Fehlermeldung, wenn Sie nach der Installation von Windows Server 2003 Service Pack 1 versuchen, lokal mithilfe des FQDN oder des CNAME-Alias auf einen Server zuzugreifen: Zugriff verweigert oder Kein Netzwerkanbieter hat den angegebenen Netzwerkpfad akzeptiert
Dieser Artikel enthält eine Lösung für einen Fehler, der auftritt, wenn Sie versuchen, lokal mithilfe des FQDN oder des CNAME-Alias auf einen Server zuzugreifen.
Gilt für: Windows 7 Service Pack 1, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 926642
Hinweis
Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie die Sicherheitseinstellungen senken oder Sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, sollten Sie die Risiken bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer bestimmten Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um Ihr System zu schützen.
Problembeschreibung
Stellen Sie sich folgendes Szenario vor: Sie installieren Microsoft Windows Server 2003 Service Pack 1 (SP1) auf einem Windows Server 2003-basierten Computer. Danach treten Authentifizierungsprobleme auf, wenn Sie versuchen, lokal auf einen Server zuzugreifen, indem Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) oder den CNAME-Alias im UNC-Pfad (Universal Naming Convention) verwenden: \\servername\sharename.
In diesem Szenario tritt eines der folgenden Symptome auf:
- Sie erhalten wiederholte Anmeldefenster.
- Sie erhalten die Fehlermeldung "Zugriff verweigert".
- Die Fehlermeldung "Kein Netzwerkanbieter hat den angegebenen Netzwerkpfad akzeptiert" wird angezeigt.
- Die Ereignis-ID 537 wird im Sicherheitsereignisprotokoll protokolliert.
Hinweis
Sie können auf den Server zugreifen, indem Sie den FQDN oder den CNAME-Alias von einem anderen Computer im Netzwerk als diesem Computer verwenden, auf dem Sie Windows Server 2003 SP1 installiert haben. Darüber hinaus können Sie über die folgenden Pfade auf den Server auf dem lokalen Computer zugreifen:
- \\IPaddress-of-local-computer
- \\Netbiosname oder \\ComputerName
Ursache
Dieses Problem tritt auf, weil Windows Server 2003 SP1 ein neues Sicherheitsfeature mit dem Namen Loopback-Überprüfungsfunktion enthält. Standardmäßig ist die Loopbacküberprüfungsfunktion in Windows Server 2003 SP1 aktiviert, und der Wert des Registrierungseintrags DisableLoopbackCheck ist auf 0 (Null) festgelegt.
Hinweis
Die Loopback-Überprüfungsfunktion wird im Registrierungsunterschlüssel gespeichert: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
.
Lösung
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Hinweis
Diese Problemumgehung kann Ihren Computer oder Ihr Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder schadhafte Software wie Viren machen. Wir empfehlen diese Problemumgehung nicht, stellen aber diese Informationen bereit, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.
Um dieses Problem zu beheben, legen Sie den Registrierungseintrag "DisableStrictNameChecking" auf "1" fest. Verwenden Sie dann je nach Situation eine der folgenden Methoden.
Methode 1 (empfohlen): Erstellen der Hostnamen der lokalen Sicherheitsbehörde, auf die in einer NTLM-Authentifizierungsanforderung verwiesen werden kann
Führen Sie dazu die folgenden Schritte für alle Knoten auf dem Clientcomputer aus:
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
Klicken Sie auf den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Klicken Sie mit der rechten Maustaste auf MSV1_0, zeigen Sie auf "Neu", und klicken Sie dann auf " Mehrfachzeichenfolgenwert".
Geben Sie in der Spalte "Name " "BackConnectionHostNames" ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf "BackConnectionHostNames", und klicken Sie dann auf "Ändern".
Geben Sie im Feld " Wert " den CNAME- oder DNS-Alias ein, der für die lokalen Freigaben auf dem Computer verwendet wird, und klicken Sie dann auf "OK".
Hinweis
- Geben Sie jeden Hostnamen in einer separaten Zeile ein.
- Wenn der BackConnectionHostNames-Registrierungseintrag als REG_DWORD Typ vorhanden ist, müssen Sie den BackConnectionHostNames-Registrierungseintrag löschen.
Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.
Methode 2: Deaktivieren der Authentifizierungs-Loopbackprüfung
Aktivieren Sie das in Windows Server 2003 vorhandene Verhalten erneut, indem Sie den Registrierungseintrag DisableLoopbackCheck im HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry
Unterschlüssel auf 1 festlegen. Führen Sie die folgenden Schritte auf dem Clientcomputer aus, um den Registrierungseintrag "DisableLoopbackCheck" auf "1" festzulegen:
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
Klicken Sie auf den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Klicken Sie mit der rechten Maustaste auf Lsa, zeigen Sie auf "Neu", und klicken Sie dann auf "DWORD-Wert ".
Geben Sie DisableLoopbackCheck ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf "DisableLoopbackCheck", und klicken Sie dann auf "Ändern".
Geben Sie in das Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.
Beenden Sie den Registrierungs-Editor.
Starten Sie den Computer neu.
Hinweis
Sie müssen den Server neu starten, damit diese Änderung wirksam wird. Standardmäßig ist die Loopback-Überprüfungsfunktion in Windows Server 2003 SP1 aktiviert, und der Registrierungseintrag "DisableLoopbackCheck" ist auf 0 (null) festgelegt. Die Sicherheit wird reduziert, wenn Sie die Authentifizierungs-Loopback-Überprüfung deaktivieren und den Windows Server 2003-Server für Man-in-the-Middle (MITM)-Angriffe auf NTLM öffnen.
Status
Microsoft hat bestätigt, dass dies ein Problem in den Microsoft-Produkten ist, die am Anfang dieses Artikels aufgeführt sind.
Weitere Informationen
Nach der Installation von Sicherheitsupdates 957097 können Anwendungen wie SQL Server oder Internetinformationsdienste (INTERNET INFORMATION Services, IIS) bei lokalen NTLM-Authentifizierungsanforderungen fehlschlagen.
Weitere Informationen zum Beheben dieses Problems finden Sie im Abschnitt "Bekannte Probleme mit diesem Sicherheitsupdate" im KB-Artikel 957097.
Feedback
Feedback senden und anzeigen für