Delen via

Foutbericht wanneer u lokaal toegang probeert te krijgen tot een server met behulp van de FQDN- of CNAME-alias nadat u Windows Server 2003 Service Pack 1 hebt geïnstalleerd: Toegang geweigerd of Geen netwerkprovider heeft het opgegeven netwerkpad geaccepteerd

Dit artikel bevat een oplossing voor een fout die optreedt wanneer u lokaal toegang probeert te krijgen tot een server met behulp van de FQDN of de bijbehorende CNAME-alias.

Oorspronkelijk KB-nummer: 926642

Notitie

Dit artikel bevat informatie over het verlagen van beveiligingsinstellingen of het uitschakelen van beveiligingsfuncties op een computer. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, raden we u aan de risico's te evalueren die zijn gekoppeld aan het implementeren van deze tijdelijke oplossing in uw specifieke omgeving. Als u deze tijdelijke oplossing implementeert, moet u eventuele aanvullende stappen uitvoeren om uw systeem te beschermen.

Symptomen

Bekijk het volgende scenario. U installeert Microsoft Windows Server 2003 Service Pack 1 (SP1) op een Windows Server 2003-computer. Nadat u dit hebt uitgevoerd, ondervindt u verificatieproblemen wanneer u lokaal toegang probeert te krijgen tot een server met behulp van de FQDN (Fully Qualified Domain Name Name) of de bijbehorende CNAME-alias in het UNC-pad (Universal Naming Convention): \\servername\sharename.

In dit scenario ondervindt u een van de volgende symptomen:

  • U ontvangt herhaalde aanmeldingsvensters.
  • U ontvangt het foutbericht 'Toegang geweigerd'.
  • U ontvangt het foutbericht 'Geen netwerkprovider heeft het opgegeven netwerkpad geaccepteerd'.
  • Gebeurtenis-id 537 wordt vastgelegd in het gebeurtenislogboek van de beveiliging.

Notitie

U kunt toegang krijgen tot de server met behulp van de FQDN of de bijbehorende CNAME-alias vanaf een andere computer in het netwerk dan deze computer waarop u Windows Server 2003 SP1 hebt geïnstalleerd. Daarnaast hebt u toegang tot de server op de lokale computer met behulp van de volgende paden:

  • \\IPaddress-of-local-computer
  • \\Netbiosname of \\ComputerName

Oorzaak

Dit probleem treedt op omdat Windows Server 2003 SP1 een nieuwe beveiligingsfunctie met de naam loopback-controlefunctionaliteit bevat. De functie loopbackcontrole is standaard ingeschakeld in Windows Server 2003 SP1 en de waarde van de registervermelding DisableLoopbackCheck is ingesteld op 0 (nul).

Notitie

De loopback-controlefunctionaliteit wordt opgeslagen in de registersubsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Oplossing

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Zorg er daarom voor dat u de volgende stappen zorgvuldig volgt. Voor optimale veiligheid maakt u dagelijks een back-up van het register voordat u het wijzigt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.

Notitie

Deze tijdelijke oplossing kan uw computer of uw netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of door schadelijke software, zoals virussen. We raden deze tijdelijke oplossing niet aan, maar geven deze informatie aan, zodat u deze tijdelijke oplossing naar eigen goeddunken kunt implementeren. Het gebruik van deze methode is voor uw eigen risico.

U kunt dit probleem oplossen door de registervermelding DisableStrictNameChecking in te stellen op 1. Gebruik vervolgens een van de volgende methoden, afhankelijk van uw situatie.

Voer hiervoor de volgende stappen uit voor alle knooppunten op de clientcomputer:

  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.

  2. Zoek naar en klik op de volgende registersleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Klik met de rechtermuisknop op MSV1_0, wijs Nieuw aan en klik vervolgens op Waarde voor meerdere tekenreeksen.

  4. Typ In de kolom Naam BackConnectionHostNames en druk op Enter.

  5. Klik met de rechtermuisknop op BackConnectionHostNames en klik vervolgens op Wijzigen.

  6. Typ in het vak Waardegegevens de CNAME of de DNS-alias, die wordt gebruikt voor de lokale shares op de computer en klik op OK.

    Notitie

    • Typ elke hostnaam op een afzonderlijke regel.
    • Als de registervermelding BackConnectionHostNames bestaat als een REG_DWORD type, moet u de registervermelding BackConnectionHostNames verwijderen.

  7. Sluit de Register-editor af en start de computer opnieuw op.

Methode 2: De controle van de verificatie-loopback uitschakelen

Schakel het gedrag dat bestaat in Windows Server 2003 opnieuw in door de registervermelding DisableLoopbackCheck in te HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry stellen op 1. Volg deze stappen op de clientcomputer om de registervermelding DisableLoopbackCheck in te stellen op 1:

  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.

  2. Zoek naar en klik op de volgende registersleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Klik met de rechtermuisknop op Lsa, wijs Nieuw aan en klik vervolgens op DWORD-waarde.

  4. Typ DisableLoopbackCheck en druk op Enter.

  5. Klik met de rechtermuisknop op DisableLoopbackCheck en klik vervolgens op Wijzigen.

  6. Typ 1 in het gegevensvak Waarde en klik op OK.

  7. Sluit de Register-editor af.

  8. Start de computer opnieuw op.

Notitie

U moet de server opnieuw opstarten om deze wijziging van kracht te laten worden. De functie loopbackcontrole is standaard ingeschakeld in Windows Server 2003 SP1 en de registervermelding DisableLoopbackCheck is ingesteld op 0 (nul). De beveiliging wordt verminderd wanneer u de controle van de verificatie-loopback uitschakelt en u de Windows Server 2003-server opent voor man-in-the-middle-aanvallen (MITM) op NTLM.

Status

Microsoft heeft bevestigd dat dit een probleem is in de Microsoft-producten die aan het begin van dit artikel worden vermeld.

Meer informatie

Nadat u beveiligingsupdates hebt geïnstalleerd 957097, kunnen toepassingen zoals SQL Server of Internet Information Services (IIS) mislukken bij het maken van lokale NTLM-verificatieaanvragen.

Zie de sectie Bekende problemen met deze beveiligingsupdate van KB-artikel 957097 voor meer informatie over het oplossen van dit probleem.