症状
当用户尝试浏览 SharePoint 站点时系统提示进行身份验证。Windows Server 2003 SP1 和 Windows Server 2008 包括一个环回检查安全功能,用于帮助防止计算机受到反射攻击。因此,如果所使用的 FQDN 或自定义的主机标头与本地计算机名称不匹配,则会出现身份验证失败。
替代方法
可使用两种方法解决此问题,请根据您的具体情况使用以下方法之一。
重要说明:此部分、方法或任务包含有关如何修改注册表的步骤。但是,注册表修改不当可能会出现严重问题。因此,请一定严格按照下列步骤操作。为了获得进一步保护,请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表
方法 1:指定主机名(NTLM 身份验证的首选方法)
要指定映射到环回地址并且可以连接到计算机上的网站的主机名,请按照以下步骤进行操作:
- 将 DisableStrictNameChecking 注册表项设置为 1。 有关具体操作方法的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
281308 无法使用别名连接到基于 Windows 2000 或 Windows Server 2003 的计算机上的 SMB 共享
- 依次单击“开始”、“运行”,键入 regedit,然后单击“确定”。
- 在注册表编辑器中,找到并单击下面的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
- 右键单击“MSV1_0”,指向“新建”,然后单击“多字符串值”。
- 键入 BackConnectionHostNames,然后按 Enter。
- 右键单击“BackConnectionHostNames”,然后单击“修改”。
- 在“数值数据”框中,为本地计算机上的网站键入一个或多个主机名,然后单击“确定”。
- 退出注册表编辑器,然后重新启动 IISAdmin 服务。
方法 2:环回检查(不是首选方法)
警告:此替代方法可能使计算机或网络更容易受到恶意用户或恶意软件(如病毒)的攻击。我们不建议使用此替代方法,只是提供此信息,以便于您能够自行判断是否使用此替代方法。使用此替代方法需要您自担风险。
第二种方法是通过设置 DisableLoopbackCheck 注册表项来禁用环回检查。
要设置 DisableLoopbackCheck 注册表项,请按照下列步骤操作:
- 将 DisableStrictNameChecking 注册表项设置为 1。 有关具体操作方法的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
281308 无法使用别名连接到基于 Windows 2000 或 Windows Server 2003 的计算机上的 SMB 共享
- 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
- 在注册表编辑器中,找到并单击下面的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
- 右键单击“Lsa”,指向“新建”,然后单击“DWORD 值”。
- 键入 DisableLoopbackCheck,然后按 ENTER。
- 右键单击 DisableLoopbackCheck,然后单击“修改”。
- 在“数值数据”框中,键入 1,然后单击“确定”。
- 退出注册表编辑器,然后重新启动您的计算机。