DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 871179 - Dernière mise à jour: mercredi 26 février 2014 - Version: 1.0

Sommaire

Symptômes

Lorsque vous essayez d'accéder à un site Web Microsoft IIS (Internet Information Services) 6.0 qui est configuré pour utiliser l'authentification intégrée Windows uniquement, vous êtes invité à spécifier vos informations d'identification utilisateur. Lorsque vous tentez d'ouvrir une session, vous recevez de nouveau l'invite d'ouverture de session. Après avoir essayé trois fois d'ouvrir une session, le message d'erreur suivant s'affiche :
Erreur HTTP 401,1 - Non autorisé : Accès refusé en raison d'informations d'identification non valides.

Cause

Ce problème peut se produire si les conditions suivantes sont remplies :
  • Le site Web IIS 6.0 fait partie d'un pool d'applications IIS.
  • Le pool d'applications s'exécute sous un compte local ou sous un compte d'utilisateur de domaine.
  • Le site Web est configuré pour utiliser l'authentification intégrée Windows uniquement.
Dans ce scénario, lorsque l'authentification intégrée Windows essaie d'utiliser Kerberos, l'authentification Kerberos peut ne pas fonctionner. Pour utiliser l'authentification Kerberos, un service doit inscrire son nom principal de service sous le compte du service d'annuaire Active Directory sous lequel le service est exécuté. Par défaut, Active Directory inscrit le nom de système NetBIOS (Network Basic Input/Output System) de l'ordinateur. Active Directory autorise également le compte Service réseau ou Système Local compte à utiliser Kerberos.

Résolution

Si ce problème se produit lorsque le pool d'applications s'exécute sous un compte local, suivez la procédure décrite dans la section « Contournement ».

Pour résoudre ce problème lorsque le pool d'applications s'exécute sous un compte d'utilisateur de domaine, configurez un nom principal de service HTTP avec le nom NetBIOS et le nom de domaine complet (FQDN) du compte d'utilisateur de domaine sous lequel le pool d'applications est exécuté. Pour cela, procédez comme suit sur le contrôleur de domaine :

Important Le nom principal de service d'un service ne peut être associé qu'à un seul compte. Par conséquent, si vous utilisez la résolution proposée, tout autre pool d'applications qui s'exécute sous un compte d'utilisateur de domaine différent ne peut pas être utilisé avec l'authentification intégrée Windows uniquement.
  1. Installez l'outil Setspn.exe. Pour obtenir l'outil Setspn.exe pour Microsoft Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    970536  (http://support.microsoft.com/kb/970536/fr/ ) Mise à jour de l'outil de support Setspn.exe pour Windows Server 2003
  2. Démarrez une invite de commandes, et accédez au répertoire où vous avez installé Setspn.exe.
  3. À l'invite de commandes, tapez les commandes suivantes. Appuyez sur la touche Entrée après chaque commande :
    setspn.exe -S http/nom_NetBIOS_ordinateur_IIS nom_domaine\nom_utilisateur

    setspn.exe -S http/FQDN_ordinateur_IIS nom_domaine\nom_utilisateur
    Remarque nom_utilisateur est le compte d'utilisateur sous lequel le pool d'applications s'exécute. Notez également que si vous exécutez la commande setspn.exe sur une machine Windows 2000, vous devez utiliser le commutateur -A au lieu du commutateur -S.
Après avoir défini le nom principal de service du service HTTP sur le compte d'utilisateur de domaine sous lequel le pool d'applications est exécuté, vous pouvez vous connecter avec succès au site Web sans être invité à spécifier vos informations d'identification utilisateur.

Contournement

Pour contourner ce problème si vous avez plusieurs pools d'applications qui sont exécutés sous différents comptes d'utilisateur de domaine, vous devez forcer IIS à utiliser NTLM comme mécanisme d'authentification si vous voulez utiliser l'authentification intégrée Windows uniquement. Pour cela, procédez comme suit sur le serveur qui exécute IIS :
  1. Démarrez une invite de commandes.
  2. Localisez puis sélectionnez le répertoire qui contient le fichier Adsutil.vbs. Par défaut, ce répertoire est C:\Inetpub\Adminscripts.
  3. Tapez la commande suivante et appuyez sur Entrée :
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
  4. Pour vérifier que la propriété de métabase NtAuthenticationProviders est définie sur NTLM, tapez la commande suivante et appuyez ensuite sur la touche Entrée :
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Le texte suivant doit être renvoyé :
    NTAuthenticationProviders       : (STRING) "NTLM"

Statut

Ce comportement est voulu par la conception même du produit.

Plus d'informations

Si vous définissez le nom principal de service en utilisant uniquement le nom de domaine complet du serveur qui exécute IIS, vous serez invité à spécifier vos informations d'identification utilisateur au bout de 30 minutes. Le délai d'expiration de 30 minutes est dû à la façon dont Internet Explorer met en cache les informations DNS (Domain Name System). Après 30 minutes, Internet Explorer rétablit le nom NetBIOS. Par conséquent, vous devez prendre soin d'inscrire également le nom principal de service en utilisant le nom NetBIOS du serveur qui exécute IIS afin de ne pas avoir à spécifier vos informations d'identification utilisateur. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
263558  (http://support.microsoft.com/kb/263558/fr/ ) Utilisation du cache pour les entrées d'hôte DNS par Internet Explorer
Pour vérifier les SPN enregistrés pour le compte d'utilisateur sous lequel votre pool d'applications s'exécute, démarrez une invite de commande, tapez la commande suivante du répertoire dans lequel Setspn.exe est installé et appuyez sur la touche Entrée :
setspn.exe -l nom_utilisateur
Une liste des SPN enregistrés pour le compte d'utilisateur est renvoyée.

Internet Information Services (IIS) 7.0

Les rubriques reprises dans cet article peuvent aussi s'appliquer aux IIS 7.0 si l'une des conditions suivantes est remplie :
  • L'authentification du mode noyau est désactivée.
  • L'authentification du mode noyau est activée et l'attribut useAppPoolCredentials est défini sur « TRUE ».

Références

Pour plus d'informations sur l'utilisation de l'authentification Windows intégrée avec des pools d'application IIS, reportez-vous au site web de Microsoft à l'adresse suivante :
Authentification Windows intégrée (IIS 6.0) (http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx)
Pour plus d'informations sur les échecs d'authentification ou les échecs de contrôle d'accès dans les IIS, reportez-vous au site web de Microsoft à l'adresse suivante :
Diagnostics d'authentification et de contrôle d'accès Version 1.0 (IIS 6.0) (http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/46f8e123-0116-43eb-a364-31c4d96ae11b.mspx?mfr=true)
Remarque L'outils AuthDiag est conçu pour vous venir en aide quand l'un des messages d'erreur suivants s'affiche :
  • 401.1 - Échec de l'ouverture de session
  • 401.3 - ACL
L'outil AuthDiag peut également vous aider lorsque vous rencontrez des problèmes liés à Kerberos.
Remarque Il s'agit d'un article de « PUBLICATION RAPIDE » rédigé directement au sein du service de support technique Microsoft. Les informations qui y sont contenues sont fournies en l'état, en réponse à des problèmes émergents. En raison du délai rapide de mise à disposition, les informations peuvent contenir des erreurs typographiques et, à tout moment et sans préavis, faire l'objet de révisions. Pour d'autres considérations, consultez les Conditions d'utilisation (http://go.microsoft.com/fwlink/?LinkId=151500) .

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Mots-clés : 
kbtshoot kbprb KB871179
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store