Сообщение об ошибке при попытке локального доступа к серверу с помощью полного доменного имени или псевдонима CNAME после установки Windows Server 2003 с пакетом обновления 1( Пакет обновления 1): доступ запрещен или поставщик сети не принял указанный сетевой путь.

В этой статье приводится решение об ошибке, возникающей при попытке локального доступа к серверу с помощью полного доменного имени или псевдонима CNAME.

Исходный номер базы знаний: 926642

Примечание.

В этой статье содержатся сведения о том, как снизить параметры безопасности или отключить функции безопасности на компьютере. Эти изменения можно внести для решения конкретной проблемы. Перед внесением этих изменений рекомендуется оценить риски, связанные с реализацией этого обходного решения в конкретной среде. Если вы реализуете это решение, выполните все необходимые дополнительные действия, чтобы защитить систему.

Симптомы

Рассмотрим следующий сценарий. Вы устанавливаете Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) на компьютере под управлением Windows Server 2003. После этого возникают проблемы с проверкой подлинности при попытке локального доступа к серверу с помощью полного доменного имени (FQDN) или псевдонима CNAME в пути универсального именования (UNC): \\servername sharename.\

В этом сценарии возникает один из следующих симптомов:

• Вы получаете повторяющиеся окна входа.
• Вы получаете сообщение об ошибке "Отказано в доступе".
• Вы получаете сообщение об ошибке "Поставщик сети не принял заданный сетевой путь".
• Идентификатор события 537 регистрируется в журнале событий безопасности.

Примечание.

Доступ к серверу можно получить с помощью полного доменного имени или псевдонима CNAME с другого компьютера в сети, отличной от этого компьютера, на котором установлен Windows Server 2003 с пакетом обновления 1 (SP1). Кроме того, вы можете получить доступ к серверу на локальном компьютере с помощью следующих путей:

• \\IPaddress-of-local-computer
• \\Netbiosname или \\ComputerName

Причина

Эта проблема возникает, так как Windows Server 2003 с пакетом обновления 1 (SP1) включает новую функцию проверки безопасности с именем loopback check. По умолчанию функция проверки цикла включена в Windows Server 2003 с пакетом обновления 1 (SP1), а для записи реестра DisableLoopbackCheck задано значение 0 (ноль).

Примечание.

Функция проверки цикла хранится в подразделе реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck

Решение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Примечание.

Это решение может сделать компьютер или сеть более уязвимыми для атак злоумышленниками или вредоносным программным обеспечением, например вирусами. Мы не рекомендуем использовать это решение, но предоставляют эти сведения, чтобы вы могли реализовать это решение по своему усмотрению. Ответственность за использование этого обходного пути несет пользователь.

Чтобы устранить эту проблему, задайте для записи реестра DisableStrictNameChecking значение 1. Затем используйте любой из следующих методов, как это подходит для вашей ситуации.

Метод 1 (рекомендуется): создание имен узлов локального центра безопасности, на которые можно ссылаться в запросе проверки подлинности NTLM.

Для этого выполните следующие действия для всех узлов на клиентском компьютере:

1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

2. Найдите и откройте следующий подраздел реестра:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3. Щелкните правой кнопкой мыши MSV1_0, выберите пункт "Создать" и щелкните многострочного значения.

4. В столбце "Имя" введите BackConnectionHostNames и нажмите клавишу ВВОД.

5. Щелкните правой кнопкой мыши BackConnectionHostNames и нажмите кнопку "Изменить".

6. В поле "Значение" введите CNAME или псевдоним DNS, который используется для локальных общих папок на компьютере, а затем нажмите кнопку "ОК".

   Примечание.

   • Введите имя каждого узла в отдельной строке.
   • Если запись реестра BackConnectionHostNames существует как тип REG_DWORD, необходимо удалить запись реестра BackConnectionHostNames.

7. Закройте редактор реестра и перезагрузите компьютер.

Метод 2. Отключение проверки обратной проверки подлинности

Повторно включите поведение, существующее в Windows Server 2003, задав запись реестра DisableLoopbackCheck в подразделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry значение 1. Чтобы задать для записи реестра DisableLoopbackCheck значение 1, выполните следующие действия на клиентском компьютере:

1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

2. Найдите и откройте следующий подраздел реестра:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Щелкните правой кнопкой мыши Lsa, наведите указатель мыши на "Создать", а затем выберите значение DWORD.

4. Введите DisableLoopbackCheck и нажмите клавишу ВВОД.

5. Щелкните правой кнопкой мыши DisableLoopbackCheck и нажмите кнопку " Изменить".

6. В поле Значение , введите 1, и нажмите кнопку OK.

7. Закройте редактор реестра.

8. Перезагрузите компьютер.

Примечание.

Чтобы это изменение вступило в силу, необходимо перезапустить сервер. По умолчанию функция проверки обратного цикла включена в Windows Server 2003 с пакетом обновления 1 (SP1), а для записи реестра DisableLoopbackCheck задано значение 0 (ноль). Безопасность снижается при отключении проверки подлинности и открытии сервера Windows Server 2003 для атак на NTLM в середине (MITM).

Состояние

Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в начале этой статьи.

Дополнительная информация

После установки обновления безопасности 957097 приложения, такие как SQL Server или службы IIS (IIS), могут завершиться ошибкой при выполнении локальных запросов проверки подлинности NTLM.

Дополнительные сведения о том, как устранить эту проблему, см. в разделе "Известные проблемы с этим обновлением безопасности" статьи базы знаний 957097.