Постоянные проблемы с проверкой подлинности в SQL Server

В этом разделе перечислены проблемы, связанные с параметрами конфигурации, которые используются приложениями для подключения к базе данных.

• Явный SPN отсутствует . Эта проблема возникает, если SPN не настроен или зарегистрирован неправильно.

  Решение: Чтобы устранить эту проблему, см. статью "Не удается создать контекст SSPI" при использовании аутентификации Windows для подключения к SQL Server.

• Явное неуместное SPN — обозначает SPN, которое было неправильно связано с определенной службой или учетной записью.

  Решение. Чтобы устранить эту проблему, см . раздел "Явно неуместное имя субъекта-службы".

• Явный идентификатор субъекта-службы дублируется. Эта проблема возникает, если имя субъекта-службы дублируется , так как оно зарегистрировано несколько раз.

  Решение: Чтобы устранить эту проблему, см. статью "Не удается создать контекст SSPI" при использовании проверки подлинности Windows для подключения к SQL Server.

• Неправильное имя сервера в строка подключения. Эта проблема возникает, если указанное имя сервера неверно или не удается найти.

  Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

• Неправильное имя базы данных в строка подключения. Эта проблема возникает, если имя базы данных, указанное для проверки подлинности, неверно.

  Решение. Проверьте правильность написания имени. Дополнительные сведения см. в MSSQLSERVER_4064.

• Неправильная учетная запись субъекта-службы. Эта проблема может возникнуть, если имя субъекта-службы связано с неправильной учетной записью в AD DS.

  Решение. Чтобы устранить эту проблему, см. статью Не удается создать контекст SSPI.

В этом разделе перечислены проблемы, относящиеся к различным аспектам SQL Server:

• База данных находится в автономном режиме . Ссылается на сценарий, в котором база данных SQL Server пытается повторно подключиться к экземпляру SQL Server, настроенному для режима проверки подлинности Windows.

  Решение. Дополнительные сведения см. в MSSQLSERVER_18456.

• Разрешения базы данных. Относится к включению или ограничению доступа к базе данных SQL Server.

  Решение. Дополнительные сведения см. в MSSQLSERVER_18456.

• Ошибки подключения к связанному серверу в SQL Server — возникает проблема с процессом проверки подлинности, влияющим на связанные серверы в контексте SQL Server.

  Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибками подключения к связанному серверу в SQL Server.

• Метаданные связанного сервера несогласованы . Ссылается на проблему, в которой метаданные связанного сервера несогласованы или не соответствуют ожидаемым метаданным.

  Представление или хранимая процедура запрашивает таблицы или представления на связанном сервере, но получает сбои входа, даже если распределенная SELECT инструкция, скопированная из процедуры, не выполняется.

  Эта проблема может возникнуть, если представление было создано, а затем связанный сервер был повторно создан, или удаленная таблица была изменена без перестроения представления.

  Решение. Обновите метаданные связанного сервера, выполнив хранимую sp_refreshview процедуру.

• У учетной записи прокси-сервера нет разрешений . Задание службы интеграции SQL Server (SSIS), выполняемое агентом SQL, может потребовать разрешений, отличных от тех, которые могут предоставлять учетная запись службы агента SQL.

  Решение. Чтобы устранить эту проблему, см. сведения о том, что пакет служб SSIS не запускается при вызове из шага задания агент SQL Server.

• Не удается войти в базу данных SQL Server. Невозможность входа в систему может привести к сбоям при проверке подлинности.

  Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

В этом разделе перечислены проблемы, связанные с службами каталогов и серверами.

• Учетная запись отключена . Этот сценарий может возникнуть, если учетная запись пользователя была отключена администратором или пользователем. В этом случае вы не можете войти с помощью этой учетной записи или использовать эту учетную запись для запуска службы. Это может привести к постоянным проблемам проверки подлинности, так как может препятствовать доступу к ресурсам или выполнению действий, требующих её.

  Решение. Администратор домена может исправить это, повторно включив учетную запись. Если учетная запись отключена, обычно это связано с тем, что пользователь пытался войти с неправильным паролем слишком много раз или потому, что приложение или служба пытается использовать старый пароль.

• Учетная запись не входит в группу . Эта проблема может возникнуть, если пользователь пытается получить доступ к ресурсу, который ограничен определенной группой.

  Решение. Проверьте имена входа SQL, чтобы перечислить разрешенные группы и убедиться, что пользователь принадлежит одной из групп.

• Сбой миграции учетных записей. Если старые учетные записи пользователей не могут подключиться к серверу, но только что созданные учетные записи могут, миграция учетных записей может быть неправильной. Эта проблема связана с AD DS.

  Решение. Дополнительные сведения см. в разделе "Передача имен входа и паролей" между экземплярами SQL Server.

• Контроллер домена находится в автономном режиме . Указывает на проблему, из-за которой контроллер домена недоступен.

  Решение. Используйте nltest команду, чтобы принудительно переключиться на другой контроллер домена. Дополнительные сведения см. в разделе Идентификатор события репликации Active Directory 2087: ошибка поиска DNS привела к сбою репликации.

• Брандмауэр блокирует контроллер домена. При управлении доступом пользователя к ресурсам могут возникнуть проблемы.

  Решение. Убедитесь, что контроллер домена доступен от клиента или сервера. Для этого используйте nltest /SC_QUERY:CONTOSO команду.

• Вход осуществляется из недоверенного домена . Эта проблема связана с уровнем доверия между доменами. Может появиться следующее сообщение об ошибке: "Ошибка входа. Имя входа осуществляется из недоверенного домена и не может использоваться с проверка подлинности Windows. (18452)."

  Ошибка 18452 указывает, что имя входа использует проверку подлинности Windows, но имя входа является нераспознанным субъектом Windows. Нераспознанная учетная запись Windows указывает, что имя входа не может быть проверено Windows. Это может произойти, так как вход в Windows осуществляется из неподтверждённого домена. Уровень доверия между доменами может вызвать сбои в проверке подлинности учетной записи или видимости имени поставщика услуг (SPN).

  Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18452.

• Нет разрешений для групп между доменами. Пользователи из удаленного домена должны принадлежать группе в домене SQL Server. При попытке использовать локальную группу домена для подключения к экземпляру SQL Server из другого домена может возникнуть проблема.

  Решение: Если домены не обладают должным доверием, добавление пользователей в группу в удаленном домене может помешать серверу перечислить участников этой группы.

• Выборочная проверка подлинности отключена . Ссылается на функцию доверия домена, которая позволяет администратору домена ограничить доступ пользователей к ресурсам в удаленном домене. Если выборочная проверка подлинности не включена, все пользователи в доверенном домене могут получить доступ к удаленному домену.

  Решение. Чтобы устранить эту проблему, включите выборочную проверку подлинности, чтобы убедиться, что пользователи не могут пройти проверку подлинности в удаленном домене.

В этом разделе перечислены проблемы, связанные с проверкой подлинности Kerberos:

• Неверный DNS-суффикс добавляется к имени NetBIOS. Эта проблема может возникнуть, если вы используете только имя NetBIOS (например, SQLPROD01) вместо полного доменного имени (FQDN) (например, SQLPROD01.CONTOSO.COM). В этом случае может быть добавлен неправильный суффикс DNS.

  Решение. Проверьте параметры сети для суффиксов по умолчанию, чтобы убедиться, что они правильны, или используйте полное доменное имя, чтобы избежать проблем.

• Слишком высокая задержка часов. Эта проблема может возникнуть, если несколько устройств в сети не синхронизированы. Чтобы проверка подлинности Kerberos работала, расхождение времени на часах между устройствами не должно превышать пяти минут, иначе могут возникнуть частые сбои проверки подлинности.

  Решение. Настройте компьютеры для регулярной синхронизации часов с централизованной службой времени.

• Делегирование конфиденциальных учетных записей другим службам . Некоторые учетные записи могут быть помечены как Sensitive в AD DS. Эти учетные записи нельзя делегировать другой службе в сценарии двойной передачи. Конфиденциальные учетные записи крайне важны для обеспечения безопасности, но могут повлиять на проверку подлинности.

  Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибкой входа пользователя NT AUTHORITY\ANONYMOUS LOGON.

• Делегирование в общую папку . Указывает на ситуацию, в которой пользователь или приложение делегирует свои учетные данные для доступа к общей папке. Без соответствующих ограничений делегирование учетных данных в общую папку может создать риски безопасности.

  Решение. Чтобы устранить эту проблему, убедитесь, что вы используете ограниченное делегирование.

• Раздельное пространство имен DNS — относится к постоянной проблеме проверки подлинности, которая может возникнуть, если DNS-суффикс не соответствует между членом домена и DNS. При использовании несвязанного пространства имен могут возникнуть проблемы с проверкой подлинности. Если иерархия организации в AD DS и DNS не совпадают, при использовании имени NETBIOS в строке подключения приложения базы данных может быть сгенерирован неправильный SPN. В этой ситуации SPN не найден, и вместо учетных данных Kerberos используются кредиты New Technology LAN Manager (NTLM).

  Решение: Чтобы устранить проблему, используйте полное доменное имя сервера или укажите имя SPN в строке подключения. Сведения о полном доменном имени см. в разделе "Именование компьютеров".

• Дублирующийся SPN — относится к ситуации, в которой два или более SPN идентичны в домене. Идентификаторы сервисов (SPN) используются для уникальной идентификации служб, работающих на серверах в домене Windows. Повторяющиеся SPN (имена субъектов-служб) могут вызвать проблемы с проверкой подлинности.

  Решение: Чтобы устранить эту проблему, смотрите Устранение ошибки с помощью Диспетчера конфигурации Kerberos (рекомендуется).

• Активируйте HTTP порты на SPN. Обычно HTTP SPN не используют номера портов (например, http/web01.contoso.com).

  Решение: Чтобы устранить эту проблему, вы можете включить решение с помощью политики на клиентах. Затем SPN должен быть в http/web01.contoso.com:88 формате, чтобы обеспечить работу Kerberos. В противном случае используются учетные данные NTLM.

  Учетные данные NTLM не рекомендуются, потому что они могут затруднить диагностику проблемы. Кроме того, эта ситуация может привести к чрезмерной административной нагрузке.

• Просроченные тикеты — относятся к тикетам Kerberos. Использование просроченных билетов Kerberos может вызвать проблемы с проверкой подлинности.

  Решение: Чтобы устранить эту проблему, см. Истёкшие билеты.

• Файл HOSTS некорректный - Файл HOSTS может нарушать процесс поиска DNS и порождать неожиданное имя службы (SPN). Эта ситуация приводит к использованию учетных данных NTLM. Если непредвиденный IP-адрес находится в файле HOSTS, имя субъекта-службы, созданное, может не совпадать с серверным сервером, на который указывает сервер.

  Решение. Просмотрите файл HOSTS и удалите записи для сервера. Записи файлов HOSTS отображаются в отчете SQLCHECK.

• Проблема с разрешениями идентификатора безопасности отдельной службы (SID) - Идентификатор безопасности отдельной службы (Per-service-SID) — это функция безопасности SQL Server, ограничивающая локальные подключения для использования NTLM вместо Kerberos в качестве метода проверки подлинности. Служба может сделать один прыжок на другой сервер с помощью учетных данных NTLM, но его нельзя делегировать дальше, не используя ограниченное делегирование. Дополнительные сведения см. в статье "Сбой входа для пользователя NT AUTHORITY\ANONYMOUS LOGON".

  Решение. Чтобы устранить эту проблему, администратор домена должен настроить ограниченное делегирование.

• Аутентификация в режиме ядра — SPN (Имя субъекта-службы) в учетной записи пула приложений обычно требуется для веб-серверов. Однако при использовании проверки подлинности в режиме ядра для проверки подлинности используется HOST SPN компьютера. Это действие происходит в ядре. Этот параметр может использоваться, если сервер размещает множество разных веб-сайтов, использующих один и тот же URL-адрес заголовка узла, разные учетные записи пула приложений и проверку подлинности Windows.

  Решение: Удалите HTTP-SPN (имена субъектов службы), если включена аутентификация в режиме ядра.

• Ограничить права делегирования Access или Excel — поставщики технологии совместного модуля (JET) и Access Connectivity Engine (ACE) похожи на любую из файловых систем. Для чтения файлов, расположенных на другом компьютере, необходимо использовать ограниченное делегирование. Как правило, поставщик ACE не должен использоваться на связанном сервере, так как это явно не поддерживается. Поставщик JET устарел и доступен только на 32-разрядных компьютерах.

  Примечание.

  Когда SQL Server 2014, последняя версия для поддержки 32-разрядных установок, выходит из поддержки, сценарий JET больше не будет поддерживаться.

• Отсутствует SPN. Эта проблема может возникнуть, если отсутствует SPN, связанный с экземпляром SQL Server.

  Решение. Дополнительные сведения см. в разделе "Исправление ошибки" с помощью Диспетчера конфигурации Kerberos (рекомендуется).

• Не является ограниченной целью - Если для определенной учетной записи службы включено ограниченное делегирование, то Kerberos завершится ошибкой, если SPN целевого сервера отсутствует в списке целей ограниченного делегирования.

  Решение. Чтобы устранить эту проблему, администратор домена должен добавить имя участника-службы целевого сервера в целевые имена субъектов-служб учетной записи службы среднего уровня.

• NTLM и ограниченное делегирование . Если целевой ресурс является общей папкой, то тип делегирования учетной записи службы среднего уровня должен быть ограничен и не ограничен kerberos. Если для типа делегирования задано Constrained-Kerberos, то учетная запись среднего уровня может выделяться только определенным службам, тогда как Constrained-Any позволяет учетной записи службы делегировать любые службы.

  Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибкой входа пользователя NT AUTHORITY\ANONYMOUS LOGON.

• Учетная запись службы не может быть доверенной для делегирования в AD - В сценарии двойного прыжка учетная запись службы среднего уровня должна быть доверенной для делегирования в AD DS. Если учетная запись службы не является доверенной для делегирования, проверка подлинности Kerberos может завершиться ошибкой.

  Решение. Если вы являетесь администратором, включите параметр "Доверенный" для делегирования .

• Некоторые устаревшие поставщики не поддерживают Kerberos через именованные каналы . Устаревший поставщик OLE DB (SQLOLEDB) и поставщик ODBC (SQL Server), которые входят в пакет с Windows, не предлагают поддержку проверки подлинности Kerberos через именованные каналы. Вместо этого они поддерживают только проверку подлинности NTLM.

  Решение. Используйте TCP-подключение, чтобы разрешить проверку подлинности Kerberos. Вы также можете использовать более новый драйвер, например MSOLEDBSQL или ODBC Driver 17. Но TCP по-прежнему предпочтительнее именованных каналов, независимо от версии драйвера.

• SPN связано с неправильной учетной записью - Эта проблема может возникнуть, если SPN связано с неправильной учетной записью в AD DS. Дополнительные сведения см. в разделе "Исправление ошибки" с помощью Диспетчера конфигурации Kerberos (рекомендуется).

  Если SPN настроен на неправильной учетной записи в AD DS, вы можете получить сообщение об ошибке.

  Решение. Чтобы устранить ошибку, выполните следующие действия.

  1. Используйте SETSPN -Q spnName для поиска SPN и его текущей учетной записи.
  2. Используйте SETSPN -D, чтобы удалить существующие имена субъектов-служб.
  3. Используйте SETSPN -S для переноса SPN на правильную учетную запись.

• Псевдоним SQL может не работать правильно. Псевдоним в SQL Server может привести к неожиданной генерации имени субъекта-службы (SPN). Это приводит к сбою учетных данных NTLM, если SPN не найден, или к сбою SSPI, если он непреднамеренно соответствует SPN другого сервера.

  Решение. Псевдонимы SQL отображаются в отчете SQLCHECK. Чтобы устранить проблему, определите и исправьте неправильные или неправильно настроенные псевдонимы SQL, чтобы они указывали на правильный SQL Server.

• Пользователь принадлежит ко многим группам. Если пользователь принадлежит нескольким группам , в Kerberos могут возникнуть проблемы с проверкой подлинности. Если вы используете Kerberos для UDP, весь маркер безопасности должен соответствовать одному пакету. Пользователи, принадлежащие многим группам, имеют более крупный маркер безопасности, чем пользователи, принадлежащие меньшему числу групп.

  Решение. Если вы используете Kerberos через TCP, можно увеличить параметр [MaxTokenSize] . Дополнительные сведения см. в статье MaxTokenSize и Kerberos Token Bloat.

• Используйте заголовок узла веб-сайта. Заголовок узла HTTP играет очень важную роль в протоколе HTTP для доступа к веб-страницам.

  Решение. Если у веб-сайта есть имя заголовка хоста, нельзя использовать SPN сервера HOSTS. Необходимо использовать явный SPN для HTTP. Если у веб-сайта нет имени заголовка хоста, используется NTLM. NTLM нельзя делегировать серверному экземпляру SQL Server или другой службе.

В этом разделе перечислены проблемы, относящиеся к NTLM (NT LAN Manager):

• Доступ к одноранговым входам NTLM запрещен - Ссылается на проблему, связанную с одноранговыми входами NTLM.

  Решение. При обмене данными между компьютерами, которые находятся на рабочих станциях или доменах, которые не доверяют друг другу, можно настроить одинаковые учетные записи на обоих компьютерах и использовать проверку подлинности однорангового узла NTLM.

  Имена входа работают только в том случае, если учетная запись пользователя и пароль совпадают на обоих компьютерах. Проверка подлинности NTLM может быть отключена или не поддерживается на стороне клиента или сервера. Эта ситуация может привести к сбоям проверки подлинности. Дополнительные сведения см. в MSSQLSERVER_18456.

• Сценарии двойного перехода на нескольких компьютерах — процесс двойного перехода не удастся, если используются учетные данные NTLM. Необходимы учетные данные Kerberos.

  Решение. Чтобы устранить эту проблему, ознакомьтесь с ошибкой входа пользователя NT AUTHORITY\ANONYMOUS LOGON.

• Защита от обратного цикла не задана правильно . Защита loopback предназначена для запрета приложений вызывать другие службы на том же компьютере. Если защита обратного цикла настроена неправильно или если возникла ошибка, эта ситуация может косвенно вызвать проблемы с проверкой подлинности.

  Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

• Сбой функции защиты от обратной петли при подключении к Always-on прослушивателю. Эта проблема связана с защитой от обратной петли. При подключении к прослушивателю Always-On из первичного узла подключение использует проверку подлинности NTLM.

  Решение. Дополнительные сведения см. в MSSQLSERVER_18456.

• Проблема, влияющая на уровень совместимости LANMAN. Проблема с проверкой подлинности LAN Manager (LANMAN) обычно возникает, если несоответствие существует в протоколах проверки подлинности, используемых старыми (до Windows Server 2008) и более новыми компьютерами. Если задать для уровня совместимости значение 5, NTLMv2 не разрешено.

  Решение. Переключение на Kerberos избегает этой проблемы, так как Kerberos является более безопасным. Дополнительные сведения см. в статье "Сбой входа для пользователя NT AUTHORITY\ANONYMOUS LOGON".

В этом разделе перечислены проблемы, связанные с учетными данными аутентификации.

• Недопустимый пароль . Относится к проблеме, связанной с именем входа.

  Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

• Недопустимое имя пользователя — относится к проблеме, связанной с именем входа.

  Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

• Учетные записи входа в SQL Server не активированы - Это относится к ситуации, когда вы пытаетесь подключиться к экземпляру Microsoft SQL Server, используя аутентификацию SQL Server, но учетная запись входа отключена.

  Решение. Чтобы устранить эту проблему, см . MSSQLSERVER_18456.

• Подключения именованных каналов не работают, так как у пользователя нет разрешения на вход в Windows. Указывает на проблему с разрешениями в Windows.

  Решение: Чтобы устранить эту проблему, см. статью "Проблемы с подключениями именованных каналов в SQL Server".

В этом разделе перечислены проблемы, относящиеся к разрешениям Или параметрам политики Windows:

• Доступ предоставляется через локальные группы . Если пользователь не принадлежит локальной группе, которая используется для предоставления доступа к серверу, поставщик отображает сообщение об ошибке "Ошибка входа для пользователя contoso/user1".

  Решение. Администратор базы данных может проверить эту ситуацию, проверив папку "Имена входа безопасности>" в SQL Server Management Studio (SSMS). Если база данных является автономной базой данных, проверьте его databasename. Дополнительные сведения см. в разделе «Ошибка входа для пользователя '<username>' или ошибка входа для пользователя '<domain>\<username>'».

• Credential guard включен - Этот сценарий указывает, что функция Credential Guard активирована в системе Windows и используется для создания безопасной среды для хранения конфиденциальной информации. Однако в некоторых ситуациях эта функция может вызвать проблемы с проверкой подлинности.

  Решение. Чтобы устранить эту проблему, попросите администратора домена настроить ограниченное делегирование. Дополнительные сведения см. в разделе "Рекомендации" и известные проблемы при использовании Credential Guard.

• Ошибки локальной подсистемы безопасности. При возникновении ошибок локальной подсистемы безопасности, особенно если они связаны с тем, что LSASS не отвечает, это может указывать на базовые проблемы, влияющие на проверку подлинности.

  Решение: Чтобы устранить эти ошибки, см. Ошибки локальной подсистемы безопасности в SQL Server.

• Запрещено вход в сеть. Этот сценарий возникает при попытке войти в сеть, но запрос на вход запрещен по определенным причинам.

  Решение: Чтобы устранить эту проблему, смотрите У пользователя нет разрешений на вход в сеть.

• Только администраторы могут войти в систему. Эта проблема возникает, если журнал безопасности на компьютере заполнен и не имеет достаточно места для заполнения событий. CrashOnAuditFail используется системными администраторами как функция безопасности для проверки всех событий безопасности. Допустимые значения: CrashOnAuditFail0, 1 и 2. Если для ключа CrashOnAuditFail задано значение 2, это означает, что журнал безопасности заполнен и отображается сообщение об ошибке "Только администраторы могут войти".

  Решение. Чтобы устранить эту проблему, выполните следующие действия.

  1. Запустите редактор реестра.
  2. Найдите и проверьте HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail подраздел, чтобы убедиться, что значение установлено в 2. Это значение указывает на то, что журнал безопасности требует ручной очистки.
  3. Задайте значение 0, а затем перезапустите сервер. Кроме того, вам может потребоваться изменить журнал безопасности, чтобы события могли циклически перезаписываться. Дополнительные сведения о том, как параметр влияет на все службы, такие как SQL, IIS, общий файловый ресурс и вход, см. в статье "Пользователи не могут получить доступ к веб-сайтам, когда журнал событий безопасности заполнен".

  Примечание.

  Эта проблема влияет только на интегрированные учетные записи. Подключение именованных каналов также будет затронуто в имени входа SQL Server, так как именованные каналы сначала входят в канал администрирования Windows перед подключением к SQL Server.

• Учетная запись службы не является доверенной для делегирования . Обычно эта проблема возникает, если учетной записи службы запрещено назначать учетные данные другим серверам. Эта проблема может повлиять на службы, требующие делегирования.

  Решение. Если сценарий делегирования не включен, проверьте sql Server secpol.msc, чтобы определить, указана ли учетная запись службы SQL Server в разделе "Назначение > прав пользователей локальных политик>" олицетворения клиента после параметров политики безопасности проверки подлинности. Дополнительные сведения см. в разделе Разрешение доверия к учетным записям компьютеров и пользователей при делегировании.

• Профиль пользователя Windows не может быть загружен в SQL Server . Ссылается на проблему с профилем пользователей Windows.

  Решение. Дополнительные сведения об устранении неполадок с поврежденными профилями пользователей см. в статье о том, что профиль пользователя Windows не может быть загружен в SQL Server.

В этом разделе перечислены проблемы, связанные с проверкой подлинности и контролем доступа в веб-среде:

• Встроенная проверка подлинности не включена . Ссылается на проблему конфигурации, в которой встроенная проверка подлинности Windows (IWA) не настроена правильно.

  Решение. Чтобы устранить эту проблему, убедитесь, что параметр встроенной проверки подлинности Windows включен в параметрах параметров браузера .

• Проверка подлинности IIS не разрешена . Эта проблема возникает из-за неправильной настройки в IIS. Параметры проверки подлинности, определенные в файле web.config веб-приложения, могут конфликтуть с параметрами, настроенными в IIS. Эта ситуация может вызвать проблемы с проверкой подлинности.

  Решение. Чтобы устранить эту проблему, настройте веб-сайт, чтобы включить проверку подлинности Windows и задать <identity impersonate="true"/> значение в файле web.config .

• Неправильная зона Интернета. Эта проблема может возникнуть, если вы пытаетесь получить доступ к веб-сайту, который не указан в правильной зоне Интернета в Internet Explorer. Учетные данные не будут работать, если веб-сайт находится в локальной зоне интрасети.

  Решение. Добавьте веб-сервер в локальную зону интрасети IE.