Komunikat o błędzie podczas próby uzyskania dostępu do serwera lokalnie przy użyciu jego nazwy FQDN lub aliasu CNAME po zainstalowaniu systemu Windows Server 2003 z dodatkiem Service Pack 1: Odmowa dostępu lub Żaden dostawca sieci zaakceptował daną ścieżkę sieciową
Ten artykuł zawiera rozwiązanie błędu występującego podczas próby uzyskania dostępu do serwera lokalnie przy użyciu jego nazwy FQDN lub aliasu CNAME.
Oryginalny numer KB: 926642
Uwaga 16.
Ten artykuł zawiera informacje, które pokazują, jak ułatwić obniżenie ustawień zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany w celu obejścia określonego problemu. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z wdrożeniem tego obejścia w danym środowisku. Jeśli to obejście zostanie zaimplementowane, wykonaj odpowiednie dodatkowe kroki, aby ułatwić ochronę systemu.
Symptomy
Rozważmy następujący scenariusz. Zainstalujesz program Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (SP1) na komputerze z systemem Windows Server 2003. Po wykonaniu tej czynności występują problemy z uwierzytelnianiem podczas próby uzyskania dostępu do serwera lokalnie przy użyciu jego w pełni kwalifikowanej nazwy domeny (FQDN) lub aliasu CNAME w ścieżce Universal Naming Convention (UNC): \\servername sharename\.
W tym scenariuszu występuje jeden z następujących objawów:
- Otrzymasz powtarzające się okna logowania.
- Zostanie wyświetlony komunikat o błędzie "Odmowa dostępu".
- Zostanie wyświetlony komunikat o błędzie "Żaden dostawca sieci nie zaakceptował podanej ścieżki sieciowej".
- Identyfikator zdarzenia 537 jest rejestrowany w dzienniku zdarzeń zabezpieczeń.
Uwaga 16.
Dostęp do serwera można uzyskać przy użyciu jego nazwy FQDN lub aliasu CNAME z innego komputera w sieci innej niż ten komputer, na którym zainstalowano system Windows Server 2003 z dodatkiem SP1. Ponadto można uzyskać dostęp do serwera na komputerze lokalnym przy użyciu następujących ścieżek:
- \\IPaddress of-local-computer
- \\Netbiosname lub \\ComputerName
Przyczyna
Ten problem występuje, ponieważ system Windows Server 2003 z dodatkiem SP1 zawiera nową funkcję zabezpieczeń o nazwie funkcja sprawdzania sprzężenia zwrotnego. Domyślnie funkcja sprawdzania sprzężenia zwrotnego jest włączona w systemie Windows Server 2003 z dodatkiem SP1, a wartość wpisu rejestru DisableLoopbackCheck jest ustawiona na 0 (zero).
Uwaga 16.
Funkcja sprawdzania sprzężenia zwrotnego jest przechowywana w podkluczu rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
.
Rozwiązanie
Ważne
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.
Uwaga 16.
To obejście może spowodować, że komputer lub sieć będą bardziej narażone na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Nie zalecamy tego obejścia, ale udostępniamy te informacje, aby można było zaimplementować to obejście według własnego uznania. To obejście użytkownicy stosują na własną odpowiedzialność.
Aby rozwiązać ten problem, ustaw wpis rejestru DisableStrictNameChecking na 1. Następnie należy użyć jednej z następujących metod, zgodnie z potrzebami w danej sytuacji.
Metoda 1 (zalecana): Utwórz nazwy hostów urzędu zabezpieczeń lokalnych, do których można odwoływać się w żądaniu uwierzytelniania NTLM
W tym celu wykonaj następujące kroki dla wszystkich węzłów na komputerze klienckim:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
Odszukaj, a następnie kliknij następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Kliknij prawym przyciskiem myszy MSV1_0, wskaż polecenie Nowy, a następnie kliknij pozycję Wartość wielociągowa.
W kolumnie Nazwa wpisz BackConnectionHostNames, a następnie naciśnij ENTER.
Kliknij prawym przyciskiem myszy pozycję BackConnectionHostNames, a następnie kliknij polecenie Modyfikuj.
W polu Dane wartości wpisz rekord CNAME lub alias DNS, który jest używany dla udziałów lokalnych na komputerze, a następnie kliknij przycisk OK.
Uwaga 16.
- Wpisz każdą nazwę hosta w osobnym wierszu.
- Jeśli wpis rejestru BackConnectionHostNames istnieje jako typ REG_DWORD, musisz usunąć wpis rejestru BackConnectionHostNames.
Zakończ działanie Edytora rejestru, a następnie ponownie uruchom komputer.
Metoda 2. Wyłączanie sprawdzania sprzężenia zwrotnego uwierzytelniania
Włącz ponownie zachowanie, które istnieje w systemie Windows Server 2003, ustawiając wpis rejestru DisableLoopbackCheck w podkluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry
na 1. Aby ustawić wpis rejestru DisableLoopbackCheck na 1, wykonaj następujące kroki na komputerze klienckim:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
Odszukaj, a następnie kliknij następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Kliknij prawym przyciskiem myszy Lsa, wskaż polecenie Nowy, a następnie kliknij pozycję Wartość DWORD.
Wpisz DisableLoopbackCheck, a następnie naciśnij ENTER.
Kliknij prawym przyciskiem myszy pozycję DisableLoopbackCheck, a następnie kliknij polecenie Modyfikuj.
W polu Dane wartości wpisz 1 i kliknij przycisk OK.
Zamknij Edytor rejestru.
Uruchom ponownie komputer.
Uwaga 16.
Aby ta zmiana weszła w życie, należy ponownie uruchomić serwer. Domyślnie funkcja sprawdzania sprzężenia zwrotnego jest włączona w systemie Windows Server 2003 SP1, a wpis rejestru DisableLoopbackCheck ma wartość 0 (zero). Zabezpieczenia są ograniczane po wyłączeniu sprawdzania sprzężenia zwrotnego uwierzytelniania i otwarciu serwera z systemem Windows Server 2003 w przypadku ataków typu man-in-the-middle (MITM) na NTLM.
Stan
Firma Microsoft potwierdziła, że jest to problem w produktach firmy Microsoft wymienionych na początku tego artykułu.
Więcej informacji
Po zainstalowaniu 957097 aktualizacji zabezpieczeń aplikacje, takie jak SQL Server lub Internet Information Services (IIS), mogą zakończyć się niepowodzeniem podczas wprowadzania lokalnych żądań uwierzytelniania NTLM.
Aby uzyskać więcej informacji na temat rozwiązywania tego problemu, zobacz sekcję "Znane problemy z tą aktualizacją zabezpieczeń" artykułu KB 957097.