Mensagem de erro quando tenta aceder a um servidor localmente com o respetivo FQDN ou o respetivo alias CNAME depois de instalar o Windows Server 2003 Service Pack 1: Acesso negado ou Nenhum fornecedor de rede aceitou o caminho de rede especificado

Este artigo fornece uma solução para um erro que ocorre quando tenta aceder a um servidor localmente com o respetivo FQDN ou o respetivo alias CNAME.

Número original da BDC: 926642

Observação

Este artigo contém informações que lhe mostram como ajudar a reduzir as definições de segurança ou como desativar as funcionalidades de segurança num computador. Pode efetuar estas alterações para contornar um problema específico. Antes de efetuar estas alterações, recomendamos que avalie os riscos associados à implementação desta solução no seu ambiente específico. Se implementar esta solução, siga os passos adicionais adequados para ajudar a proteger o seu sistema.

Sintomas

Considere o seguinte cenário. Instale o Microsoft Windows Server 2003 Service Pack 1 (SP1) num computador baseado no Windows Server 2003. Depois de o fazer, tem problemas de autenticação quando tenta aceder a um servidor localmente através do nome de domínio completamente qualificado (FQDN) ou do respetivo alias CNAME no caminho UNC (Universal Naming Convention): \\servername\sharename.

Neste cenário, irá deparar-se com um dos seguintes sintomas:

• Recebe janelas de início de sessão repetidas.
• Recebe uma mensagem de erro "Acesso negado".
• Recebe uma mensagem de erro "Nenhum fornecedor de rede aceitou o caminho de rede especificado".
• O ID do Evento 537 é registado no Registo de eventos de segurança.

Observação

Pode aceder ao servidor com o respetivo FQDN ou o respetivo alias CNAME a partir de outro computador na rede que não seja este computador no qual instalou o Windows Server 2003 SP1. Além disso, pode aceder ao servidor no computador local através dos seguintes caminhos:

• \\IPaddress-of-local-computer
• \\Netbiosname ou \\ComputerName

Motivo

Este problema ocorre porque o Windows Server 2003 SP1 inclui uma nova funcionalidade de segurança denominada funcionalidade de verificação de loopback. Por predefinição, a funcionalidade de verificação de loopback está ativada no Windows Server 2003 SP1 e o valor da entrada de registo DisableLoopbackCheck está definido como 0 (zero).

Observação

A funcionalidade de verificação de loopback é armazenada na subchave do registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Resolução

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

Observação

Essa solução alternativa pode tornar seu computador ou rede mais vulnerável a ataques de usuários mal-intencionados ou softwares mal-intencionados, como vírus. Não recomendamos esta solução, mas estamos a fornecer estas informações para que possa implementar esta solução a seu critério. Você é responsável pelo uso dessa solução alternativa.

Para resolver este problema, defina a entrada de registo DisableStrictNameChecking como 1. Em seguida, utilize um dos seguintes métodos, conforme adequado para a sua situação.

Método 1 (recomendado): crie os nomes de anfitrião da Autoridade de Segurança Local que podem ser referenciados num pedido de autenticação NTLM

Para tal, siga estes passos para todos os nós no computador cliente:

1. Clique em Iniciar e, em Executar, digite regedit e clique em OK.

2. Localize e clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3. Clique com o botão direito do rato MSV1_0, aponte para Novo e, em seguida, clique em Valor de Várias Cadeias.

4. Na coluna Nome , escreva BackConnectionHostNames e, em seguida, prima ENTER.

5. Clique com o botão direito do rato em BackConnectionHostNames e, em seguida, clique em Modificar.

6. Na caixa Dados do valor , escreva o CNAME ou o alias DNS, que é utilizado para as partilhas locais no computador e, em seguida, clique em OK.

   Observação

   • Escreva cada nome de anfitrião numa linha separada.
   • Se a entrada de registo BackConnectionHostNames existir como um tipo de REG_DWORD, tem de eliminar a entrada de registo BackConnectionHostNames.

7. Saia do Editor do Registro e reinicie o computador.

Método 2: Desativar a verificação de loopback de autenticação

Reative o comportamento existente no Windows Server 2003 ao definir a entrada de registo DisableLoopbackCheck na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry subchave como 1. Para definir a entrada de registo DisableLoopbackCheck como 1, siga estes passos no computador cliente:

1. Clique em Iniciar e, em Executar, digite regedit e clique em OK.

2. Localize e clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Clique com o botão direito do rato em Lsa, aponte para Novo e, em seguida, clique em Valor DWORD .

4. Escreva DisableLoopbackCheck e, em seguida, prima ENTER.

5. Clique com o botão direito do rato em DisableLoopbackCheck e, em seguida, clique em Modificar.

6. Na caixa Dados do valor, digite 1 e clique em OK.

7. Saia do Editor do Registro.

8. Reinicie o computador.

Observação

Tem de reiniciar o servidor para que esta alteração entre em vigor. Por predefinição, a funcionalidade de verificação de loopback está ativada no Windows Server 2003 SP1 e a entrada de registo DisableLoopbackCheck está definida como 0 (zero). A segurança é reduzida quando desativa a verificação de loopback de autenticação e abre o servidor do Windows Server 2003 para ataques man-in-the-middle (MITM) no NTLM.

Status

A Microsoft confirmou que se trata de um problema nos produtos Microsoft listados no início deste artigo.

Mais informações

Depois de instalar a atualização de segurança 957097, as aplicações como o SQL Server ou os Serviços de Informação Internet (IIS) podem falhar ao fazer pedidos de autenticação NTLM locais.

Para obter mais informações sobre como resolver este problema, veja a secção "Problemas conhecidos com esta atualização de segurança" do artigo da BDC 957097.