pourquoi ne l'authentification windows / usurpation d'identité échouer sur asp.net application avec iis 7.5 / windows 7 /
Je suis dépannage pourquoi je ne peux pas obtenir au-delà de la boîte de dialogue de connexion sur un ASP.Net site configuré pour l'Authentification Windows et l'usurpation d'identité.
J'ai un ASP.Net 2.0 application et je suis en train de le déployer sur Windows 7 avec IIS 7.5. J'ai créé un nouveau site, et lié à localhost et un nom de domaine pleinement qualifié. le nom de domaine complet est dans mon fichier hosts, et il est redirigé vers 127.0.0.1
Le site est également en cours d'exécution avec un domaine d'application que j'ai créé, avec pipeline intégré de mode, et le modèle de processus d'identité est définie à ApplicationPoolIdentity.
Web.config comprend les éléments suivants:
<trust level="High" />
<authentication mode="Windows" />
<authorization>
<deny users="?"/>
</authorization>
<identity impersonate="true"/>`
ACL du répertoire du site est défini à tout le monde (le Plein Contrôle - Pour les tests).
L'Application de la Piscine compte virtuel (Windows 7) est fixé à un contrôle total sur le répertoire physique pour le site également.
D'authentification IIS a ASP.Net l'usurpation d'identité est activé et l'Authentification Windows est activé.
Lorsque je me connecte sur le site en tant que localhost, il me permet d'obtenir au-delà de l'invite de connexion et l'application se charge sans incident.
Lorsque je me connecte sur le site que le nom de domaine complet situé dans les en-têtes d'hôte liaisons pour ce site/ip/port, je ne peux pas obtenir au-delà de l'invite de connexion. En cliquant sur annuler génère un http 401.1 page d'erreur.
Pourquoi?
OriginalL'auteur unknown | 2010-06-10
Vous devez vous connecter pour publier un commentaire.
et la réponse de ce que l'on va être une fonctionnalité de sécurité connue sous le contrôle de bouclage d'authentification, introduit dans Windows 2003 SP1, comme par: http://support.microsoft.com/kb/926642
j'ai essayé de me connecter à mon iis en-têtes d'hôte de l'instance à l'aide d'un en-tête d'hôte défini dans mon fichier /etc/hosts comme pointant vers 127.0.0.1, tout en étant connecté à l'ordinateur qui exécute iis - c'est le bouclage scénario.
il vous pique dans des contextes divers, comme ce (http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx) ou ce monde de douleur dans google (http://www.google.ca/search?q=authentication+loopback+check&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a)
LE CORRECTIF consiste à une simple regedit travail: http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx
j'ai aussi n'a pas besoin d'activer l'emprunt d'identité pour ma situation, et je l'ai désactivé, et maintenant je peux me connecter à l'aide de mon faux nom de domaine complet à la fois localement et à distance
ce lien blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/... le bas - pouvez-vous s'il vous plaît modifier votre réponse à inclure le correctif directement? merci
Voici un plus officiel de référence: support.microsoft.com/kb/896861
OriginalL'auteur unknown
L'URL fournie par le Velours est en baisse. J'ai trouvé une version mise en cache sur archive.org:
"
401.1 D'Erreur Lors De L'Accès À SharePoint À Partir D'Un Serveur
Je suis tombé sur cette question à plusieurs reprises dans le passé, dans la création d'environnements SharePoint (pour l'utilisation interne en développement et les clients) j'ai donc pensé qu'il était temps d'écrire un billet de blog à ce sujet. Si vous utilisez SharePoint Server 2007 ou WSS 3.0 sur Windows Server 2003 SP1 ou plus tard, vous serez confronté à des problèmes d'authentification si vous essayez d'accéder à un site SharePoint avec les en-têtes d'hôte du serveur lui-même (c'est à dire le fichier host a portal.mydomain.com pointé à l'adresse 127.0.0.1). Ce problème se manifeste comme le résultat d'une boucle de retour de vérification de la sécurité de Microsoft intégré à Windows Server 2003 SP1 et versions ultérieures. Le but du contrôle de bouclage est d'éliminer les attaques de déni de service cependant, il provoque des problèmes avec l'accès à des sites SharePoint localement à partir du serveur. Typique d'un environnement de production, ce n'est généralement pas un problème, car on a rarement accès à des sites SharePoint (en dehors de l'administration centrale) à partir d'un serveur web frontal. Cependant, j'ai physiques et virtuels, les environnements de développement où toutes les activités se déroulent à partir du serveur, donc ceci peut causer des brûlures d'estomac, sauf si vous avez travaillé par le biais de la question avant. Vous pouvez lire le détail de l'article à KB926642 & KB896861. Voici un aperçu de la façon de résoudre le problème. En général, je désactiver le contrôle de bouclage cependant ce n'est pas recommandé pour la production d'environnements de serveurs.
Méthode 1: Désactiver le contrôle de bouclage d'authentification
Re-activer le comportement qui existe dans Windows Server 2003 par le réglage de l'entrée de registre DisableLoopbackCheck dans le
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
sous-clé de registre à 1. Pour définir laDisableLoopbackCheck
entrée de registre à 1, procédez comme suit sur l'ordinateur client:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
DisableLoopbackCheck
, puis appuyez sur ENTRÉE.DisableLoopbackCheck
, puis cliquez sur Modifier.Remarque Vous devez redémarrer le serveur pour que cette modification prenne effet. Par défaut, la fonctionnalité de contrôle de bouclage est activé dans Windows Server 2003 SP1, et la DisableLoopbackCheck entrée de registre est définie sur 0 (zéro). La sécurité est réduite lorsque vous désactivez le contrôle de bouclage d'authentification et que vous ouvrez le Windows Server 2003 pour " man-in-the-middle (MITM) attaques sur NTLM.
Méthode 2: création de l'Autorité de Sécurité Locale les noms d'hôtes qui peuvent être référencées dans une demande d'authentification NTLM
Pour ce faire, suivez ces étapes pour tous les nœuds sur l'ordinateur client:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
BackConnectionHostNames
, puis appuyez sur ENTRÉE.BackConnectionHostNames
, puis cliquez sur Modifier.Type de Note à chaque nom d'hôte sur une ligne distincte.
Remarque Si le
BackConnectionHostNames
entrée de registre n'existe qu'un type REG_DWORD, vous devez supprimer leBackConnectionHostNames
entrée de registre.7. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.
"
À partir de: http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx sur 05 juin 2009
OriginalL'auteur jpknoll