почему проверка подлинности / олицетворение Windows терпит неудачу на приложении asp.net с iis 7.5 / windows 7 /

Question

Я устраняю неполадки, почему не могу пройти диалог входа в систему на сайте ASP.Net, настроенном для проверки подлинности и олицетворения Windows.

У меня есть приложение ASP.Net 2.0, и я пытаюсь развернуть его на Windows 7 с IIS 7.5.Я создал новый сайт и привязал его к localhost и полному доменному имени.полное доменное имя находится в моем файле hosts и перенаправлено на 127.0.0.1

Сайт также работает с созданным мною AppDomain, с интегрированным режимом конвейера, и для идентификатора модели процесса установлено значение ApplicationPoolIdentity.

Web.config включает в себя следующее:

<trust level="High" />
<authentication mode="Windows" />
<authorization>
  <deny users="?"/>
</authorization>
<identity impersonate="true"/>`

ACL для каталога для сайта установлен на Все (Полный доступ - для тестирования).Виртуальная учетная запись пула приложений (Windows 7) также настроена на полный контроль над физическим каталогом для сайта.

В IIS-аутентификации включены олицетворение ASP.Net и Аутентификация Windows.Я подключаюсь к сайту как localhost, он позволяет мне пройти мимо приглашения на вход, и приложение загружается без инцидентов.

Когда я подключаюсь к сайту в качестве полного доменного имени, заданного в привязках заголовков узлов для этого сайта / ip/ порт, я не могу пройти мимо приглашения на вход.При нажатии кнопки «Отмена» создается страница с ошибкой http 401.1.

Почему?

Answer 1

URL, предоставленный Velvet, не работает.Я нашел кэшированную версию на archive.org:

"401.1 Ошибка при доступе к SharePoint с сервера

В прошлом я сталкивался с этой проблемой несколько раз при настройке сред SharePoint (как для внутренней разработкии клиентов), поэтому я подумал, что пришло время написать сообщение об этом в блоге. Если вы используете SharePoint Server 2007 или WSS 3.0 на Windows Server 2003 с пакетом обновления 1 (SP1) или более поздней версии, у вас возникнут проблемы с аутентификацией, если вы пытаетесь получить доступ к сайту SharePointиспользование заголовков хоста от самого сервера (т. е. файл хоста имеет portal.mydomain.com, указывающий на 127.0.0.1). Эта проблема проявляется в результате проверки безопасности с обратной связью, которую Microsoft встроила в Windows Server 2003 SP1 и более поздние версии.Целью петлевой проверки является устранение атак типа «отказ в обслуживании», однако она вызывает проблемы с доступом к сайтам SharePoint локально с сервера. В типичной производственной среде это обычно не проблема, так как вы редко получаете доступ к сайтам SharePoint (кроме Centraл администратор) с самого интерфейсного веб-сервера.Однако у меня есть физические и виртуальные среды разработки, в которых все действия выполняются с сервера, так что это может вызвать некоторые изжоги, если вы не решали эту проблему ранее.Подробную статью базы знаний можно прочитать по адресу KB926642 & KB896861 .Вот краткое изложение того, как решить проблему.Обычно я отключаю проверку обратной связи, однако это не рекомендуется для сред производственного сервера.

Метод 1. Отключите проверку обратной связи проверки подлинности. Снова включите поведение, существующее в Windows Server 2003, установив запись реестра DisableLoopbackCheck в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Подраздел реестра: 1. Чтобы установить для записи реестра DisableLoopbackCheck значение 1, выполните следующие действия на клиентском компьютере:

1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите regedit и нажмите кнопку ОК.
2. Найдите и щелкните следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Щелкните правой кнопкой мыши Lsa, выберите пункт Новый, а затем нажмите кнопку Значение типа DWORD.
4. Введите DisableLoopbackCheck и нажмите клавишу ВВОД.
5. Щелкните правой кнопкой мыши DisableLoopbackCheck и выберите команду Изменить.
6. В поле Значение введите 1 и нажмите кнопку ОК.
7. Выход из редактора реестра.
8. Перезагрузите компьютер.Примечание. Чтобы изменения вступили в силу, необходимо перезапустить сервер.По умолчанию в Windows Server 2003 с пакетом обновления 1 (SP1) включена функция проверки по шлейфу, а для записи реестра DisableLoopbackCheck установлено значение 0 (ноль).Безопасность снижается, когда вы отключаете проверку петли проверки подлинности и открываете сервер Windows Server 2003 для атак «человек посередине» (MITM) на NTLM.

Метод 2: Создание локальногоИмена хостов Security Authority, на которые можно ссылаться в запросе проверки подлинности NTLM. Для этого выполните следующие действия для всех узлов на клиентском компьютере:

1. Нажмите Пуск, нажмите Выполнить, введите regedit, а затем нажмитеХОРОШО.
2. Найдите и затем щелкните следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3. Щелкните правой кнопкой мыши MSV1_0, выберите пункт Новый, а затем выберите Значение из нескольких строк.
4. В столбце Имя введите BackConnectionHostNames и нажмите клавишу ВВОД.
5. Щелкните правой кнопкой мыши BackConnectionHostNames и выберите команду Изменить.
6. В поле «Значение» введите CNAME или псевдоним DNS, который используется для локальных общих папок на компьютере, и нажмите кнопку ОК.

Примечание. Введите имя каждого хоста.в отдельной строке.

Примечание. Если запись реестра BackConnectionHostNames существует как тип REG_DWORD, необходимо удалить запись реестра BackConnectionHostNames.7. Выйдите из редактора реестра и перезагрузите компьютер.
"

От: http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx 05 июня 2009 г.

Answer 2

и ответом для этого будет функция безопасности, известная как проверка петли проверки подлинности, введенная еще в Windows 2003 SP1, согласно: http://support.microsoft.com/kb/926642

Я пытался подключиться к своему экземпляру заголовков узлов iis, используя заголовок узла, определенный в моем файле / etc / hosts как указывающий на 127.0.0.1, при входе в систему на компьютере, на котором запущен iis - это сценарий обратной связи.

он кусает вас в различных контекстах, таких как этот (http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx) или этот мир боли в Google (http://www.google.ca/search?q=authentication+loopback+check&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a)

ИСПРАВЛЕНИЕ включает в себя несколько простых операций regedit: http://blogs.bluethreadinc.com/thellebuyck/archive/2008/10/30/401.1-error-when-accessing-sharepoint-from-server.aspx

Мне также не нужно было включать олицетворение для моей ситуации, и поэтому я отключил это, и теперь я могу подключиться, используя свой поддельный fqdn как локально, так и удаленно