DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 887993 - Última revisão: terça-feira, 10 de Fevereiro de 2009 - Revisão: 4.1

 


Nesta página

Sintomas

Actualiza um computador baseado no Microsoft Windows Server 2003 com o Microsoft Internet Information Services (IIS) 6.0 ou Microsoft SQL Server 2000 para Windows Server 2003 Service Pack 1 (SP1). Depois de o fazer, os utilizadores detectar problemas de autenticação quando utilizam aplicações Web nem quando utilizam um programa que consulta a base de dados. Por exemplo, um utilizador poderá detectar sintomas semelhantes a um dos seguintes procedimentos:
  • O utilizador recebe uma mensagem de erro "Acesso negado" quando o utilizador tenta aceder a uma página Web que obtém dados a partir de uma base de dados back-end.
  • O utilizador não consegue ligar a outro servidor de base de dados que está localizado num cluster de balanceamento de carga de rede (NLB). As consultas ao servidor da base de dados falhar.
Os sintomas que experimentar os utilizadores poderão variar consoante o seu ambiente específico.

Causa

Este problema ocorre se o nome principal do serviço (SPN) do serviço não está autenticado. O SPN não está autenticado se o SPN não está registado para uma conta de serviço. Windows Server 2003 SP1 inclui a funcionalidade de verificação do loopback que é armazenada na seguinte entrada do registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
Por predefinição, a funcionalidade de verificação do loopback está activada no Windows Server 2003 SP1 e a entrada de registo DisableLoopbackCheck está definida como 0 (zero). A funcionalidade de verificação do loopback impede que o programa registar o SPN.

Resolução

Importante Esta secção, método ou tarefa contém passos que a saber como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows

Importante Por predefinição, a funcionalidade de verificação do loopback está activada no Windows Server 2003 SP1 e a entrada de registo DisableLoopbackCheck é definida como 0 (zero). A segurança é reduzida quando desactivar a verificação de loopback de autenticação e abrir o servidor de Windows Server 2003 para ataques man-in-the-middle (MITM) NTLM. Para evitar ataques MITM, o valor da entrada de registo deve ser devolvido para zero (0) depois de efectuadas as alterações SPN. Além disso, o método 1 é a solução preferencial.

Método 1: Criar os nomes de anfitrião de autoridade de segurança local podem ser referenciados num pedido de autenticação NTLM (preferido)

  1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
  2. No Editor de registo, localize e, em seguida, clique na seguinte chave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. Clique com o botão direito do rato MSV1_0, aponte para Novo e, em seguida, clique em Valor de múltiplas cadeias.
  4. Escreva BackConnectionHostNames e, em seguida, prima ENTER.
  5. Clique com o botão direito do rato BackConnectionHostNames e, em seguida, clique em Modificar.
  6. Na caixa dados do valor, escreva o nome do anfitrião ou os nomes de anfitrião para os sites que estão no computador local e, em seguida, clique em OK.
  7. Saia do Editor de registo e, em seguida, reinicie o servidor para que esta alteração tenha efeito.

Método 2: Desactivar a verificação do loopback de autenticação e registar o SPN com a conta que o serviço é executado sob

Para resolver este problema, desactive a verificação do loopback de autenticação e, em seguida, registe o SPN com a conta que o serviço é executado sob. Para tal, defina a entrada DisableLoopbackCheck no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registo subchave 1 e, em seguida, determinar o nome do SPN.

Passo 1: Definir a entrada de registo DisableLoopbackCheck para 1

  1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Clique com o botão direito do rato DisableLoopbackCheck e, em seguida, clique em Modificar.
  4. Escreva 1 na caixa dados do valor e, em seguida, clique em OK.

Passo 2: para determinar o nome do SPN

  1. Adicione as seguintes entradas de registo e, em seguida, defina cada entrada de registo para o valor adequado da seguinte forma:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel
      Valor: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile
      Valor: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel
      Valor: c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel
      Valor: 1 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile
      Valor: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel
      Valor: c3
    Para adicionar uma entrada de registo, siga estes passos:
    1. Localize e clique na subchave do registo onde pretende adicionar a entrada de registo.
    2. No menu Editar, aponte para Novo e, em seguida, clique em Valor DWORD.
    3. Escreva o nome da entrada de registo que pretende adicionar e, em seguida, prima ENTER.
    4. Clique com o botão direito do rato o registo do movimento que adicionou no passo 2 c e, em seguida, clique em Modificar.
    5. Escreva o valor apropriado para essa entrada de registo e, em seguida, clique em OK.
    6. Repita o passo 2a através de 2e para cada entrada de registo que pretende adicionar.
    7. Saia do Editor de registo.
  2. Reinicie o computador e, em seguida, reproduzir o problema. Depois de o fazer, é registada uma mensagem de erro de ID de evento semelhante ao seguinte no registo do sistema:
    Tipo: erro
    Origem: Kerberos
    Categoria: nenhum
    ID de evento: 3
    Descrição: Um erro de Kerberos mensagem foi recebida:
    no início de sessão
    Hora de cliente:
    Hora de servidor: TimeDate
    Código de erro: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    Erro expandido:
    Realm do cliente:
    Nome de cliente:
    Realm do servidor: DomainName .com
    Nome do servidor: MSSQLSvc / DomainName .com:1433
    Nome de destino: MSSQLSvc / ServerName. DomainName: 1433 @ DomainName.com
    Erro de texto:
    Ficheiro: 9
    Linha: ab8
    Dados de erro está nos dados de registos.
    Determine o SPN a partir de uma mensagem de erro de ID de evento. Neste exemplo, o SPN é MSSQLSvc / DomainName .com:1433.

Passo 3: Utilizar a ferramenta da linha de comandos Setspn.exe para registar o SPN para a conta de serviço apropriado

No IIS 6.0, a conta de serviço normalmente é a conta que o serviço WWW é executado sob ou a conta que utiliza o agrupamento de aplicações. No SQL Server 2000, a conta de serviço é a conta que seja executado de SQL Server 2000. Utilize a seguinte sintaxe para adicionar um SPN novo:
setspn - a SPN DomainName \ AccountName

Segue-se um exemplo de como utilizar a ferramenta da linha de comandos Setspn.exe para adicionar um SPN:
setspn - a de MSSQLSvc/NLBNAME.corp.domain.com:1433 DomainName \ AccountName

Mais Informação

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
970536  (http://support.microsoft.com/kb/970536/ ) Setspn.exe suporte ferramenta de actualização para o Windows Server 2003


Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
837361  (http://support.microsoft.com/kb/837361/ ) Entradas de registo do protocolo Kerberos e chaves de configuração de KDC no Windows Server 2003


Depois de instalar a actualização de segurança 957097, aplicações como, por exemplo, SQL Server ou serviços de informação Internet (IIS) poderão falhar quando efectuar pedidos de autenticação NTLM locais. Para obter mais informações sobre como resolver este problema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
957097  (http://support.microsoft.com/kb/957097/ ) MS08-068: Uma vulnerabilidade no SMB pode permitir execução remota de código
Consulte a secção "Problemas conhecidos com esta actualização de segurança" do artigo KB 957097 para obter detalhes sobre como resolver o problema.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
Palavras-chave: 
kbmt kbtshoot KB887993 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 887993  (http://support.microsoft.com/kb/887993/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft