Come accedere a file di rete da applicazioni IIS

Identificativo articolo: 207671 - Visualizza i prodotti a cui si riferisce l?articolo.
Traduzione automatica articoliAttenzione: Questo è un articolo tradotto in automatico.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo vengono fornite informazioni sui problemi relativi all'accesso ai file su un computer diverso da quello del server Internet Information Server (IIS) da un'estensione ISAPI (Internet Server API), pagina ASP (Active Server Pages) o applicazione CGI (Common Gateway Interface). Questo articolo vengono elencati alcuni dei problemi che sono coinvolti e alcuni metodi possibili per rendere questo lavoro.

Sebbene in questo articolo si riferisca principalmente nel contesto di accesso ai file nelle condivisioni di rete, gli stessi concetti vengono applicate a anche le connessioni di named-pipe. Named pipe vengono utilizzate di frequente per le connessioni SQL Server e per la chiamata di procedura remota (RPC) e le comunicazioni di COM (Component Object Model). In particolare, se ci si connette a SQL Server nella rete è configurato per utilizzare la protezione integrata di Microsoft Windows NT, non è possibile connettersi a causa dei problemi descritte in questo articolo. RPC e COM inoltre possibile utilizzare altri meccanismi di comunicazione che dispongono di schemi di autenticazione rete simili. Di conseguenza, i concetti illustrati in questo articolo possono applicare a una vasta gamma di meccanismi di comunicazione di rete che possono essere utilizzati dalle applicazioni IIS.


Tipi di autenticazione e rappresentazione

Quando una richiesta HTTP dei servizi di IIS, IIS esegue la rappresentazione in modo che accesso alle risorse per gestire la richiesta sia limitato in modo appropriato. Il contesto di protezione con rappresentazione è basato sul tipo di autenticazione eseguita per la richiesta. I cinque diversi tipi di autenticazione disponibili da IIS 4.0 sono: 
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive

Tipi di token

O meno è consentito l'accesso alle risorse di rete dipende dal tipo di token di rappresentazione in cui la richiesta viene elaborata.
  • Token di rete "Non" sono autorizzati ad accedere alle risorse di rete. (I token di rete sono denominati, poiché questo tipo di token in genere viene creato da un server quando un utente viene autenticato attraverso la rete. Per consentire al server per l'utilizzo di una rete token ad agire come un client di rete e accedere a un altro server è denominato "delega" e viene considerato un problema di protezione possibile.)
  • Token interattivo tradizionalmente vengono utilizzati per autenticare un utente locale del computer. Token interattivo sono autorizzati ad accedere alle risorse della rete.
  • I token batch sono progettati per fornire un contesto di protezione in cui i processi batch vengono eseguiti. Token di batch avere accesso alla rete.
IIS è il concetto di un accesso Crittografato . accesso con Testo deselezionare è denominato operazione a causa del fatto che IIS possa accedere a sia il nome utente e la password in testo non crittografato. È possibile controllare se un accesso Crittografato crea un token di rete, un token interattivo o un token di blocco impostando la proprietà di LogonMethod nella metabase. Per impostazione predefinita, gli accessi di Testo non ricevano un token interattivo e abbiano accesso alle risorse di rete. Il LogonMethod possono essere configurati per il server, il sito, la directory virtuale, la directory o il livello di file.

L'accesso anonimo impersona l'account configurato come utente anonimo per la richiesta. <machinename>Per impostazione predefinita, IIS dispone di un account di singolo utente anonimo denominato IUSR_ <nomemacchina>, che viene rappresentato quando si gestisce una richiesta non autenticata. Per impostazione predefinita IIS 4.0 ha una funzione di configurabile denominata "Sincronizzazione automatica delle password" che utilizza una sottoautorità di protezione per creare il token. I token creati in questo modo sono token di rete che "Non" hanno accesso a altri computer della rete. Se si disattiva la sincronizzazione automatica delle password, IIS crea il token nello stesso modo come ilaccesso di Testo non crittografato menzionato in precedenza. La sincronizzazione automatica delle password è l'unica disponibile per account presenti sullo stesso computer in cui è installato IIS. Di conseguenza, se si modifica l'account anonimo a un account di dominio, non è possibile utilizzare sincronizzazione automatica delle password e viene visualizzato un accesso Crittografato . L'eccezione si verifica se si installa IIS sul controller di dominio primario. In questo caso, gli account di dominio sono nel computer locale. L'account anonimo e l'opzione di sincronizzazione automatica delle password può essere configurate in server, il sito, la directory virtuale, la directory o il livello di file.

È necessario disporre del tipo di token corretto come il primo passaggio nell'accesso a una risorsa di rete. È inoltre necessario rappresentare un account dotato di accesso alla risorsa attraverso la rete. <machinename>Per impostazione predefinita, il IUSR_ <nomemacchina> account creati da IIS per le richieste anonime esiste solo nel computer locale. <machinename>Anche se si disattiva sincronizzazione automatica delle password in modo che si possa ottenere token interattivo in un che può accedere alle risorse rete il IUSR_ <nomemacchina> account in genere non è presente accesso alla maggior parte delle risorse di rete perché questo è un account è riconosciuto su altri computer. Se si desidera accedere alle risorse di rete con le richieste anonime, è necessario sostituire l'account predefinito con un account in un dominio di rete che possa essere riconosciuto da tutti i computer. <machinename>Se si installa IIS su un controller di dominio, il IUSR_ <nomemacchina> è un account di dominio e deve essere riconosciuto da altri computer della rete senza richiedere ulteriore azione.


Prevenzione del problema

Seguenti modi di evitare problemi quando si accede alle risorse di rete dall'applicazione IIS:
  • Mantenere i file sul computer locale.
  • Alcuni metodi di comunicazione di rete non sono necessario un controllo di protezione. Un esempio sta utilizzando Windows sockets.
  • È possibile fornire accesso diretto alle risorse rete del computer configurando una directory virtuale da:
    "Una condivisione che si trova in un altro computer."
    Tutti gli accessi il computer che condivide le risorse di rete viene eseguito nel contesto dell'utente specificata nella finestra di dialogo Connetti come. . Questo problema si verifica indipendentemente dal tipo di autenticazione configurato per la directory virtuale. Utilizzando questa opzione, tutti i file nella condivisione di rete siano disponibili dai browser che accedono al computer IIS.
  • Utilizzare l'autenticazione di base o l'autenticazione anonima senza sincronizzazione automatica delle password.

    Per impostazione predefinita, la rappresentazione effettuata da Internet Information Server per l'autenticazione di base consente di ottenere un token che può accedere alle risorse di rete (a differenza di Windows NT Challenge/Response, che fornisce un token che non può accedere alle risorse di rete). Per l'autenticazione anonima, il token possibile accedere solo una risorsa di rete se la sincronizzazione automatica delle password è disattivata. La sincronizzazione automatica delle password è sempre abilitata quando si installa Internet Information Server per la prima volta. Una configurazione predefinita, il token dell'utente anonimo non possibile accedere alle risorse di rete.
    259353
    (http://support.microsoft.com/kb/259353/ )
    Immettere password manualmente dopo che attiva o disattiva sincronizzazione password
  • Configurare l'account anonimo come account di dominio.

    In questo modo le richieste anonime dal potenziale accesso alle risorse della rete. Per impedire a tutte le richieste anonime di disporre dell'accesso di rete, è necessario solo effettuare l'account anonimo un account di dominio per le directory virtuali che richiedono specificamente l'accesso.
  • Configurare l'account anonimo con lo stesso nome utente e password nel computer che condivide le risorse di rete e quindi disattivare sincronizzazione automatica delle password.

    In questo caso è necessario assicurarsi che le password corrispondano. Questo approccio deve essere utilizzato solo quando precedenti la "configurazione dell'account anonimo come account di dominio" indicato non è un'opzione per qualche motivo.
  • Possibile utilizzare NullSessionShares e NullSessionPipes per consentire l'accesso a una condivisione di rete specifico o a una named pipe quando la richiesta viene gestita con un token di rete.

    Se si dispone di un token di rete e si tenta di stabilire una connessione a una risorsa di rete, il sistema operativo tenta stabilire una connessione come connessione non autenticato (detto "Sessione NULL"). Questa impostazione del Registro di sistema deve essere apportata nel computer che condivide la risorsa di rete, non nel computer IIS. Se si tenta di accedere a un NullSessionShare o NullSessionPipe con un token non di rete, viene utilizzata tipica l'autenticazione di Microsoft Windows e accesso alla risorsa è in base ai diritti utente account dell'utente rappresentato.
  • È potenzialmente possibile eseguire la propria rappresentazione per creare un token di thread che dispone di accesso alla rete.

    Possibile utilizzare le funzioni LogonUser e ImpersonateLoggedOnUser per rappresentare un account diverso. purché si disponga del nome utente e della password non codificati di un altro account. LogonUser è inoltre necessario che l'account chiama LogonUser abbia il privilegio "Agisci come parte del sistema operativo" in User Manager. Per impostazione predefinita, la maggior parte delle utenti IIS viene utilizzato quando gestisce una richiesta HTTP non sono necessario questo diritto utente. Tuttavia, per "In applicazioni di processo" esistono numerosi modi per causare il contesto di protezione corrente modificare l'account LocalSystem, contenenti delle credenziali amministrative "Agisci come parte del sistema operativo". Per le DLL ISAPI eseguite in-process, il modo migliore per modificare il contesto di protezione che IIS è stata creata per l'account LocalSystem è consiste nel chiamare la funzione RevertToSelf . <machinename>Se si esegue l'applicazione IIS "di processo", questo meccanismo non funziona per impostazione predefinita perché il processo viene eseguito con l'account IWAM_ <nomemacchina> e non al conto di sistema locale. <machinename>Per impostazione predefinita, l'account IWAM_ <nomemacchina> "Non" dispongono di credenziali amministrative "Agisci come parte del sistema operativo".
  • Aggiungere il componente che viene chiamato dalla pagina ASP per un pacchetto di server di Microsoft Transaction Server (MTS) o l'applicazione server COM + e quindi specificare un utente specifico come identità del pacchetto.

    Nota Il componente viene eseguito in un file exe separate di fuori di IIS.
  • Con l'autenticazione testo di base o deselezionare, si consiglia di crittografare i dati utilizzando SSL perché è estremamente facile ottenere le credenziali da una traccia di rete. Per ulteriori informazioni sull'installazione di SSL, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    228991
    (http://support.microsoft.com/kb/228991/ )
    Come creare e installare un certificato SSL in Internet Information Server 4.0
Nota Non dimenticare che si può impedire l'accesso di rete per le richieste di anonime in cui è disattivata la sincronizzazione delle password e le richieste vengono autenticate utilizzando l'autenticazione di base ( Testo non crittografato accessi) in cui se si imposta la proprietà LogonMethod della metabase "2" (che indica che un accesso alla rete viene utilizzato per creare il token di rappresentazione). Con questa impostazione, l'unico modo per le richieste evitare la limitazione del token di rete consiste nella connessione NullSessionShares o NullSessionPipes.

Non utilizzare lettere di unità mappata a condivisioni di rete. Non solo sono presenti solo 26 lettere di driver potenziali per selezionare da, ma se si tenta di utilizzare una lettera di unità che viene mappata in un contesto di protezione diverse, possono verificarsi dei problemi. Invece, è necessario utilizzare sempre nomi di Universal Naming Convention (UNC) per accedere alle risorse. Il formato deve simile al seguente:
\\MyServer\filesharename\directoryname\filename
Per ulteriori informazioni sull'utilizzo di UNC, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
280383
(http://support.microsoft.com/kb/280383/ )
Consigli di protezione di IIS quando si utilizza una condivisione UNC
Le informazioni riportate in questo articolo sono relative solo a Internet Information Server 4.0. In Internet Information Services 5.0 (che è inclusa in Windows 2000), esistono modifiche significative alle funzionalità e nuovi tipi di autenticazione. Sebbene la maggior parte dei concetti illustrati in questo articolo siano ancora valide per IIS 5.0, i dettagli sui tipi di token di rappresentazione generati con determinati schemi di autenticazione in questo articolo si applicano esclusivamente a IIS 4.0.

319067
(http://support.microsoft.com/kb/319067/ )
Come eseguire le applicazioni non nel contesto dell'account di sistema
Se non è possibile determinare il tipo di accesso è in corso sul server IIS per gestire le richieste, è possibile attivare il controllo di accessi e la disconnessione. Attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Impostazioni , scegliere Pannello di controllo , scegliere Strumenti di amministrazione e infine Criteri di protezione locali .
  2. Dopo aver aperto criteri di protezione locali nel riquadro sinistro della visualizzazione struttura, fare clic su Impostazioni protezione fare clic su Criteri locali , quindi scegliere Criteri di controllo .
  3. Fare doppio clic su Controlla eventi di accesso e quindi scegliere operazioni riuscite e operazioni non riuscite . Voci del registro eventi vengono aggiunti in un registro di protezione. È possibile determinare il tipo di accesso esaminando i dettagli evento nella sezione Logon Type:
2 = Interactive
3 = Rete
4 = Batch
5 = Service

Torna all'inizio | Invia suggerimenti

Riferimenti

Per ulteriori informazioni sulla protezione di rete, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
124184
(http://support.microsoft.com/kb/124184/ )
Servizio in esecuzione come account di sistema si verifica un errore durante l'accesso alla rete
180362
(http://support.microsoft.com/kb/180362/ )
Servizi e le unità reindirizzate
319067
(http://support.microsoft.com/kb/319067/ )
Come eseguire le applicazioni non nel contesto dell'account di sistema
280383
(http://support.microsoft.com/kb/280383/ )
Consigli di protezione di IIS quando si utilizza una condivisione UNC
259353
(http://support.microsoft.com/kb/259353/ )
Immettere password manualmente dopo che attiva o disattiva sincronizzazione password
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 207671 - Ultima modifica: giovedì 3 luglio 2008 - Revisione: 6.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Server 3.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Server Application Programming Interface 4.0
  • Microsoft Internet Information Services 5.0
Chiavi: 
kbmt kbhowtomaster kbhttp KB207671 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 207671
(http://support.microsoft.com/kb/207671/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio