คุณได้รับข้อความแสดงข้อผิดพลาด "ข้อผิดพลาด HTTP 401.1 - ไม่ได้รับอนุญาต: การเข้าถึงถูกปฏิเสธเนื่องจากข้อมูลประจำตัวที่ไม่ถูกต้อง" เมื่อคุณพยายามเข้าถึงเว็บไซต์ที่เป็นส่วนหนึ่งของพูลโปรแกรมประยุกต์ IIS 6.0

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 871179 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

เมื่อคุณพยายามเข้าถึงเว็บไซต์ Microsoft Internet Information Services (IIS) 6.0 ที่ถูกกำหนดค่าให้ใช้การพิสูจน์ตัวจริงแบบรวมของ Windows เท่านั้น คุณได้รับพร้อมท์สำหรับข้อมูลประจำตัวของผู้ใช้ เมื่อคุณพยายามเข้าสู่ระบบ คุณได้รับพร้อมท์การเข้าสู่ระบบอีกครั้ง หลังจากที่คุณพยายามเข้าสู่ระบบสามครั้ง คุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ข้อผิดพลาด HTTP 401.1 - ไม่ได้รับอนุญาต: การเข้าถึงถูกปฏิเสธเนื่องจากข้อมูลประจำตัวที่ไม่ถูกต้อง

สาเหตุ

ลักษณะการทำงานนี้อาจเกิดขึ้นหากมีเงื่อนไขต่อไปนี้:
  • IIS 6.0 เว็บไซต์เป็นส่วนหนึ่งของพูลโปรแกรมประยุกต์ IIS
  • พูลโปรแกรมประยุกต์กำลังทำงานอยู่ภาย ใต้การบัญชีภายใน หรือภาย ใต้บัญชีผู้ใช้โดเมน
  • เว็บไซต์ถูกกำหนดค่าเพื่อใช้การพิสูจน์ตัวจริงแบบรวมของ Windows เท่านั้น
ในสถานการณ์สมมตินี้ เมื่อพิสูจน์ตัวจริงแบบรวมของ Windows พยายามที่จะใช้ Kerberos การรับรองความถูกต้อง Kerberos อาจไม่ทำงาน เมื่อต้องการใช้การรับรองความถูกต้อง Kerberos บริการต้องลงทะเบียนของชื่อบริการหลัก (SPN) ภายใต้บัญชีอยู่ในบริการไดเรกทอรี Active Directory ที่ทำงานภายใต้การบริการ โดยค่าเริ่มต้น Active Directory ลงทะเบียนชื่อคอมพิวเตอร์เครือข่ายพื้นฐานของระบบ (NetBIOS) ไดเรกทอรีที่ใช้งานอยู่และยังอนุญาตให้บริการเครือข่ายหรือบัญชี Local System การใช้ Kerberos

การแก้ไข

หากลักษณะการทำงานนี้เกิดขึ้นเมื่อทำงานภายใต้บัญชีภายในคอมพิวเตอร์เป็นพูลโปรแกรมประยุกต์ ให้ทำตามขั้นตอนในส่วน "การแก้ปัญหา"

เมื่อต้องการแก้ไขปัญหานี้เมื่อคุณเรียกใช้พูลโปรแกรมประยุกต์ภายใต้บัญชีผู้ใช้โดเมน ตั้งค่าการ SPN HTTP กับชื่อ NetBIOS และชื่อโดเมน(แบบเต็ม FQDN) ของโดเมน\ผู้ใช้พูลโปรแกรมประยุกต์กำลังทำงานอยู่ภายใต้ เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้บนตัวควบคุมโดเมน:

สิ่งสำคัญ มี SPN สำหรับการบริสามารถเชื่อมโยงกับลูกค้าองค์กรหนึ่งเท่านั้น ดังนั้น ถ้าคุณใช้ความละเอียดที่แนะนำนี้ กลุ่มแอพลิเคชันอื่น ๆ ที่กำลังทำงานภายใต้บัญชีผู้ใช้โดเมนที่แตกต่างกันไม่สามารถใช้กับการพิสูจน์ตัวจริงแบบรวมของ Windows เท่านั้น
  1. ติดตั้งเครื่องมือ Setspn.exe เมื่อต้องการขอรับเครื่องมือ Setspn.exe สำหรับ Microsoft Windows Server 2003 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    970536 ปรับปรุงเครื่องมือสนับสนุน Setspn.exe สำหรับ Windows Server 2003
  2. พรอมต์คำสั่งเริ่มต้น และจากนั้น เปลี่ยนเป็นไดเรกทอรีที่คุณติดตั้ง Setspn.exe
  3. พิมพ์คำสั่งต่อไปนี้ที่พรอมต์คำสั่ง กด ENTER หลังจากแต่ละคำสั่ง:
    http -S setspn.exe /IIS_computer's_NetBIOS_name DomainName\ชื่อผู้ใช้

    http -S setspn.exe /IIS_computer's_FQDN DomainName\ชื่อผู้ใช้
    หมายเหตุชื่อผู้ใช้ มีบัญชีผู้ใช้ที่เรียกใช้พูลโปรแกรมประยุกต์ภายใต้ นอกจากนี้โปรดสังเกตว่าถ้าคุณกำลังเรียกใช้คำสั่ง setspn.exe บนเครื่อง Windows 2000 ใช้สวิตช์แทนสวิตช์ -S
หลังจากคุณตั้งการ SPN สำหรับบริการ HTTP สำหรับบัญชีผู้ใช้โดเมนที่เรียกใช้พูลโปรแกรมประยุกต์ภายใต้ คุณสามารถเรียบร้อยแล้วเชื่อมต่อกับเว็บไซต์โดยไม่มีการพร้อมท์สำหรับข้อมูลประจำตัวของผู้ใช้

การหลีกเลี่ยงปัญหา

เมื่อต้องการแก้ไขปัญหานี้หากคุณมีพูลโปรแกรมประยุกต์หลายที่รันภายใต้บัญชีผู้ใช้โดเมนที่แตกต่างกัน คุณต้องบังคับให้ IIS จะใช้ NTLM เป็นกลไกการรับรองความถูกต้องของคุณถ้าคุณต้องการใช้การพิสูจน์ตัวจริงแบบรวมของ Windows เท่านั้น เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้บนเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS:
  1. เริ่มการทำงานของพร้อมท์คำสั่ง
  2. ค้นหา และเปลี่ยนไดเรกทอรีที่ประกอบด้วยแฟ้ม Adsutil.vbs โดยค่าเริ่มต้น ไดเรกทอรีนี้คือ C:\Inetpub\Adminscripts
  3. พิมพ์คำสั่งต่อไปนี้ และกด ENTER:
    adsutil.vbs cscript จะตั้ง w3svc/NTAuthenticationProviders "NTLM"
  4. เมื่อต้องการตรวจสอบว่า การ NtAuthenticationProviders ตั้งค่าคุณสมบัติ metabase เป็น NTLM พิมพ์คำสั่งต่อไปนี้ จากนั้น กด ENTER:
    cscript จะ adsutil.vbs รับ w3svc/NTAuthenticationProviders
    ควรจะส่งคืนข้อความต่อไปนี้:
    NTAuthenticationProviders       : (STRING) "NTLM"

สถานะ

ลักษณะการทำงานนี้เกิดจากการออกแบบ

ข้อมูลเพิ่มเติม

ถ้าคุณตั้งค่าการ SPN โดยใช้ FQDN ของเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS เท่านั้น คุณจะได้รับพร้อมท์สำหรับข้อมูลประจำตัวของผู้ใช้หลังจาก 30 นาที การหมดเวลา 30 นาทีเกิดขึ้นเนื่องจากวิธีการที่ Internet Explorer เก็บข้อมูลของ Domain Name System (DNS) หลังจาก 30 นาที Internet Explorer เปลี่ยนเป็นชื่อ NetBIOS ดังนั้น คุณต้องแน่ใจว่า คุณจะลงทะเบียน SPN ที่ โดยใช้ชื่อ NetBIOS ของเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS เพื่อหลีกเลี่ยงการถูกพร้อมท์ให้ใส่ข้อมูลประจำตัวของผู้ใช้สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
263558 วิธีการที่ Internet Explorer ใช้แคสำหรับรายการโฮสต์ใน DNS
เมื่อต้องการตรวจสอบ SPNs ลงทะเบียนไว้กับบัญชีผู้ใช้พูลโปรแกรมประยุกต์ของคุณกำลังทำงานอยู่ภายใต้ พรอมต์คำสั่งเริ่มต้น พิมพ์คำสั่งต่อไปนี้จากไดเรกทอรีที่ติดตั้ง Setspn.exe จากนั้น กด ENTER:
setspn.exe -l ชื่อผู้ใช้
รายการของ SPNs ลงทะเบียนสำหรับบัญชีผู้ใช้ไม่ได้

บริการข้อมูลทางอินเทอร์เน็ต (IIS) 7.0

หัวข้อกล่าวถึงในบทความนี้ยังสามารถใช้กับ IIS 7.0 หากมีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • ปิดใช้งานการรับรองความถูกต้องของโหมดเคอร์เนล
  • เปิดใช้งานการรับรองความถูกต้องโหมดเคอร์เนล และ useAppPoolCredentials แอตทริบิวต์ถูกตั้งค่าเป็น TRUE

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้การรับรองความถูกต้องของ Windows แบบรวมกับพูลโปรแกรมประยุกต์ IIS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
การพิสูจน์ตัวจริงของ Windows แบบรวม (IIS 6.0)
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความล้มเหลวในการรับรองความถูกต้องหรือความล้มเหลวในการควบคุมการเข้าถึงใน IIS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
ควบคุมการเข้าถึงและการรับรองความถูกต้องการวินิจฉัยรุ่น 1.0 (IIS 6.0)
หมายเหตุ เครื่องมือ AuthDiag ถูกออกแบบมาเพื่อช่วยให้คุณเมื่อคุณเห็นข้อความแสดงข้อผิดพลาดต่อไปนี้:
  • เข้าสู่ระบบ 401.1 ล้มเหลว
  • 401.3 ACL
เครื่องมือ AuthDiag ยังสามารถช่วยคุณเมื่อคุณประสบปัญหาเกี่ยวกับ Kerberos

คุณสมบัติ

หมายเลขบทความ (Article ID): 871179 - รีวิวครั้งสุดท้าย: 3 มกราคม 2558 - Revision: 7.0
ใช้กับ
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Keywords: 
kbtshoot kbprb kbmt KB871179 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:871179

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com