Message d’erreur lorsque vous essayez d’accéder à un serveur localement à l’aide de son nom de domaine complet ou de son alias CNAME après l’installation de Windows Server 2003 Service Pack 1 : Accès refusé ou Aucun fournisseur réseau n’a accepté le chemin d’accès réseau donné

Cet article fournit une solution à une erreur qui se produit lorsque vous essayez d’accéder à un serveur localement à l’aide de son nom de domaine complet ou de son alias CNAME.

Numéro de base de connaissances d’origine : 926642

Note

Cet article contient des informations expliquant comment abaisser les paramètres de sécurité ou comment désactiver les fonctions de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour contourner un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, effectuez toutes les étapes supplémentaires appropriées pour protéger votre système.

Symptômes

Considérons le scénario suivant. Vous installez Microsoft Windows Server 2003 Service Pack 1 (SP1) sur un ordinateur Windows Server 2003. Après cela, vous rencontrez des problèmes d’authentification lorsque vous essayez d’accéder à un serveur localement à l’aide de son nom de domaine complet (FQDN) ou de son alias CNAME dans le chemin d’accès UNC (Universal Naming Convention) : \\servername sharename\.

Dans ce scénario, vous rencontrez l’un des symptômes suivants :

• Vous recevez des fenêtres d’ouverture de session répétées.
• Vous recevez un message d’erreur « Accès refusé ».
• Vous recevez un message d’erreur « Aucun fournisseur réseau n’a accepté le chemin d’accès réseau donné ».
• L’ID d’événement 537 est journalisé dans le journal des événements de sécurité.

Note

Vous pouvez accéder au serveur à l’aide de son nom de domaine complet ou de son alias CNAME à partir d’un autre ordinateur du réseau autre que cet ordinateur sur lequel vous avez installé Windows Server 2003 SP1. En outre, vous pouvez accéder au serveur sur l’ordinateur local à l’aide des chemins d’accès suivants :

• \\IPaddress-of-local-computer
• \\Netbiosname ou \\ComputerName

Cause

Ce problème se produit parce que Windows Server 2003 SP1 inclut une nouvelle fonctionnalité de sécurité nommée fonctionnalité de vérification de bouclage. Par défaut, la fonctionnalité de vérification de bouclage est activée dans Windows Server 2003 SP1 et la valeur de l’entrée de Registre DisableLoopbackCheck est définie sur 0 (zéro).

Note

La fonctionnalité de vérification de bouclage est stockée dans la sous-clé de Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Résolution

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.

Note

Cette solution de contournement peut rendre votre ordinateur ou votre réseau plus vulnérable aux attaques par des utilisateurs malveillants ou par des logiciels malveillants tels que des virus. Cette solution de contournement n’est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l’appliquer. Son utilisation relève de votre responsabilité.

Pour résoudre ce problème, définissez l’entrée de Registre DisableStrictNameChecking sur 1. Utilisez ensuite l’une des méthodes suivantes, en fonction de votre situation.

Méthode 1 (recommandé) : créer les noms d’hôte de l’autorité de sécurité locale qui peuvent être référencés dans une demande d’authentification NTLM

Pour ce faire, procédez comme suit pour tous les nœuds sur l’ordinateur client :

1. Cliquez sur Démarrer, sur Exécuter, tapez regedit& , puis cliquez sur OK.

2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3. Cliquez avec le bouton droit sur MSV1_0, pointez sur Nouveau, puis cliquez sur Valeur à plusieurs chaînes.

4. Dans la colonne Name , tapez BackConnectionHostNames, puis appuyez sur Entrée.

5. Cliquez avec le bouton droit sur BackConnectionHostNames, puis cliquez sur Modifier.

6. Dans la zone de données Valeur , tapez le CNAME ou l’alias DNS, utilisé pour les partages locaux sur l’ordinateur, puis cliquez sur OK.

   Note

   • Tapez chaque nom d’hôte sur une ligne distincte.
   • Si l’entrée de Registre BackConnectionHostNames existe en tant que type REG_DWORD, vous devez supprimer l’entrée de Registre BackConnectionHostNames.

7. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.

Méthode 2 : Désactiver la vérification du bouclage d’authentification

Réactivez le comportement qui existe dans Windows Server 2003 en définissant l’entrée de Registre DisableLoopbackCheck dans la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry sous-clé sur 1. Pour définir l’entrée de Registre DisableLoopbackCheck sur 1, procédez comme suit sur l’ordinateur client :

1. Cliquez sur Démarrer, sur Exécuter, tapez regedit& , puis cliquez sur OK.

2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Cliquez avec le bouton droit sur Lsa, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

4. Tapez DisableLoopbackCheck, puis appuyez sur Entrée.

5. Cliquez avec le bouton droit sur DisableLoopbackCheck, puis cliquez sur Modifier.

6. Dans la zone Données de la valeur, tapez 1 et cliquez sur OK.

7. Quittez l’Éditeur du Registre.

8. Redémarrez l'ordinateur.

Note

Vous devez redémarrer le serveur pour que cette modification prenne effet. Par défaut, la fonctionnalité de vérification de bouclage est activée dans Windows Server 2003 SP1 et l’entrée de Registre DisableLoopbackCheck est définie sur 0 (zéro). La sécurité est réduite lorsque vous désactivez la vérification du bouclage d’authentification et que vous ouvrez le serveur Windows Server 2003 pour les attaques de type man-in-the-middle (MITM) sur NTLM.

État

Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés au début de cet article.

Plus d’informations

Après avoir installé la mise à jour de sécurité 957097, les applications telles que SQL Server ou Internet Information Services (IIS) peuvent échouer lors de l’exécution de demandes d’authentification NTLM locales.

Pour plus d’informations sur la résolution de ce problème, consultez la section « Problèmes connus liés à cette mise à jour de sécurité » de l’article de la Base de connaissances 957097.