DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 887993 - Dernière mise à jour: mardi 10 février 2009 - Version: 4.1

 


Sommaire

Symptômes

Mise à niveau d'un ordinateur Microsoft Windows Server 2003 qui exécute Internet Information Services (IIS) 6.0 ou Microsoft SQL Server 2000 vers Windows Server 2003 Service Pack 1 (SP1). Après cela, les utilisateurs rencontrent les problèmes d'authentification lorsqu'ils utilisent des applications Web ou lorsqu'ils utilisent un programme qui interroge la base de données. Par exemple, un utilisateur peut rencontrer des problèmes semblables à une des options suivantes :
  • L'utilisateur reçoit un message d'erreur «Accès refusé» lorsque l'utilisateur tente d'accéder à une page Web qui extrait des données d'une base de données back-end.
  • L'utilisateur ne peut pas se connecter à un autre serveur de base de données qui se trouve dans un cluster d'équilibrage de charge réseau (NLB, Network Load BALANCING). Cas d'échec des requêtes au serveur de base de données.
Les problèmes auxquels les utilisateurs peuvent varier selon votre environnement particulier.

Cause

Ce problème se produit si le nom principal de service (SPN) du service n'est pas authentifié. Le SPN n'est pas authentifié si le nom principal de service n'est pas inscrit à un compte de service. Windows Server 2003 SP1 inclut la fonctionnalité de contrôle de bouclage est stockée dans l'entrée de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
Par défaut, fonctionnalité de contrôle de bouclage est activée dans Windows Server 2003 SP1 et l'entrée de Registre DisableLoopbackCheck est définie sur 0 (zéro). La fonctionnalité de contrôle de bouclage empêche le programme d'inscription du SPN.

Résolution

Important Cette section, la méthode ou la tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que vous procédez comme suit avec soin. Pour plus de protection, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre en cas de problème. Pour plus d'informations sur la façon de sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756  (http://support.microsoft.com/kb/322756/ ) Comment faire pour sauvegarder et restaurer le Registre dans Windows

Important Par défaut, fonctionnalité de contrôle de bouclage est activée dans Windows Server 2003 SP1 et l'entrée de Registre DisableLoopbackCheck est définie sur 0 (zéro). La sécurité est réduite lorsque vous désactivez le contrôle de bouclage d'authentification et que vous ouvrez le serveur Windows Server 2003 contre les attaques de man-in-the-middle (homme) sur NTLM. Pour éviter toute attaque d'homme, la valeur d'entrée de Registre doit être retournée à zéro (0) après avoir apporté les modifications de nom principal de service. En outre, la méthode 1 est la meilleure solution.

Méthode 1: Créer les noms d'ordinateur hôte Autorité de sécurité locale peuvent être référencées dans une demande d'authentification NTLM (préférée)

  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Dans l'Éditeur du Registre, recherchez et cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. Cliquez avec le bouton droit sur Msv1_0, pointez sur Nouveau, puis cliquez sur Valeur de chaînes multiples.
  4. Tapez BackConnectionHostNames et appuyez sur ENTRÉE.
  5. Cliquez avec le bouton droit sur BackConnectionHostNames, puis cliquez sur Modifier.
  6. Dans la zone données de la valeur, tapez le nom d'ordinateur hôte ou les noms d'ordinateur hôte pour les sites qui sont sur l'ordinateur local, puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre et redémarrez le serveur pour que cette modification prenne effet.

Méthode 2: Désactiver le contrôle de bouclage d'authentification et inscrire le SPN avec le compte sous lequel s'exécute le service

Pour résoudre ce problème, désactivez le contrôle de bouclage d'authentification, puis inscrire le SPN avec le compte sous lequel s'exécute le service. Pour ce faire, définissez l'entrée DisableLoopbackCheck dans la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Registre sous-clé à 1, puis déterminer le nom du SPN.

Étape 1: Pour définir l'entrée de Registre DisableLoopbackCheck à 1

  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. Cliquez avec le bouton droit sur DisableLoopbackCheck, puis cliquez sur Modifier.
  4. Tapez 1 dans la zone données de la valeur, puis cliquez sur OK.

Étape 2: pour déterminer le nom du SPN

  1. Ajoutez les entrées de Registre suivantes et définissez à chaque entrée de Registre la valeur appropriée comme suit :
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel
      Valeur: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile
      Valeur: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel
      Valeur : c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel
      Valeur: 1 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile
      Valeur: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel
      Valeur : c3
    Pour ajouter une entrée de Registre, procédez comme suit :
    1. Recherchez et cliquez sur la sous-clé de Registre où vous souhaitez ajouter l'entrée de Registre.
    2. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
    3. Tapez le nom de l'entrée de Registre que vous souhaitez ajouter, puis appuyez sur ENTRÉE.
    4. Cliquez avec le bouton droit sur l'entrée de Registre que vous avez ajouté dans l'étape 2c et cliquez sur Modifier.
    5. Tapez la valeur appropriée pour cette entrée de Registre, puis cliquez sur OK.
    6. Répétez l'étape 2 a à 2e pour chaque entrée de Registre que vous souhaitez ajouter.
    7. Quittez l'Éditeur du Registre.
  2. Redémarrez l'ordinateur et puis reproduire le problème. Après cela, un message d'erreur de ID d'événement qui est semblable au suivant est consigné dans le journal système :
    Type : erreur
    Source : Kerberos
    Catégorie : aucun
    ID d'événement: 3
    Description : Une erreur Kerberos Message a été reçu :
    sur ouverture de session
    Heure du client :
    Heure du serveur : TimeDate
    Code d'erreur: 0 x 7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    Erreur étendue :
    Domaine client :
    Nom du client :
    Domaine de serveur : DomainName .com
    Nom du serveur : MSSQLSvc / DomainName .com:1433
    Nom de la cible : MSSQLSvc / ServerName. DomainName : 1433 @ DomainName.com
    Erreur texte :
    Fichier: 9
    Ligne : ab8
    Données de l'erreur sont dans les données d'enregistrement.
    Déterminer le SPN à partir de la message d'erreur d'ID d'événement. Dans cet exemple, le SPN est MSSQLSvc / DomainName .com:1433.

Étape 3: Utiliser l'outil de ligne de commande Setspn.exe pour enregistrer le SPN pour le compte de service approprié

Dans IIS 6.0, le compte de service est généralement le compte sous lequel s'exécute le service WWW ou le compte utilisé par le pool d'applications. Dans Microsoft SQL Server 2000, le compte de service est le compte SQL Server 2000 sous lequel s'exécute. Utilisez la syntaxe suivante pour ajouter un nouveau nom principal de service :
setspn - un SPN DomainName \ AccountName

Voici un exemple d'utilisation de l'outil de ligne de commande Setspn.exe pour ajouter un nom principal de service :
setspn - un MSSQLSvc/NLBNAME.corp.domain.com:1433 DomainName \ AccountName

Plus d'informations

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
970536  (http://support.microsoft.com/kb/970536/ ) Mise à jour d'outil Setspn.exe prise en charge pour Windows Server 2003


Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
837361  (http://support.microsoft.com/kb/837361/ ) Entrées de Registre du protocole Kerberos et clés de configuration de contrôleur de domaine KERBEROS dans Windows Server 2003


Après avoir installé la mise à jour de sécurité 957097, les applications telles que SQL Server ou Internet Information Services (IIS) peuvent échouer lors de l'établissement de demandes d'authentification NTLM locales. Pour plus d'informations sur la façon de résoudre ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
957097  (http://support.microsoft.com/kb/957097/ ) MS08-068 : Une vulnérabilité dans SMB peut permettre l'exécution de code à distance
Consultez la section «Problèmes connus avec cette mise à jour de sécurité» de l'article 957097 pour plus d'informations sur la façon de résoudre le problème.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Mots-clés : 
kbmt kbtshoot KB887993 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 887993  (http://support.microsoft.com/kb/887993/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store