pourquoi ne l'authentification windows / usurpation d'identité échouer sur asp.net application avec iis 7.5 / windows 7 /

Je suis dépannage pourquoi je ne peux pas obtenir au-delà de la boîte de dialogue de connexion sur un ASP.Net site configuré pour l'Authentification Windows et l'usurpation d'identité.

J'ai un ASP.Net 2.0 application et je suis en train de le déployer sur Windows 7 avec IIS 7.5. J'ai créé un nouveau site, et lié à localhost et un nom de domaine pleinement qualifié. le nom de domaine complet est dans mon fichier hosts, et il est redirigé vers 127.0.0.1

Le site est également en cours d'exécution avec un domaine d'application que j'ai créé, avec pipeline intégré de mode, et le modèle de processus d'identité est définie à ApplicationPoolIdentity.

Web.config comprend les éléments suivants:

<trust level="High" />
<authentication mode="Windows" />
<authorization>
  <deny users="?"/>
</authorization>
<identity impersonate="true"/>`

ACL du répertoire du site est défini à tout le monde (le Plein Contrôle - Pour les tests).
L'Application de la Piscine compte virtuel (Windows 7) est fixé à un contrôle total sur le répertoire physique pour le site également.

D'authentification IIS a ASP.Net l'usurpation d'identité est activé et l'Authentification Windows est activé.

Lorsque je me connecte sur le site en tant que localhost, il me permet d'obtenir au-delà de l'invite de connexion et l'application se charge sans incident.

Lorsque je me connecte sur le site que le nom de domaine complet situé dans les en-têtes d'hôte liaisons pour ce site/ip/port, je ne peux pas obtenir au-delà de l'invite de connexion. En cliquant sur annuler génère un http 401.1 page d'erreur.

Pourquoi?

OriginalL'auteur unknown | 2010-06-10

  1. 7

    et la réponse de ce que l'on va être une fonctionnalité de sécurité connue sous le contrôle de bouclage d'authentification, introduit dans Windows 2003 SP1, comme par: http://support.microsoft.com/kb/926642

    j'ai essayé de me connecter à mon iis en-têtes d'hôte de l'instance à l'aide d'un en-tête d'hôte défini dans mon fichier /etc/hosts comme pointant vers 127.0.0.1, tout en étant connecté à l'ordinateur qui exécute iis - c'est le bouclage scénario.

    il vous pique dans des contextes divers, comme ce (http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx) ou ce monde de douleur dans google (http://www.google.ca/search?q=authentication+loopback+check&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a)

    LE CORRECTIF consiste à une simple regedit travail: http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx

    j'ai aussi n'a pas besoin d'activer l'emprunt d'identité pour ma situation, et je l'ai désactivé, et maintenant je peux me connecter à l'aide de mon faux nom de domaine complet à la fois localement et à distance

    Merci pour cette. Quoi de plus ennuyeux. Juste mordu par moi-même.
    ce lien blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/... le bas - pouvez-vous s'il vous plaît modifier votre réponse à inclure le correctif directement? merci
    Voici un plus officiel de référence: support.microsoft.com/kb/896861

    OriginalL'auteur unknown

  2. 7

    L'URL fournie par le Velours est en baisse. J'ai trouvé une version mise en cache sur archive.org:

    "
    401.1 D'Erreur Lors De L'Accès À SharePoint À Partir D'Un Serveur

    Je suis tombé sur cette question à plusieurs reprises dans le passé, dans la création d'environnements SharePoint (pour l'utilisation interne en développement et les clients) j'ai donc pensé qu'il était temps d'écrire un billet de blog à ce sujet. Si vous utilisez SharePoint Server 2007 ou WSS 3.0 sur Windows Server 2003 SP1 ou plus tard, vous serez confronté à des problèmes d'authentification si vous essayez d'accéder à un site SharePoint avec les en-têtes d'hôte du serveur lui-même (c'est à dire le fichier host a portal.mydomain.com pointé à l'adresse 127.0.0.1). Ce problème se manifeste comme le résultat d'une boucle de retour de vérification de la sécurité de Microsoft intégré à Windows Server 2003 SP1 et versions ultérieures. Le but du contrôle de bouclage est d'éliminer les attaques de déni de service cependant, il provoque des problèmes avec l'accès à des sites SharePoint localement à partir du serveur. Typique d'un environnement de production, ce n'est généralement pas un problème, car on a rarement accès à des sites SharePoint (en dehors de l'administration centrale) à partir d'un serveur web frontal. Cependant, j'ai physiques et virtuels, les environnements de développement où toutes les activités se déroulent à partir du serveur, donc ceci peut causer des brûlures d'estomac, sauf si vous avez travaillé par le biais de la question avant. Vous pouvez lire le détail de l'article à KB926642 & KB896861. Voici un aperçu de la façon de résoudre le problème. En général, je désactiver le contrôle de bouclage cependant ce n'est pas recommandé pour la production d'environnements de serveurs.

    Méthode 1: Désactiver le contrôle de bouclage d'authentification
    Re-activer le comportement qui existe dans Windows Server 2003 par le réglage de l'entrée de registre DisableLoopbackCheck dans le HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa sous-clé de registre à 1. Pour définir la DisableLoopbackCheck entrée de registre à 1, procédez comme suit sur l'ordinateur client:

    1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez regedit, puis cliquez sur OK.
    2. Recherchez et cliquez ensuite la sous-clé de registre suivante: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. Droit sur Lsa, pointez sur Nouveau et puis cliquez sur Valeur DWORD.
    4. Type DisableLoopbackCheck, puis appuyez sur ENTRÉE.
    5. Cliquez-droit sur DisableLoopbackCheck, puis cliquez sur Modifier.
    6. Dans la zone données de la Valeur, tapez 1, puis cliquez sur OK.
    7. Quittez L'Éditeur Du Registre.
    8. Redémarrer l'ordinateur.
      Remarque Vous devez redémarrer le serveur pour que cette modification prenne effet. Par défaut, la fonctionnalité de contrôle de bouclage est activé dans Windows Server 2003 SP1, et la DisableLoopbackCheck entrée de registre est définie sur 0 (zéro). La sécurité est réduite lorsque vous désactivez le contrôle de bouclage d'authentification et que vous ouvrez le Windows Server 2003 pour " man-in-the-middle (MITM) attaques sur NTLM.

    Méthode 2: création de l'Autorité de Sécurité Locale les noms d'hôtes qui peuvent être référencées dans une demande d'authentification NTLM
    Pour ce faire, suivez ces étapes pour tous les nœuds sur l'ordinateur client:

    1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez regedit, puis cliquez sur OK.
    2. Recherchez et cliquez ensuite la sous-clé de registre suivante: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
    3. Cliquez-droit sur MSV1_0, pointez sur Nouveau et puis cliquez sur Valeur de chaînes Multiples.
    4. Dans la colonne Nom, type BackConnectionHostNames, puis appuyez sur ENTRÉE.
    5. Cliquez-droit sur BackConnectionHostNames, puis cliquez sur Modifier.
    6. Dans la zone données de la Valeur, tapez le CNAME ou l'alias DNS, qui est utilisé pour le partage local sur l'ordinateur, puis cliquez sur OK.

    Type de Note à chaque nom d'hôte sur une ligne distincte.

    Remarque Si le BackConnectionHostNames entrée de registre n'existe qu'un type REG_DWORD, vous devez supprimer le BackConnectionHostNames entrée de registre.
    7. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.

    "

    À partir de: http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx sur 05 juin 2009

    OriginalL'auteur jpknoll