Behandlung von Berechtigungen in Internet Information Server 4.0

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 185874 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Es wird empfohlen, dass alle Benutzer zu Microsoft Internetinformationsdienste (IIS) 7.0 aktualisieren auf Microsoft Windows Server 2008 ausgeführt. IIS 7.0 erhöht deutlich Infrastruktur Websicherheit. Weitere Informationen zu sicherheitsrelevanten Themen im IIS der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Weitere Informationen zu IIS 7.0 die folgende Microsoft-Website:
http://www.iis.net/default.aspx?tabid=1
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt einige der best Practices für die Problembehandlung im Bereich der Zugriff auf Ressourcen einer komplexen Aufgabe werden kann, wenn Sie versuchen, sicheren Webservern.

Website-Administratoren häufig Blind arbeiten, wenn Sie versuchen, Zugriffsprobleme zu beheben. Überwachen, wie der Server verwendet wird ist ein guter starten.

Überwachen der Server verwenden

Um Server zu überwachen, kann Administrator Überwachung und Protokollierung einrichten:

Überwachen von Benutzeranmeldungen

  1. Klicken Sie auf Start , zeigen Sie auf Programme und klicken Sie dann auf Verwaltung (Allgemein) zum Öffnen des Benutzer-Managers für Domänen.
  2. Wählen Sie die entsprechende Domäne aus, für die IIS-Server. Klicken Sie dazu im Menü Benutzer auf Domäne .
  3. Klicken Sie im Menü Richtlinien auf Überwachen .
  4. Klicken Sie auf Diese Ereignisse überwachen .
  5. Klicken Sie für Anmelde- und Abmeldeskripts hier, um Erfolg und das Kontrollkästchen Fehler auswählen.
  6. Klicken Sie auf OK .

Aktivieren der Überwachung für Objekte

  1. Klicken Sie auf Start , zeigen Sie auf Programme und klicken Sie dann auf Verwaltung (Allgemein) zum Öffnen des Benutzer-Managers für Domänen.
  2. Wählen Sie im Richtlinien die Option Überwachen .
  3. Klicken Sie auf Diese Ereignisse überwachen .
  4. Klicken Sie auf Fehler die Kontrollkästchen und Erfolg , für Datei- und Objektzugriff .
  5. Klicken Sie auf OK .

Wählen Sie Objekte überwachen

  1. Klicken Sie auf Start , zeigen Sie auf Programme und klicken Sie auf Windows NT Explorer , Windows NT Explorer zu starten.
  2. Wählen Sie die Datei oder Ordner, den Sie überwachen möchten.
  3. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner und klicken Sie dann auf Eigenschaften .
  4. Klicken Sie auf die Registerkarte Sicherheit .
  5. Klicken Sie auf Überwachung .
  6. Klicken Sie auf Hinzufügen .
  7. Wählen Sie die entsprechende Domäne für die IIS-Server im Dropdown-Menü.
  8. Wählen Sie jeder , klicken Sie auf Hinzufügen, und klicken Sie dann auf OK .
  9. Aktivieren Sie erfolgreich und das Kontrollkästchen Fehler für alle der folgenden:
    • Lesen
    • Schreiben
    • Ausführen
  10. Klicken Sie auf OK .

Aktivieren Sie W3C-erweiterte Protokollierung

  1. Starten Sie den Internetdienst-Manager (ISM). Dazu klicken Sie auf Start , zeigen Sie auf Programme , klicken Sie auf Windows NT 4.0 Option Pack , klicken Sie auf Microsoft Internet Information Server und klicken Sie dann auf Internet-Manager .
  2. Wählen Sie unter Internet Information Server, der IIS-Server.
  3. Klicken Sie mit der rechten Maustaste auf die Website, und klicken Sie dann auf Eigenschaften .
  4. Klicken Sie auf der Registerkarte Website auf das Kontrollkästchen Protokollierung aktivieren . Protokollierung ist standardmäßig aktiviert.
  5. Klicken Sie auf Eigenschaften .
  6. Klicken Sie auf die Registerkarte Erweiterte Eigenschaften .
  7. Klicken Sie mindestens die folgenden Kontrollkästchen auf:
    • Datum
    • Zeit
    • Client-IP-Adresse
    • Benutzername
    • Methode
    • HTTP-Status
    • Win32-Status
  8. Klicken Sie auf OK , um die Protokollierungseigenschaften zu beenden.
  9. Klicken Sie auf OK , um die Eigenschaften einer Website zu beenden.
Grundlegende Überwachung und Protokollierung ist jetzt vorhanden.

Beenden und starten Sie den Web-Dienst neu

Nachdem Sie grundlegende Überwachung und Protokollierung aktiviert haben, müssen Sie beenden und starten Sie den Webdienst, um alle zwischengespeicherten Anmeldeinformationen löschen neu. Zu diesem Zweck führen Sie die folgenden: aus
  • Beenden und starten Sie den Web-Dienst von einer Eingabeaufforderung neu:
    1. Geben Sie an einer Eingabeaufforderung cmd.exe Folgendes ein:
      NET STOP IISADMIN/y
      Hinweis : Sie verwenden/y , alle anderen abhängigen Dienste werden beendet und Sie werden nicht für jeden Dienst aufgefordert. Wenn Sie aufgefordert, jede abhängigen Dienst beenden möchten, verwenden Sie die Option/y nicht.

    2. Starten Sie jeder abhängigen Dienst, die Sie im vorherigen Schritt eingeben:
      NET START W3SVC (um den WWW-Publishingdienst starten).
      NET START MSFTPSVC (um der FTP-Publishingdienst starten).
      NET START SMTPSVC (um den Microsoft SMTP-Dienst zu starten).
      NET START NNTPSVC (um der Microsoft NNTP-Dienst zu starten).
    -oder-

  • Beenden und starten Sie den Web-Dienst in der Systemsteuerung neu:
    1. Klicken Sie auf Start , zeigen Sie auf Programme , klicken Sie auf Systemsteuerung und doppelklicken Sie dann auf Dienste .
    2. Wählen Sie die IIS-Verwaltungsdienst , und klicken Sie dann auf Beenden .
    3. Klicken Sie auf OK , um alle abhängigen Dienste beenden.
    4. Manuell starten Sie jeder abhängigen Dienst, den gerade beendet.

Löschen des Sicherheitsprotokolls

  1. Öffnen Sie die Ereignisanzeige. Dazu klicken Sie auf Start , zeigen Sie auf Programme , klicken Sie auf Verwaltung (Allgemein) und klicken Sie dann auf Ereignisanzeige .
  2. Klicken Sie im Protokoll auf Sicherheit , um das Sicherheitsprotokoll auszuwählen.
  3. Wählen Sie im Protokoll die Option Alle Ereignisse löschen . Hinweis : Microsoft empfiehlt, dass das vorhandene Sicherheitsprotokoll zu speichern. Dazu klicken Sie auf Ja , und geben Sie einen Ordner oder Datei zu speichern.

  4. Klicken Sie auf Ja , um das Sicherheitsprotokoll löschen.

Problembehandlung bei der server

Nachdem Sie den Server untersucht haben, versuchen Sie, die Ressource in einem Browser zugreifen. Wenn Sie das Sicherheitsprotokoll in der Ereignisanzeige aktualisieren, wird eine Reihe von überwachten Ereignissen aufgeführt. Untersuchen Sie die Sicherheitsprotokolleinträge, und Fragen Sie diese:
  1. Möchten Sie alle Fehler Zugriff verweigert im Überwachungsprotokoll vorhanden? (Sie sehen möglicherweise einige Fehlermeldungen, die auf Objekte zugreifen und geschützten Speicher beziehen; Sie können diese Meldungen bedenkenlos ignorieren.)
  2. Welches Konto wird werden angemeldet? Ist es, was Sie erwartet?
  3. Haben dieses Konto Zugriff auf die Datei betreffenden? Sie können dies überprüfen, durch die Datei zugreifen-Einträge in das Überwachungsprotokoll betrachten.
  4. Was ist das W3C-Protokoll? Gibt es HTTP 401 oder HTTP 403-Fehler? Warum Sie vorhanden sind?
Verwenden Sie das Tool File Monitor (FileMon.exe) und der Registry Monitor (Regmon.exe) Tool zum Anzeigen von Systemaktivitäten in Echtzeit. Datei Monitor können Sie zum Anzeigen und Dateisystemaktivitäten in Echtzeit zu erfassen. Registrierung Monitor können Sie zum Anzeigen und Registrierung in Echtzeit Systemaktivität erfassen.

Weitere Informationen zum Verwenden von File Monitor die folgenden-Website:
http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
Weitere Informationen zum Verwenden von Registry Monitor die folgenden-Website:
http://technet.microsoft.com/en-us/sysinternals/bb896652.aspx

Tipps

Im folgenden sind einige Regeln und Tipps zur Berechtigungen und IIS 4.0:
  • Wenn die anonyme Authentifizierung aktiviert ist, ist es immer anstelle von Standardauthentifizierung oder Windows NT Herausforderung/Rückmeldung-Authentifizierung verwendet werden.
  • Zugreifen auf Daten in einer ASP-Datei ist das Konto, das Zugriff auf die ADO und ODBC-Verzeichnisse Anmelden ist erforderlich.
  • Wenn Sie eine Seite Count Komponente verwenden, muss das Konto, das angemeldet ist Schreibzugriff haben und löschen möglicherweise Zugriff auf die Datei oder einen Registrierungseintrag mit dem die Anzahl beibehalten.
  • Jedes Konto, das für anonyme oder die Standardauthentifizierung verwendet wird muss das Recht Lokale Anmeldung verfügen. Um dies zu konfigurieren, öffnen Sie Benutzer-Manager für Domänen, und Benutzerrechte klicken Sie dann im Menü Richtlinien auf.
  • Sie können den Typ Rechte auf Stapel oder Netzwerk ändern. Weitere Informationen dazu finden Sie im "LogonMethod" Thema in der IIS-Dokumentation.
  • Möglicherweise nicht auf einen Remotecomputer von einem IIS zugreifen Computer. Dies geschieht, wenn Windows NT nicht möglich die Sicherheitsinformationen für Benutzer an dem anderen Computer weiterzuleiten. Um dies zu überprüfen, führen Sie die Überwachung Schritte, die in diesem Artikel auf dem remote Computer und auf dem IIS-Computer aufgeführt.
  • Können Sie konfigurieren Internet Explorer 4.0 und höher, nur bestimmte Authentifizierungsprotokolle unterstützt. So legen Sie diese Protokolle fest
    1. Klicken Sie in der Systemsteuerung auf Internetoptionen .
    2. Klicken Sie auf Sicherheit , klicken Sie entweder benutzerdefinierte oder Stufe , klicken Sie auf Einstellungen , und dann klicken Sie auf Authentifizierung oder einen Bildlauf zu Der Benutzerauthentifizierung .
    3. Wählen Sie die Authentifizierung, die Sie möchten, und klicken Sie auf OK . Hinweis : Wenn Sie Anonyme Anmeldung auswählen, der Browser unterstützt keine Authentifizierungsschemas außer anonym.


  • Überprüfen Sie die IP- und Domänenbeschränkungen für die-Website:
    1. Klicken Sie im Internetdienste-Manager mit der rechten Maustaste auf die Website und klicken Sie dann auf Eigenschaften .
    2. Suchen Sie auf der Registerkarte Verzeichnissicherheit den IP-Einschränkungen und Domänennamen -Abschnitt, und klicken Sie dann auf Bearbeiten .
    3. Überprüfen Sie, fügen Sie hinzu oder ändern Sie Beschränkung Einstellungen nach Bedarf.
  • Wenn Sie anonyme Authentifizierung verwenden, überprüfen, ob das anonyme Konto gültig ist (d. h., überprüfen die Zeiten Kennwort und die Anmeldung), und stellen Sie sicher, dass das anonyme Konto aktiviert ist. Wenn Sie nicht sicher sind, welche anonymes Konto für die Website verwendet wird, gehen Sie folgendermaßen vor:
    1. Klicken Sie im Internetdienste-Manager mit der rechten Maustaste auf die Website und klicken Sie dann auf Eigenschaften .
    2. Suchen Sie auf der Registerkarte Verzeichnissicherheit im Abschnitt des anonymen Zugriffs und Authentifizierung , und klicken Sie dann auf Bearbeiten .
    3. Suchen Sie im Abschnitt Anonymer Zugriff , und klicken Sie dann auf Bearbeiten , um das Windows NT-Konto anzuzeigen, das für die anonyme Authentifizierung verwendet wird, klicken Sie im Dialogfeld Authentifizierungsmethoden .
    4. Stellen Sie im Benutzer-Manager für Domänen sicher, dass das Konto aktiviert ist, dass die richtigen Anmelderechte sind und die richtigen Stunden hat.
  • Wenn Sie # include -Anweisungen verwenden, können Fehler auftreten, da der Zugriff auf die enthaltenen Datei nicht die primäre Datei verweigert wird. Beispielsweise kann Wenn default.ASP eine # include -Anweisung für Tools.asp hat, aber die Datei Tools.asp eine restriktive Access Control List (ACL hat), ein Fehler auf default.asp, gemeldet werden zwar das angemeldete Konto Zugriff auf die Datei default.ASP. Um dies zu überprüfen, können Sie vorübergehend # include -Anweisungen auskommentieren bis Sie erfolgreich auf die Situation aufgelöst haben.

Problembehandlung bei Ressourcen

Um komplexe Probleme zu beheben, können Sie die folgenden Ressourcen verwenden:

Zu verwendenden Tools

Die Website http://technet.microsoft.com/en-us/sysinternals/default.aspx hat zahlreiche Dienstprogramme, die hilfreich sind, wenn Windows NT zusätzlich zu den Tools File Monitor und Registry Monitor Problemen, die im Abschnitt "Problembehandlung bei der Server" beschrieben werden.

Informationsquellen

Weitere Informationen zur Sicherheit der folgenden Microsoft-Website:
http://www.microsoft.com/security
280383IIS-Sicherheitsempfehlungen bei Verwendung von Anmeldeinformationen für einen UNC-Freigabe und Benutzername und das Kennwort
240735Wie Sie mehrere virtuelle Server Berechtigungen in FrontPage 2000 zurücksetzen
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
271071Zum Festlegen erforderlichen NTFS-Berechtigungen und Benutzerrechte für einen IIS 5.0-server
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
321892Standardeinstellungen in DCOMCNFG für IIS 5.0
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
321893Standardeinstellungen in DCOMCNFG für IIS 4.0
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
812614Standard-Berechtigungen und Benutzerrechte für IIS 6.0
Die in diesem Artikel erwähnten Fremdanbieterprodukte werden von einem Lieferanten hergestellt, der von Microsoft unabhängig ist. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Eigenschaften

Artikel-ID: 185874 - Geändert am: Montag, 7. Juli 2008 - Version: 6.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Server 4.0
Keywords: 
kbmt kbhowtomaster KB185874 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 185874
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com