (Detta kan vara på engelska)
812953 Hur du använder Network Monitor för att fånga nätverkstrafik (Detta kan vara på engelska)

Basera din felsökning på understatuskoden

När du vet HTTP understatuskoden, kan du fokusera på frågor som rör just understatus. Alla andra fel kan ignoreras.
HTTP 401.1: Nekad av ogiltig användarinformation
Beskrivning

IIS kunde inte logga in en användare för att utföra begäran. Alla begäranden måste vara associerade med en användare, även om begäran är anonym.

Vanliga orsaker
 • Fel användarnamn eller lösenord tillhandahålls. Identifiera användares som inte kunde logga in och korrigera användarnamn eller lösenord.
 • Kerberos-autentisering misslyckas.
  Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  326985 Felsökning av Kerberos-relaterade problem i IIS (Detta kan vara på engelska)
  Andra användbara artiklar om Kerberos:
  871179 Du får ett "HTTP-fel 401.1 - Obehörig: Åtkomst nekas på grund av ogiltiga autentiseringsuppgifter" felmeddelande när du försöker komma åt en webbplats som är en del av en IIS 6.0 programpool (Detta kan vara på engelska)
 • Principer för lokal eller domän eller tilldelning av användarrättigheter hindrar användaren från att komma åt servern. Om servern är konfigurerad för att granska misslyckade inloggningar, kan det finnas ytterligare information i säkerhetsloggen. Se följande artiklar för nödvändiga användarrättigheter:
  812614 Standardbehörigheter och användarrättigheter för IIS 6.0 (Detta kan vara på engelska)
  271071 Ställa in obligatoriska NTFS-behörigheter och användarrättigheter för en IIS 5.0-webbserver (Detta kan vara på engelska)
  832981 Användare kan inte komma åt webbplatser när säkerhetsloggen är full (Detta kan vara på engelska)
  300549 Aktivera och använda säkerhetsgranskning i Windows 2000 (Detta kan vara på engelska)
 • Detta fel kan också uppstå när anonym åtkomst är konfigurerad. Detta kan inträffa om användarnamn eller lösenord för det anonyma kontot som lagras i IIS-metabasen skiljer sig från den faktiska information som lagras i den lokala användardatabasen (eller Active Directory-katalogtjänsten, om ett domänkonto används). Återställa lösenordet för kontot och IIS löser problemet.
 • När du uppgraderar en server som kör IIS 5.0 till IIS 6.0, kör ​s​IIS i IIS 5.0 kompatibilitetsläge. När servern är inställd på IIS 6.0 isoleringsläget kan du se HTTP 401.1-fel på anonyma begäranden. Detta beror på anonym lösenordssynkronisering för IIS 5.0. För att lösa detta problem, ställ inAnonymousPasswordSyncmetabasnyckeln till false, och återställ den anonyma användarens lösenord för kontot och i IIS.
 • Om du vill veta mer om detta fel klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
  896861 Det visas ett 401.1-felmeddelande när du går till en webbplats där Integrated Authentication används och där webbplatsen körs på IIS 5.1 eller IIS 6 (Detta kan vara på engelska)
  304201 Kan inte komma åt webbplatser eller kan inte starta IIS-tjänster som körs under icke-lokala systemkonton och använda Windows-autentisering med IIS (Detta kan vara på engelska)
  263140 Anonym och grundläggande autentisering misslyckas när du ansluter till IIS 5.0 på en domänkontrollant (Detta kan vara på engelska)
HTTP 401.2: Förnekas av serverkonfiguration
Beskrivning

Klientens webbläsare och IIS kunde inte enas om ett autentiseringsprotokoll.

Vanliga orsaker
 • Inget autentiseringsprotokoll (inklusive anonyma) är markerat i IIS. Du måste välja minst en autentiseringstyp.
  Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  253667 Felmeddelande: HTTP 401.2 - Obehörig: Inloggningen misslyckades på grund av serverkonfiguration med ingen autentisering (Detta kan vara på engelska)
 • Endast integrerad autentisering är aktiverad och äldre, Internet Explorer-klientens webbläsare försöker komma åt webbplatsen. Detta händer eftersom klientens webbläsare inte kan utföra en integrerad autentisering. Lös problemet med en av följande metoder:
  • Konfigurera IIS för att acceptera grundläggande autentisering. Detta bör endast ske över SSL av säkerhetsskäl.
  • Använd en webbläsare som kan utföra en integrerad autentisering. Internet Explorer och nya versioner av Netscape Navigator och Mozilla Firefox kan utföra integrerad autentisering.
 • Integrerad autentisering via en proxyserver. Detta händer eftersom proxy inte behåller den NTLM-autentiserade anslutningen och därmed skickar en anonym begäran från klienten till servern. Alternativ för att lösa problemet:
  • Konfigurera IIS för att acceptera grundläggande autentisering. Detta bör endast ske över SSL av säkerhetsskäl.
  • Använd inte en proxy.
HTTP 401.3: Förnekas av ACL-resurs
Beskrivning

Detta fel returneras när användaren autentiseras till servern, men användaren har inte NTFS-behörigheter till det begärda innehållet.

Gemensamma lösningar
 • Korrekt NTFS-behörigheter på innehållet. Granska avsnittet "NTFS-behörigheter" i följande artiklar:
  812614 Standardbehörigheter och användarrättigheter för IIS 6.0 (Detta kan vara på engelska)
  271071 Ställa in obligatoriska NTFS-behörigheter och användarrättigheter för en IIS 5.0-webbserver (Detta kan vara på engelska)
 • Kontrollera att rätt autentiseringsmetod anges. Till exempel när du använder integrerad autentisering, uppger användarna inte autentiseringsuppgifter. I detta fall kan det vara oklart om begäran autentiserar eller inte.
 • Om innehållet finns på en fjärresurs kontrollerar du att användarna har tillräckliga NTFS- och resursbehörigheter.
  Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  332142 NTLM-begäranden för innehåll på UNC-resurs kan returneras med 401-felmeddelanden (Detta kan vara på engelska)
HTTP 401.4: Nekas av anpassat ISAPI-filter
Beskrivning

Ett inläst ISAPI-filter nekade begäran.

Lösning

Identifiera vilket ISAPI-filter som nekade begäran och kontakta utvecklaren eller leverantören för att fastställa en lösning.
HTTP 401.5: Nekas av anpassad ISAPI/CGI-webbapplikation
Beskrivning

Ett ISAPI-tillägg eller CGI-program nekade begäran.

Lösning

Identifiera vilka ISAPI-tillägg eller CGI-program som nekade begäran och kontakta utvecklaren eller leverantören för att fastställa en lösning.

Sammanfattning

Sammanfattningsvis, när du felsöker HTTP 401-fel, bör det första steget vara att alltid bestämma understatuskoden.
 • 401.1: Autentisering försöktes, men misslyckades.
 • 401.2 Autentisering gjordes inte eftersom servern och klienten inte kunde komma överens om ett autentiseringsprotokoll.
 • 401.3: Autentisering lyckades, men det konto som autentiserades har inte tillräcklig behörighet för att komma åt den begärda resursen eller innehållet.
 • 401.4: Ett ISAPI-filter nekade begäran.
 • 401.5: Ett ISAPI-tillägg eller CGI-program nekade begäran.

Användbara verktyg och resurser

Microsoft-verktyg

Tredjepartsverktyg

Tills nästa gång, tack för din tid och ha en bra dag. Du är alltid välkommen att lämna idéer om ämnen som du vill ta upp i kommande spalter eller i Knowledge Base med formuläretAsk For It.

Kontaktinformationen för andra företag som lämnas i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.


De produkter från andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillförlitlighet kan därför inte garanteras.
Egenskaper

Artikel-id: 907273 – senaste granskning 24 maj 2012 – revision: 1

Microsoft Internet Information Services 6.0, Microsoft Internet Information Server 1.01

Feedback