Fehlermeldung, wenn Sie versuchen, nach der Installation von Windows Server 2003 Service Pack 1 mithilfe seines FQDNs oder seines CNAME-Alias lokal auf einen Server zuzugreifen: Zugriff verweigert oder Kein Netzwerkanbieter hat den angegebenen Netzwerkpfad akzeptiert
Dieser Artikel bietet eine Lösung für einen Fehler, der auftritt, wenn Sie versuchen, lokal auf einen Server mithilfe des FQDN oder seines CNAME-Alias zuzugreifen.
Ursprüngliche KB-Nummer: 926642
Hinweis
Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie die Sicherheitseinstellungen verringern oder Sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir Ihnen, die Risiken zu bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um Ihr System zu schützen.
Problembeschreibung
Stellen Sie sich folgendes Szenario vor: Sie installieren Microsoft Windows Server 2003 Service Pack 1 (SP1) auf einem Windows Server 2003-basierten Computer. Danach treten Authentifizierungsprobleme auf, wenn Sie versuchen, lokal auf einen Server zuzugreifen, indem Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) oder seinen CNAME-Alias im UNC-Pfad (Universal Naming Convention) verwenden: \\servername\sharename.
In diesem Szenario treten die folgenden Symptome auf:
- Sie erhalten wiederholte Anmeldefenster.
- Sie erhalten die Fehlermeldung "Zugriff verweigert".
- Sie erhalten die Fehlermeldung "Kein Netzwerkanbieter hat den angegebenen Netzwerkpfad akzeptiert".
- Die Ereignis-ID 537 wird im Sicherheitsereignisprotokoll protokolliert.
Hinweis
Sie können über seinen FQDN oder seinen CNAME-Alias von einem anderen Computer im Netzwerk als diesem Computer, auf dem Sie Windows Server 2003 SP1 installiert haben, auf den Server zugreifen. Darüber hinaus können Sie auf den Server auf dem lokalen Computer zugreifen, indem Sie die folgenden Pfade verwenden:
- \\ IPaddress-of-local-computer
- \\ Netbiosname oder \\ComputerName
Ursache
Dieses Problem tritt auf, weil Windows Server 2003 SP1 ein neues Sicherheitsfeature mit dem Namen Loopback-Überprüfungsfunktionalität enthält. Standardmäßig ist die Loopbacküberprüfungsfunktion in Windows Server 2003 SP1 aktiviert, und der Wert des Registrierungseintrags DisableLoopbackCheck ist auf 0 (null) festgelegt.
Hinweis
Die Loopbacküberprüfungsfunktionalität wird im Registrierungsunterschlüssel gespeichert: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
.
Lösung
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Hinweis
Diese Problemumgehung kann Ihren Computer oder Ihr Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder durch Schadsoftware wie Viren machen. Wir empfehlen diese Problemumgehung nicht, stellen aber diese Informationen bereit, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.
Um dieses Problem zu beheben, legen Sie den Registrierungseintrag DisableStrictNameChecking auf 1 fest. Verwenden Sie dann je nach Situation eine der folgenden Methoden.
Methode 1 (empfohlen): Erstellen Sie die Hostnamen der lokalen Sicherheitsautorität, auf die in einer NTLM-Authentifizierungsanforderung verwiesen werden kann.
Führen Sie dazu die folgenden Schritte für alle Knoten auf dem Clientcomputer aus:
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
Klicken Sie auf den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Klicken Sie mit der rechten Maustaste auf MSV1_0, zeigen Sie auf Neu, und klicken Sie dann auf Multi-String-Wert.
Geben Sie in der Spalte Name den Namen BackConnectionHostNames ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf BackConnectionHostNames, und klicken Sie dann auf Ändern.
Geben Sie im Feld Wertdaten den CNAME- oder DNS-Alias ein, der für die lokalen Freigaben auf dem Computer verwendet wird, und klicken Sie dann auf OK.
Hinweis
- Geben Sie jeden Hostnamen in einer separaten Zeile ein.
- Wenn der Registrierungseintrag BackConnectionHostNames als REG_DWORD Typ vorhanden ist, müssen Sie den Registrierungseintrag BackConnectionHostNames löschen.
Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.
Methode 2: Deaktivieren der Authentifizierungsschleifenüberprüfung
Aktivieren Sie das in Windows Server 2003 vorhandene Verhalten erneut, indem Sie den Registrierungseintrag DisableLoopbackCheck im HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry
Unterschlüssel auf 1 festlegen. Führen Sie die folgenden Schritte auf dem Clientcomputer aus, um den Registrierungseintrag DisableLoopbackCheck auf 1 festzulegen:
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
Klicken Sie auf den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Klicken Sie mit der rechten Maustaste auf Lsa, zeigen Sie auf Neu, und klicken Sie dann auf DWORD-Wert .
Geben Sie DisableLoopbackCheck ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf DisableLoopbackCheck, und klicken Sie dann auf Ändern.
Geben Sie in das Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.
Beenden Sie den Registrierungs-Editor.
Starten Sie den Computer neu.
Hinweis
Sie müssen den Server neu starten, damit diese Änderung wirksam wird. Standardmäßig ist die Loopbacküberprüfungsfunktion in Windows Server 2003 SP1 aktiviert, und der Registrierungseintrag DisableLoopbackCheck ist auf 0 (null) festgelegt. Die Sicherheit wird verringert, wenn Sie die Authentifizierungsschleifenüberprüfung deaktivieren und den Windows Server 2003-Server für Man-in-the-Middle-Angriffe (MITM) auf NTLM öffnen.
Status
Microsoft hat bestätigt, dass dies ein Problem in den Microsoft-Produkten ist, die am Anfang dieses Artikels aufgeführt sind.
Weitere Informationen
Nach der Installation von Sicherheitsupdates 957097 können Anwendungen wie SQL Server oder Internetinformationsdienste (IIS) bei lokalen NTLM-Authentifizierungsanforderungen fehlschlagen.
Weitere Informationen zum Beheben dieses Problems finden Sie im Kb-Artikel 957097 im Abschnitt "Bekannte Probleme mit diesem Sicherheitsupdate".