Fehlermeldung, wenn Sie versuchen, lokal mithilfe des FQDN oder des CNAME-Alias auf einen Server zuzugreifen, nachdem Sie Windows Server 2003 Service Pack 1 installiert haben: Zugriff verweigert oder kein Netzwerkanbieter den angegebenen Netzwerkpfad akzeptiert

Dieser Artikel enthält eine Lösung für einen Fehler, der auftritt, wenn Sie versuchen, lokal mithilfe des FQDN oder des CNAME-Alias auf einen Server zuzugreifen.

Ursprüngliche KB-Nummer: 926642

Notiz

Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Wir raten Ihnen jedoch, zunächst die Risiken dieser Problemumgehung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um Ihr System zu schützen.

Problembeschreibung

Stellen Sie sich folgendes Szenario vor: Sie installieren Microsoft Windows Server 2003 Service Pack 1 (SP1) auf einem Windows Server 2003-basierten Computer. Danach treten Authentifizierungsprobleme auf, wenn Sie versuchen, lokal auf einen Server zuzugreifen, indem Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) oder den CNAME-Alias im UNC-Pfad (Universal Naming Convention) verwenden: \\servername\sharename.

In diesem Szenario treten eines der folgenden Symptome auf:

• Sie erhalten wiederholte Anmeldefenster.
• Sie erhalten eine Fehlermeldung "Zugriff verweigert".
• Sie erhalten die Fehlermeldung "Kein Netzwerkanbieter hat den angegebenen Netzwerkpfad akzeptiert".
• Ereignis-ID 537 wird im Sicherheitsereignisprotokoll protokolliert.

Notiz

Sie können auf den Server über seinen FQDN oder seinen CNAME-Alias von einem anderen Computer im Netzwerk zugreifen, auf dem Sie Windows Server 2003 SP1 installiert haben. Darüber hinaus können Sie mithilfe der folgenden Pfade auf den Server auf dem lokalen Computer zugreifen:

• \\IPaddress-of-local-computer
• \\Netbiosname oder \\ComputerName

Ursache

Dieses Problem tritt auf, da Windows Server 2003 SP1 ein neues Sicherheitsfeature mit dem Namen Loopbacküberprüfungsfunktionalität enthält. Standardmäßig ist die Loopbacküberprüfungsfunktion in Windows Server 2003 SP1 aktiviert, und der Wert des Registrierungseintrags "DisableLoopbackCheck" ist auf 0 (Null) festgelegt.

Notiz

Die Loopbacküberprüfungsfunktionalität wird im Registrierungsunterschlüssel gespeichert: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Lösung

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Notiz

Diese Problemumgehung kann dazu führen, dass Ihr Computer oder Ihr Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder schadhafte Software wie Viren ist. Diese Problemumgehung wird nicht von Microsoft empfohlen, wird jedoch hier aufgeführt, damit Sie diese Option nach eigenem Ermessen anwenden können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

Um dieses Problem zu beheben, legen Sie den Registrierungseintrag DisableStrictNameChecking auf 1 fest. Verwenden Sie dann eine der folgenden Methoden, je nach Bedarf für Ihre Situation.

Methode 1 (empfohlen): Erstellen der Hostnamen der lokalen Sicherheitszertifizierungsstelle, auf die in einer NTLM-Authentifizierungsanforderung verwiesen werden kann

Führen Sie dazu die folgenden Schritte für alle Knoten auf dem Clientcomputer aus:

1. Klicken Sie auf Start und dann auf Ausführen. Geben Sie regedit& ein, und klicken Sie auf OK.

2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3. Klicken Sie mit der rechten Maustaste auf MSV1_0, zeigen Sie auf "Neu", und klicken Sie dann auf "Mehrfachzeichenfolgenwert".

4. Geben Sie in der Spalte "Name" "BackConnectionHostNames" ein, und drücken Sie dann die EINGABETASTE.

5. Klicken Sie mit der rechten Maustaste auf "BackConnectionHostNames", und klicken Sie dann auf "Ändern".

6. Geben Sie im Feld "Wert " den CNAME oder den DNS-Alias ein, der für die lokalen Freigaben auf dem Computer verwendet wird, und klicken Sie dann auf "OK".

   Notiz

   • Geben Sie jeden Hostnamen in einer separaten Zeile ein.
   • Wenn der Registrierungseintrag "BackConnectionHostNames" als REG_DWORD Typ vorhanden ist, müssen Sie den Registrierungseintrag "BackConnectionHostNames" löschen.

7. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.

Methode 2: Deaktivieren der Authentifizierungsschleifenüberprüfung

Aktivieren Sie das Verhalten, das in Windows Server 2003 vorhanden ist, erneut, indem Sie den Registrierungseintrag DisableLoopbackCheck im HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry Unterschlüssel auf 1 festlegen. Führen Sie die folgenden Schritte auf dem Clientcomputer aus, um den Registrierungseintrag "DisableLoopbackCheck" auf 1 festzulegen:

1. Klicken Sie auf Start und dann auf Ausführen. Geben Sie regedit& ein, und klicken Sie auf OK.

2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Klicken Sie mit der rechten Maustaste auf "Lsa", zeigen Sie auf "Neu", und klicken Sie dann auf "DWORD-Wert".

4. Geben Sie DisableLoopbackCheck ein, und drücken Sie dann die EINGABETASTE.

5. Klicken Sie mit der rechten Maustaste auf "DisableLoopbackCheck", und klicken Sie dann auf "Ändern".

6. Geben Sie in das Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.

7. Beenden Sie den Registrierungs-Editor.

8. Starten Sie den Computer neu.

Notiz

Sie müssen den Server neu starten, damit diese Änderung wirksam wird. Standardmäßig ist die Loopbacküberprüfungsfunktion in Windows Server 2003 SP1 aktiviert, und der Registrierungseintrag "DisableLoopbackCheck" ist auf 0 (Null) festgelegt. Die Sicherheit wird reduziert, wenn Sie die Authentifizierungsschleifenüberprüfung deaktivieren und den Windows Server 2003-Server für Man-in-the-Middle-Angriffe (MITM) auf NTLM öffnen.

Status

Microsoft hat bestätigt, dass dies ein Problem in den Microsoft-Produkten ist, die am Anfang dieses Artikels aufgeführt sind.

Weitere Informationen

Nach der Installation des Sicherheitsupdates 957097 können Anwendungen wie SQL Server oder Internetinformationsdienste (IIS) fehlschlagen, wenn lokale NTLM-Authentifizierungsanforderungen vorgenommen werden.

Weitere Informationen zum Beheben dieses Problems finden Sie im Abschnitt "Bekannte Probleme mit diesem Sicherheitsupdate" im KB-Artikel 957097.