DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 871179 - Geändert am: Dienstag, 4. Februar 2014 - Version: 1.0

Auf dieser Seite

Problembeschreibung

Wenn Sie versuchen, auf eine Microsoft Internet Information Services (IIS) 6.0 Website zuzugreifen, die so konfiguriert ist, dass sie nur die integrierte Windows-Authentifizierung verwendet, werden Sie zur Eingabe Ihrer Benutzeranmeldeinformationen aufgefordert. Wenn Sie versuchen sich anzumelden, wird die Aufforderung zum Anmelden erneut angezeigt. Nachdem Sie drei Mal versucht haben sich anzumelden, wird Ihnen folgende Fehlermeldung angezeigt:
HTTP Error 401.1 - Nicht autorisiert: Der Zugriff wurde aufgrund ungültiger Anmeldeinformationen verweigert.

Ursache

Dieses Verhalten kann auftreten, wenn folgende Bedingungen erfüllt sind:
  • Die IIS 6.0-Website ist Teil eines IIS-Anwendungspools.
  • Der Anwendungspool läuft unter einem lokalen Konto oder unter einem Domänen-Benutzerkonto.
  • Die Website ist so konfiguriert, dass sie nur die integrierte Windows-Authentifizierung verwendet.
In diesem Szenario versucht die integrierte Windows-Authentifizierung Kerberos zu verwenden, die Kerberos-Authentifizierung funktioniert eventuell nicht. Um die Kerberos-Authentifizierung zu verwenden, muss ein Dienst seinen Dienstprinzipalname (SPN = Service Principal Name) im Active Directory-Verzeichnisdienst registrieren, unter dem der Dienst ausgeführt wird. Standardmäßig registriert Active Directory den NetBIOS-Computernamen (Network Basic Input/Output System). Active Directory gestattet dem Netzwerkdienst oder dem lokalen Systemkonto auch Kerberos zu verwenden.

Lösung

Wenn dieses Verhalten auftritt, während der Anwendungspool unter einem lokalen Konto ausgeführt wird, führen Sie die Schritte im Abschnitt "Problemumgehung" aus.

Um dieses Verhalten zu beheben, wenn der Anwendungspool unter einem Domänen-Benutzerkonto ausgeführt wird, richten Sie einen HTTP-SPN und einen voll qualifizierten Domänennamen (Fully qualified domain name, FQDN) des Domänen-Benutzerkontos ein, unter dem der Anwendungspool ausgeführt wird. Führen Sie hierzu die folgenden Schritte auf einem Domänencontroller durch:

Wichtig A Ein SPN für einen Dienst kann nur mit einem Konto verknüpft werden. Wenn Sie also diese vorgeschlagene Lösung anwenden, kann kein anderer Anwendungspool, der unter einem anderen Domänen-Benutzerkonto ausgeführt wird, nur mit der integrierten Windows-Authentifizierung verwendet werden.
  1. Installieren Sie das Programm "Setspn.exe". Zum Beziehen des Tools "Setspn.exe" für Microsoft Windows Server 2003 Server wechseln Sie zum folgenden Artikel der Microsoft Knowledge Base:
    970536  (http://support.microsoft.com/kb/970536/de/ ) Update für das Supporttool "Setspn.exe" für Windows Server 2003
  2. Starten Sie eine Eingabeaufforderung, wechseln Sie dann in das Verzeichnis, in das Sie "Setspn.exe" installiert haben.
  3. Geben Sie an der Eingabeaufforderung folgende Befehle ein. Drücken Sie nach jedem Befehl die EINGABETASTE:
    setspn.exe -S http/IIS_computer's_NetBIOS_name Domänenname\Benutzername

    setspn.exe -S http/IIS_computer's_FQDN Domänenname\Benutzername
    Hinweis Benutzername steht für das Benutzerkonto, unter dem der Anwendungspool ausgeführt wird. Wenn Sie den Befehl "setspn.exe" auf einem Computer mit Windows 2000 ausführen, müssen Sie die Befehlszeilenoption -A statt der Option -S verwenden.
Nachdem Sie die SPN für den HTTP-Dienst für das Domänen-Benutzerkonto festgelegt haben, unter dem der Anwendungspool ausgeführt wird, können Sie eine Verbindung mit der Website herstellen, ohne dass Sie zur Eingabe Ihrer Anmeldeinformationen aufgefordert werden.

Abhilfe

Wenn Sie mehrere Anwendungspools haben, die unter verschiedenen Domänenbenutzerkonten ausgeführt werden, müssen Sie zum Umgehen dieses Verhaltens IIS zwingen, NTLM als Authentifizierungsmechanismus zu verwenden, wenn Sie nur die integrierte Windows-Authentifizierung verwenden möchten. Führen Sie hierfür die folgenden Schritte auf dem Server aus, auf dem IIS ausgeführt wird:
  1. Öffnen Sie die Eingabeaufforderung.
  2. Suchen und wechseln Sie in das Verzeichnis, das die Datei "Adsutil.vbs" enthält. Standardmäßig ist dies das Verzeichnis "C:\Inetpub\Adminscripts".
  3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
  4. Um sicherzustellen, dass die Metabasiseigenschaft NtAuthenticationProviders auf NTLM festgelegt ist, geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Die Ausgabe sollte wie folgt aussehen:
    NTAuthenticationProviders       : (STRING) "NTLM"

Status

Es handelt sich hierbei um das beabsichtigte Verhalten.

Weitere Informationen

Wenn Sie die SPN nur mithilfe des FQDN des Servers setzen, auf dem IIS ausgeführt wird, werden Sie nach 30 Minuten dazu aufgefordert, Ihre Anmeldeinformationen einzugeben. Die Zeitüberschreitung nach 30 Minuten tritt auf, da Internet Explorer die Domain Name System-(DNS-)Informationen zwischenspeichert. Nach 30 Minuten kehrt Internet Explorer zum NetBIOS-Namen zurück. Daher müssen Sie sicherstellen, dass Sie auch die SPN registrieren, indem Sie den NetBIOS-Namen des Servers verwenden, der IIS ausführt. So verhindern Sie, dass Sie zur Eingabe Ihrer Anmeldeinformationen aufgefordert werden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
263558  (http://support.microsoft.com/kb/263558/de/ ) Verwendung des Cache für DNS-Hosteinträge in Internet Explorer
Um die SPNs für Ihr Benutzerkonto zu überprüfen, unter dem Ihr Anwendungspool ausgeführt wird, starten Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl von dem Verzeichnis ein, in das "Setspn.exe" installiert ist, und drücken Sie dann die EINGABETASTE:
setspn.exe -l Benutzername
Eine Liste der für das Benutzerkonto registrierten SPNs wird zurückgegeben.

Internet Information Services (IIS) 7.0

Die in diesem Artikel besprochenen Themen können auch für IIS 7.0 gelten, wenn eine der folgenden Bedingungen erfüllt ist:
  • Kernelmodus-Authentifizierung ist deaktiviert
  • Kernelmodus-Authentifizierung aktiviert ist, und das useAppPoolCredentials-Attribut ist auf TRUE festgelegt.

Informationsquellen

Weitere Informationen zur Nutzung der integrierten Windows-Authentifizierung mit IIS-Anwendungspools finden Sie auf der folgenden Microsoft-Website:
Integrierte Windows-Authentifizierung (IIS 6.0) (http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx)
Weitere Informationen zu Authentifizierungsfehlern oder Zugriffsteuerungsfehlern in IIS finden Sie auf der folgenden Microsoft-Website:
AuthDiag (Authentication and Access Control Diagnostics) Version 1.0 (IIS 6.0) (http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/46f8e123-0116-43eb-a364-31c4d96ae11b.mspx?mfr=true)
Hinweis Das Tool "AuthDiag" soll Ihnen helfen, wenn eine der folgenden Fehlermeldungen angezeigt wird:
  • 401.1 Anmeldung fehlgeschlagen
  • 401.3 ACL
Das Programm "AuthDiag" kann Ihnen auch helfen, wenn Sie Probleme mit Kerberos haben.
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen (http://go.microsoft.com/fwlink/?LinkId=151500) .

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Keywords: 
kbtshoot kbprb KB871179
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store