Foutbericht wanneer u probeert een server lokaal te openen met behulp van de FQDN of de CNAME-alias na installatie van Windows Server 2003 Service Pack 1: Toegang geweigerd of Geen netwerkprovider heeft het opgegeven netwerkpad geaccepteerd

Dit artikel biedt een oplossing voor een fout die optreedt wanneer u een server lokaal probeert te openen met behulp van de FQDN of de CNAME-alias.

Van toepassing op: Windows 7 Service Pack 1, Windows Server 2012 R2
Origineel KB-nummer: 926642

Opmerking

Dit artikel bevat informatie over het verlagen van beveiligingsinstellingen of het uitschakelen van beveiligingsfuncties op een computer. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, raden we u aan de risico's te evalueren die gepaard gaan met het implementeren van deze tijdelijke oplossing in uw specifieke omgeving. Als u deze tijdelijke oplossing implementeert, moet u de benodigde aanvullende stappen uitvoeren om uw systeem te beschermen.

Symptomen

Neem het volgende scenario: U installeert Microsoft Windows Server 2003 Service Pack 1 (SP1) op een computer met Windows Server 2003. Nadat u dit hebt uitgevoerd, ondervindt u verificatieproblemen wanneer u een server lokaal probeert te openen met behulp van de FQDN (Fully Qualified Domain Name) of de bijbehorende CNAME-alias in het UNC-pad (Universal Naming Convention): \\servername\sharename.

In dit scenario ondervindt u een van de volgende symptomen:

• U ontvangt herhaalde aanmeldingsvensters.
• U ontvangt het foutbericht 'Toegang geweigerd'.
• U ontvangt het foutbericht 'Geen netwerkprovider heeft het opgegeven netwerkpad geaccepteerd'.
• Gebeurtenis-id 537 wordt geregistreerd in het gebeurtenislogboek beveiliging.

Opmerking

U kunt toegang krijgen tot de server met behulp van de FQDN of de CNAME-alias van een andere computer in het netwerk dan deze computer waarop u Windows Server 2003 SP1 hebt geïnstalleerd. Daarnaast kunt u toegang krijgen tot de server op de lokale computer met behulp van de volgende paden:

• \\IPaddress-of-local-computer
• \\Netbiosname of \\ComputerName

Oorzaak

Dit probleem treedt op omdat Windows Server 2003 SP1 een nieuwe beveiligingsfunctie bevat met de naam loopback-controlefunctionaliteit. De functionaliteit van loopback-controle is standaard ingeschakeld in Windows Server 2003 SP1 en de waarde van de registervermelding DisableLoopbackCheck is ingesteld op 0 (nul).

Opmerking

De functionaliteit van de loopback-controle wordt opgeslagen in de registersubsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Oplossing

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.

Opmerking

Deze tijdelijke oplossing kan uw computer of uw netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of door schadelijke software zoals virussen. We raden deze tijdelijke oplossing niet aan, maar bieden deze informatie zodat u deze tijdelijke oplossing naar eigen inzicht kunt implementeren. Het gebruik van deze methode is voor uw eigen risico.

U kunt dit probleem oplossen door de registervermelding DisableStrictNameChecking in te stellen op 1. Gebruik vervolgens een van de volgende methoden, afhankelijk van uw situatie.

Methode 1 (aanbevolen): maak de hostnamen van de lokale beveiligingsautoriteit waarnaar kan worden verwezen in een NTLM-verificatieaanvraag

Volg hiervoor deze stappen voor alle knooppunten op de clientcomputer:

1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.

2. Zoek naar en klik op de volgende registersleutel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3. Klik met de rechtermuisknop op MSV1_0, wijs Nieuw aan en klik vervolgens op Waarde voor meerdere tekenreeksen.

4. Typ BackConnectionHostNames in de kolom Naam en druk op Enter.

5. Klik met de rechtermuisknop op BackConnectionHostNames en klik vervolgens op Wijzigen.

6. Typ in het vak Waardegegevens de CNAME of de DNS-alias die wordt gebruikt voor de lokale shares op de computer en klik vervolgens op OK.

   Opmerking

   • Typ elke hostnaam op een afzonderlijke regel.
   • Als de registervermelding BackConnectionHostNames bestaat als een REG_DWORD type, moet u de registervermelding BackConnectionHostNames verwijderen.

7. Sluit de Register-editor af en start de computer opnieuw op.

Methode 2: de verificatie-loopbackcontrole uitschakelen

Schakel het gedrag in Windows Server 2003 opnieuw in door de registervermelding DisableLoopbackCheck in de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry subsleutel in te stellen op 1. Als u de registervermelding DisableLoopbackCheck wilt instellen op 1, volgt u deze stappen op de clientcomputer:

1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.

2. Zoek naar en klik op de volgende registersleutel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Klik met de rechtermuisknop op Lsa, wijs Nieuw aan en klik vervolgens op DWORD-waarde .

4. Typ DisableLoopbackCheck en druk op Enter.

5. Klik met de rechtermuisknop op DisableLoopbackCheck en klik vervolgens op Wijzigen.

6. Typ 1 in het vak Waardegegevens en klik op OK.

7. Sluit de Register-editor af.

8. Start de computer opnieuw op.

Opmerking

U moet de server opnieuw opstarten om deze wijziging van kracht te laten worden. De functionaliteit van loopback-controle is standaard ingeschakeld in Windows Server 2003 SP1 en de registervermelding DisableLoopbackCheck is ingesteld op 0 (nul). De beveiliging wordt verminderd wanneer u de verificatie-loopbackcontrole uitschakelt en u de Windows Server 2003-server opent voor man-in-the-middle-aanvallen (MITM) op NTLM.

Status

Microsoft heeft bevestigd dat dit een probleem is in de Microsoft-producten die aan het begin van dit artikel worden vermeld.

Meer informatie

Nadat u beveiligingsupdates 957097 hebt geïnstalleerd, kunnen toepassingen zoals SQL Server of IIS (Internet Information Services) mislukken bij het indienen van lokale NTLM-verificatieaanvragen.

Zie de sectie Bekende problemen met deze beveiligingsupdate van het KB-artikel 957097 voor meer informatie over het oplossen van dit probleem.