Windows Server 2003 SP1 和 Windows Server 2008 包括一个环回检查安全功能

elixiat

　　症状  
　　当用户尝试浏览 SharePoint 站点时系统提示进行身份验证。Windows Server 2003 SP1 和 Windows Server 2008 包括一个环回检查安全功能，用于帮助防止计算机受到反射攻击。因此，如果所使用的 FQDN 或自定义的主机标头与本地计算机名称不匹配，则会出现身份验证失败。  
　　  
　　  
　　替代方法
可使用两种方法解决此问题，请根据您的具体情况使用以下方法之一。
重要说明：此部分、方法或任务包含有关如何修改注册表的步骤。但是，注册表修改不当可能会出现严重问题。因此，请一定严格按照下列步骤操作。为了获得进一步保护，请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：  
　　322756 如何在 Windows 中备份和还原注册表  
　　方法 1：指定主机名（NTLM 身份验证的首选方法）
要指定映射到环回地址并且可以连接到计算机上的网站的主机名，请按照以下步骤进行操作：  

• 将 DisableStrictNameChecking 注册表项设置为 1。 有关具体操作方法的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：  　　281308 无法使用别名连接到基于 Windows 2000 或 Windows Server 2003 的计算机上的 SMB 共享
  
• 依次单击“开始”、“运行”，键入 regedit，然后单击“确定”。
  
• 在注册表编辑器中，找到并单击下面的注册表项：  
  　　
  　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0  
  　　
  　　
  　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0  　　
  
• 右键单击“MSV1_0”，指向“新建”，然后单击“多字符串值”。
  
• 键入 BackConnectionHostNames，然后按 Enter。
  
• 右键单击“BackConnectionHostNames”，然后单击“修改”。
  
• 在“数值数据”框中，为本地计算机上的网站键入一个或多个主机名，然后单击“确定”。
  
• 退出注册表编辑器，然后重新启动 IISAdmin 服务。
  

方法 2：环回检查（不是首选方法）
警告：此替代方法可能使计算机或网络更容易受到恶意用户或恶意软件（如病毒）的攻击。我们不建议使用此替代方法，只是提供此信息，以便于您能够自行判断是否使用此替代方法。使用此替代方法需要您自担风险。
第二种方法是通过设置 DisableLoopbackCheck 注册表项来禁用环回检查。
要设置 DisableLoopbackCheck 注册表项，请按照下列步骤操作：  

• 将 DisableStrictNameChecking 注册表项设置为 1。 有关具体操作方法的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：  　　281308 无法使用别名连接到基于 Windows 2000 或 Windows Server 2003 的计算机上的 SMB 共享
  
• 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
  
• 在注册表编辑器中，找到并单击下面的注册表项：  
  　　
  　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa  
  　　
  　　
  　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa  　　
  
• 右键单击“Lsa”，指向“新建”，然后单击“DWORD 值”。
  
• 键入 DisableLoopbackCheck，然后按 ENTER。
  
• 右键单击 DisableLoopbackCheck，然后单击“修改”。
  
• 在“数值数据”框中，键入 1，然后单击“确定”。
  
• 退出注册表编辑器，然后重新启动您的计算机。