DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 871179 - Ultima modifica: martedì 4 dicembre 2007 - Revisione: 4.2

Sintomi

Quando si tenta di accedere a un sito Web Microsoft Internet Information Services (IIS) 6.0 configurato per utilizzare solo l'autenticazione integrata di Windows, vengono richieste le credenziali utente. Quando si tenta di effettuare l'accesso, viene di nuovo visualizzato il prompt di accesso. Dopo avere effettuato tre tentativi di accesso, viene visualizzato il seguente messaggio di errore:
Errore HTTP 401.1 - Non autorizzato: Accesso negato. Le credenziali non sono valide.

Cause

Questo comportamento può verificarsi nelle seguenti circostanze:
  • Il sito Web IIS 6.0 è parte di un pool di applicazioni di IIS.
  • Il pool di applicazioni è in esecuzione in un account locale o in un account utente di dominio.
  • Il sito Web è configurato per utilizzare solo l'autenticazione integrata di Windows.
In questo scenario, quando l'autenticazione integrata di Windows tenta di utilizzare Kerberos, l'autenticazione relativa potrebbe non funzionare. Per utilizzare l'autenticazione Kerberos, un servizio deve registrare il proprio nome principale del servizio (SPN, Service Principal Name) nell'account del servizio directory di Active Directory in cui il servizio è in esecuzione. Per impostazione predefinita, in Active Directory viene registrato il nome del computer NetBIOS (Network Basic Input/Output System). In Active Directory è inoltre possibile che il Servizio di rete o l'account Sistema locale utilizzino Kerberos.

Risoluzione

Se questo problema si verifica quando il pool di applicazioni è in esecuzione in un account locale, attenersi alla procedura indicata nella sezione "Risoluzione".

Per risolvere il problema quando il pool di applicazioni è in esecuzione in un account utente di dominio, impostare un nome principale del servizio (SPN) HTTP con il nome NetBIOS e il nome completo (FQDN, Fully Qualified Domain Name) dell'account utente di dominio in cui il pool di applicazioni è in esecuzione. Per effettuare questa operazione, attenersi alla seguente procedura in un controller di dominio.

Importante Un nome principale del servizio (SPN) può essere associato a un solo account. Di conseguenza, se si utilizza questa soluzione suggerita, qualsiasi altro pool di applicazioni in esecuzione in un account utente di dominio diverso non può essere utilizzato solo con l'autenticazione integrata di Windows.
  1. Installare lo strumento Setspn.exe. Per ottenere la versione dello strumento per Microsoft Windows 2000, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en)
    La versione per Microsoft Windows Server 2003 dello strumento della riga di comando Setspn.exe è disponibile negli strumenti di supporto per Windows Server 2003 inclusi nel CD di Windows Server 2003. Per installare gli strumenti, fare doppio clic sul file Suptools.msi nella cartella Support/Tools.
  2. Avviare un prompt dei comandi e indicare la directory in cui è stato installato il file Setspn.exe.
  3. Al prompt dei comandi digitare i seguenti comandi. Premere INVIO dopo ogni comando.
    setspn.exe -a http/nome_NetBIOS_del_computer_IIS NomeDominio\NomeUtente

    setspn.exe -a http/FQDN_del_computer_IIS NomeDominio\NomeUtente
    Nota NomeUtente è l'account utente in cui è in esecuzione il pool di applicazioni.
Dopo avere impostato il nome principale del servizio (SPN) per il servizio HTTP per l'account utente di dominio in cui è in esecuzione il pool di applicazioni, è possibile connettersi al sito Web senza che venga richiesto di immettere le credenziali utente.

Workaround

Per risolvere questo problema se sono presenti più pool di applicazioni in esecuzione in account utente di dominio diversi, è necessario imporre a IIS l'utilizzo di NTLM come meccanismo di autenticazione se si desidera utilizzare solo l'autenticazione integrata di Windows. A questo scopo, attenersi alla procedura seguente sul server che esegue IIS:
  1. Avviare un prompt dei comandi.
  2. Individuare la directory che contiene il file Adsutil.vbs. Per impostazione predefinita, questa directory è C:\Inetpub\Adminscripts.
  3. Digitare il seguente comando e premere INVIO:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
  4. Per verificare che la proprietà della metabase NtAuthenticationProviders sia impostata su NTLM, digitare il seguente comando e premere INVIO:
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Deve essere restituito il testo seguente:
    NTAuthenticationProviders       : (STRING) "NTLM"

Status

Si tratta di un comportamento correlato alla progettazione del prodotto.

Informazioni

Se si è impostato il nome principale del servizio (SPN) solo mediante il nome completo (FQDN) del server in cui è in esecuzione IIS, verranno richieste le credenziali utente dopo 30 minuti. Il limite di 30 minuti dipende dal modo in cui le informazioni DNS (Domain System Name) vengono memorizzate nella cache da parte di Internet Explorer. Dopo 30 minuti si verifica il ripristino al nome NetBIOS da parte di Internet Explorer. Di conseguenza è necessario assicurarsi di registrare anche il nome principale del servizio (SPN) mediante il nome NetBIOS del server in cui è in esecuzione IIS per evitare che venga richiesta l'immissione delle credenziali utente. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
263558  (http://support.microsoft.com/kb/263558/ ) Utilizzo della cache per le voci degli host DNS di Internet Explorer
Per verificare i nomi principali del servizio (SPN) registrati per l'account utente in cui è in esecuzione il pool di applicazioni, avviare un prompt dei comandi, digitare il comando riportato di seguito dalla directory in cui è installato Setspn.exe e premere INVIO:
setspn.exe -l NomeUtente
Verrà restituito un elenco dei nomi principali del servizio (SPN) registrati per l'account utente.

Riferimenti

Per ulteriori informazioni sull'utilizzo dell'autenticazione integrata di Windows con i pool di applicazioni IIS, visitare la sezione relativa alle limitazioni dell'identità del processo di lavoro con Kerberos del seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx (http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/523ae943-5e6a-4200-9103-9808baa00157.mspx)
Per ulteriori informazioni su errori di autenticazione o di controllo dell'accesso in IIS, è possibile scaricare lo strumento Authentication and Access Control Diagnostics 1.0. Il seguente file è disponibile per il download dall'Area download Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/downloads/details.aspx?FamilyId=E90FE777-4A21-4066-BD22-B931F7572E9A&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyId=E90FE777-4A21-4066-BD22-B931F7572E9A&displaylang=en)
Nota Lo strumento AuthDiag è progettato per essere di aiuto quando vengono visualizzati i seguenti messaggi di errore:
  • 401.1 - Accesso non riuscito.
  • 401.3 ACL
Lo strumento AuthDiag può anche essere utile quando si verificano problemi relativi a Kerberos.

Le informazioni in questo articolo si applicano a
  • Microsoft Internet Information Services 6.0
Chiavi: 
kbtshoot kbprb KB871179
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store