Dela via

Felmeddelande när du försöker komma åt en server lokalt med hjälp av dess FQDN eller dess CNAME-alias när du har installerat Windows Server 2003 Service Pack 1: Åtkomst nekad eller Ingen nätverksprovider accepterade den angivna nätverkssökvägen

Den här artikeln innehåller en lösning på ett fel som uppstår när du försöker komma åt en server lokalt med hjälp av dess FQDN eller dess CNAME-alias.

Ursprungligt KB-nummer: 926642

Kommentar

Den här artikeln innehåller information som visar hur du kan sänka säkerhetsinställningarna eller inaktivera säkerhetsfunktioner på en dator. Du kan göra dessa ändringar för att kringgå ett specifikt problem. Innan du gör dessa ändringar rekommenderar vi att du utvärderar de risker som är associerade med att implementera den här lösningen i din specifika miljö. Om du implementerar den här lösningen kan du vidta lämpliga ytterligare åtgärder för att skydda systemet.

Symptom

Föreställ dig följande scenario. Du installerar Microsoft Windows Server 2003 Service Pack 1 (SP1) på en Windows Server 2003-baserad dator. När du gör det uppstår autentiseringsproblem när du försöker komma åt en server lokalt med dess fullständigt kvalificerade domännamn (FQDN) eller dess CNAME-alias i UNC-sökvägen (Universal Naming Convention): \\servername\sharename.

I det här scenariot får du något av följande symtom:

  • Du får upprepade inloggningsfönster.
  • Du får felmeddelandet "Åtkomst nekad".
  • Felmeddelandet "Ingen nätverksprovider accepterade den angivna nätverkssökvägen" visas.
  • Händelse-ID 537 loggas i händelseloggen Säkerhet.

Kommentar

Du kan komma åt servern med hjälp av dess FQDN eller dess CNAME-alias från en annan dator i nätverket än den här datorn där du installerade Windows Server 2003 SP1. Dessutom kan du komma åt servern på den lokala datorn med hjälp av följande sökvägar:

  • \\IPaddress-of-local-computer
  • \\Netbiosname eller \\ComputerName

Orsak

Det här problemet beror på att Windows Server 2003 SP1 innehåller en ny säkerhetsfunktion med namnet loopback check-funktioner. Som standard är funktionen för loopback-kontroll aktiverad i Windows Server 2003 SP1 och värdet för registerposten DisableLoopbackCheck är inställt på 0 (noll).

Kommentar

Funktionen för loopback-kontroll lagras i registerundernyckeln: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Åtgärd

Viktigt!

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.

Kommentar

Den här lösningen kan göra datorn eller nätverket mer sårbart för angrepp från skadliga användare eller av skadlig programvara som virus. Vi rekommenderar inte den här lösningen men tillhandahåller den här informationen så att du kan implementera den här lösningen efter eget gottfinnande. Använd den här lösningen på egen risk.

Lös problemet genom att ange registerposten DisableStrictNameChecking till 1. Använd sedan någon av följande metoder, efter behov för din situation.

Gör detta genom att följa dessa steg för alla noder på klientdatorn:

  1. Klicka på Start, klicka på Kör, skriv regedit och klicka sedan på OK.

  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Högerklicka på MSV1_0, peka på Nytt och klicka sedan på Flersträngsvärde.

  4. I kolumnen Namn skriver du BackConnectionHostNames och trycker sedan på RETUR.

  5. Högerklicka på BackConnectionHostNames och klicka sedan på Ändra.

  6. I rutan Värdedata skriver du CNAME eller DNS-aliaset som används för de lokala resurserna på datorn och klickar sedan på OK.

    Kommentar

    • Skriv varje värdnamn på en separat rad.
    • Om registerposten BackConnectionHostNames finns som en REG_DWORD typ måste du ta bort registerposten BackConnectionHostNames.

  7. Stäng Registereditorn och starta om datorn.

Metod 2: Inaktivera autentiseringsloopback-kontrollen

Återaktivera det beteende som finns i Windows Server 2003 genom att ange registerposten DisableLoopbackCheck i undernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry till 1. Om du vill ange registerposten DisableLoopbackCheck till 1 följer du dessa steg på klientdatorn:

  1. Klicka på Start, klicka på Kör, skriv regedit och klicka sedan på OK.

  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Högerklicka på Lsa, peka på Nytt och klicka sedan på DWORD-värde .

  4. Skriv DisableLoopbackCheck och tryck sedan på RETUR.

  5. Högerklicka på DisableLoopbackCheck och klicka sedan på Ändra.

  6. I rutan Värdedata skriver du in 1 och klickar sedan på OK.

  7. Avsluta Registereditorn.

  8. Starta om datorn.

Kommentar

Du måste starta om servern för att ändringen ska börja gälla. Som standard är funktionen för loopback-kontroll aktiverad i Windows Server 2003 SP1 och registerposten DisableLoopbackCheck är inställd på 0 (noll). Säkerheten minskas när du inaktiverar autentiseringsloopback-kontrollen och du öppnar Windows Server 2003-servern för MITM-attacker (man-in-the-middle) på NTLM.

Status

Microsoft har bekräftat att detta är ett problem i De Microsoft-produkter som visas i början av den här artikeln.

Mer information

När du har installerat 957097 kan program som SQL Server eller Internet Information Services (IIS) misslyckas när lokala NTLM-autentiseringsbegäranden görs.

Mer information om hur du löser det här problemet finns i avsnittet "Kända problem med den här säkerhetsuppdateringen" i KB-artikeln 957097.