Artigo: 207671 - �ltima revis�o: quinta-feira, 3 de Julho de 2008 - Revis�o: 6.2

Como aceder a ficheiros de rede a partir de aplica��es do IIS

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Ver isen��o de responsabilidades para tradu��o autom�tica

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Este artigo fornece informa��es sobre problemas com acesso a ficheiros num computador diferente do servidor de Internet Information Server (IIS) de extens�o ISAPI (Internet Server API), p�gina ASP (Active Server Pages) ou aplicativo CGI (Common Gateway Interface). Este artigo lista alguns dos problemas que est�o envolvidos e alguns m�todos poss�veis para tornar este trabalho.

Apesar deste artigo foi escrito principalmente no contexto de aceder a ficheiros em partilhas de rede, aplic�veis para liga��es por pipe denominado bem os mesmos conceitos. Pipes nomeados s�o frequentemente utilizados para liga��es de SQL Server e tamb�m para chamada de procedimento remoto (RPC, Remote Procedure Call) e comunica��es COM (Component Object Model). Em particular, se ligar a um SQL Server atrav�s da rede est� configurada para utilizar seguran�a integrada do Microsoft Windows NT, n�o � poss�vel ligar devido a problemas que s�o descritos neste artigo. RPC e COM tamb�m poder�o utilizar outros mecanismos de comunica��o com esquemas de autentica��o de rede semelhantes. Por conseguinte, os conceitos neste artigo podem se aplicam a uma grande variedade de mecanismos de comunica��o de rede que podem ser utilizadas de aplica��es do IIS.

Voltar ao topo

Tipos de autentica��o e representa��o

Quando o IIS servi�os de um pedido de HTTP, o IIS executa representa��o para que acesso aos recursos para processar o pedido seja limitado correctamente. O contexto de seguran�a representado baseia-se o tipo de autentica��o efectuada para o pedido. Cinco tipos diferentes de autentica��o dispon�veis a partir do IIS 4.0:

Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive

Voltar ao topo

Tipos de tokens

Ou n�o � permitido o acesso a recursos de rede est� dependente do tipo de token de representa��o sob o qual o pedido for processado.

Tokens de rede "N�o" t�m permiss�o para aceder a recursos de rede. (Os tokens de rede s�o denominados, porque este tipo de token � normalmente criado por um servidor quando um utilizador � autenticado atrav�s da rede. Para permitir que o servidor para utilizar uma rede token para agir como um cliente de rede e aceder a outro servidor � designado por "delega��o" e � considerada uma falha de seguran�a poss�vel.)
Tokens interactivos normalmente s�o utilizados quando autentica um utilizador local no computador. Tokens interactivos t�m permiss�o para aceder a recursos atrav�s da rede.
Batch tokens s�o concebidos para fornecer um contexto de seguran�a em que processos executado. Batch tokens ter acesso � rede.

O IIS tem o conceito de um Texto normal de in�cio de sess�o. in�cio de sess�o de Limpar texto chama, devido ao facto de que o IIS tem acesso a tanto o nome de utilizador e a palavra-passe em texto simples. Pode controlar se um in�cio de sess�o Texto normal cria um token de rede, um token interactivo ou um token de sec��o, definindo a propriedade LogonMethod na metabase. Por predefini��o, in�cios de sess�o de Texto normal recebe um token Interactive e tem acesso a recursos de rede. LogonMethod pode ser configurado no servidor, o site, o direct�rio virtual, o direct�rio ou o n�vel de ficheiro.

Acesso an�nimo representa a conta configurada como utilizador an�nimo para o pedido. <machinename>Por predefini��o, o IIS tem uma conta �nica de utilizador an�nimo denominada IUSR_ <nome_computador> � representada quando processa um pedido n�o autenticado. Por predefini��o o IIS 4.0 tem uma funcionalidade configur�vel denominada "Activar a palavra-passe sincroniza��o" que utiliza um sub-authority de seguran�a para criar o token autom�tica. Tokens s�o criados desta forma s�o tokens de rede que "N�o" tenham acesso a outros computadores na rede. Se desactivar a sincroniza��o autom�tica de palavra-passe, o IIS cria o token da mesma forma como oin�cio de Texto simples sess�o mencionado anteriormente. Sincroniza��o autom�tica de palavras-passe s� est� dispon�vel para contas que est�o localizadas no mesmo computador como o IIS. Por conseguinte, se alterar a conta an�nima para uma conta de dom�nio, pode utilizar a sincroniza��o autom�tica de palavra-passe e receber� um in�cio de sess�o Texto normal . A excep��o � se instalar o IIS no controlador de dom�nio principal. Neste caso, as contas de dom�nio encontram no computador local. A conta an�nima e a op��o de a sincroniza��o autom�tica de palavra-passe podem ser configurados no servidor, o site, o direct�rio virtual, o direct�rio ou o n�vel de ficheiro.

Tem de ter o tipo de token correcto como o primeiro passo na aceder a um recurso na rede. Tamb�m deve representar uma conta que tenha acesso ao recurso atrav�s da rede. <machinename>Por predefini��o, IUSR_ <nome_computador> conta que o IIS cria para pedidos an�nimos existe apenas no computador local. <machinename>Mesmo se desactivar a sincroniza��o autom�tica de palavra-passe para que pode obter um Interactive token que pode aceder recursos de rede, IUSR_ <nome_computador> conta geralmente n�o possui acesso a maior parte dos recursos de rede porque se trata de uma conta que n�o � reconhecida noutros computadores. Se pretender aceder a recursos de rede com pedidos an�nimos, tem de substituir a conta predefinida com uma conta num dom�nio na rede que possa ser reconhecida por todos os computadores. <machinename>Se instalar o IIS num controlador de dom�nio, IUSR_ <nome_computador> conta � uma conta de dom�nio e deve ser reconhecida pelo outros computadores na rede, sem efectuar a ac��o adicional.

Voltar ao topo

Evitar problema

Seguintes s�o formas de evitar problemas quando acede a recursos de rede a partir da aplica��o do IIS:

Manter os ficheiros no computador local.
Alguns m�todos de comunica��o de rede n�o requerem uma verifica��o de seguran�a. Um exemplo est� a utilizar Windows sockets.
Pode fornecer acesso directo aos recursos da rede do computador, configurando um direct�rio virtual para ser:
"Uma partilha localizada noutro computador."
Todos os acesso ao computador que partilha recursos de rede � efectuado no contexto de utilizador especificado na caixa de di�logo Ligar como. . Isto ocorre independentemente do tipo de autentica��o est� configurado para o direct�rio virtual. Utilizando esta op��o, todos os ficheiros na partilha de rede est�o dispon�veis a partir de browsers que aceder ao computador IIS.
Utilize a autentica��o b�sica ou a autentica��o an�nima sem a sincroniza��o autom�tica de palavra-passe.

Por predefini��o, a representa��o que o Internet Information Server para a autentica��o base fornece um token que pode aceder a recursos de rede (ao contr�rio do Windows NT Challenge/Response, que fornece um token que n�o � poss�vel aceder a recursos de rede). Para a autentica��o an�nima, o token s� pode aceder um recurso de rede se a sincroniza��o autom�tica de palavra-passe est� desactivada. Por predefini��o, A sincroniza��o autom�tica de palavra-passe est� activada quando o Internet Information Server � instalado pela primeira vez. Num tal uma configura��o predefinida, o token de utilizador an�nimo n�o poder� aceder aos recursos de rede.
259353� (http://support.microsoft.com/kb/259353/ ) Tem de introduzir palavra-passe manualmente depois de activar a sincroniza��o de palavra-passe
Configure a conta an�nima como uma conta de dom�nio.

Isto permite pedidos an�nimos de potencial acesso aos recursos atrav�s da rede. Para evitar que todos os pedidos an�nimos tenham acesso � rede, tem de apenas se a conta an�nima uma conta de dom�nio os direct�rios virtuais que necessitem de acesso especificamente.
Configurar a conta an�nima com o mesmo nome de utilizador e palavra-passe do computador que est� a partilhar recursos de rede e, em seguida, desactivar a sincroniza��o autom�tica de palavra-passe.

Se efectuar este procedimento ter� de fazer-se de que as palavras-passe correspondem exactamente. Esta abordagem s� deve ser utilizada quando o "Configurar a conta an�nima como uma conta de dom�nio" mencionado anteriormente n�o uma op��o por algum motivo.
NullSessionShares e NullSessionPipes podem ser utilizados para permitir o acesso a uma partilha de rede espec�fica ou a um pipe nomeado quando o pedido � processado com um token de rede.

Se tiver um token de rede e tentar estabelecer uma liga��o a um recurso de rede, o sistema operativo tenta estabelecer uma liga��o como uma liga��o n�o autenticados (referida como "Sess�o NULL"). Esta defini��o de registo t�m de ser efectuada no computador que est� a partilhar o recurso de rede, n�o no computador do IIS. Se tentar aceder a um NullSessionShare ou NullSessionPipe com um token externos � rede, autentica��o t�pica do Microsoft Windows � utilizada e o acesso ao recurso baseia-se os direitos de utilizador de conta do utilizador representado.
Pode potencialmente executar a seus pr�prios representa��o para criar um token de thread que tenha acesso de rede.

A fun��o LogonUser e a fun��o ImpersonateLoggedOnUser podem ser utilizados para representar uma conta diferente. Isto requer que tenha o nome de utilizador texto normal e palavra-passe de outra conta dispon�vel no c�digo. LogonUser tamb�m requer que a conta que chama LogonUser tem o privil�gio "Actuar como parte do sistema operativo" no Gestor de utilizadores. Por predefini��o, a maior parte dos utilizadores que o IIS representa enquanto processa um pedido de HTTP n�o tem este direito de utilizador. No entanto, para "In Applications processo" Existem v�rias formas de fazer com que o actual contexto de seguran�a mudar para a conta LocalSystem, que as credenciais administrativas "Actuar como parte do sistema operativo". Para DLL de ISAPI que s�o executados no processo, a melhor forma de alterar o contexto de seguran�a que criou o IIS para a conta sistema local � chamar a fun��o de RevertToSelf . <machinename>Se estiver a executar a aplica��o do IIS "fora do processo", este mecanismo n�o funcionar� por predefini��o porque o processo est� em execu��o em IWAM_ <nome_computador> conta e n�o a conta sistema local. <machinename>Por predefini��o, o IWAM_ <nome_computador> "N�o" t�m as credenciais administrativas "Actuar como parte do sistema operativo".
Adicionar o componente � chamado a partir da p�gina ASP para um pacote de servidor do Microsoft Transaction Server (MTS) ou a aplica��o de servidor do COM + e, em seguida, especificar um utilizador espec�fico como a identidade do pacote.

Nota Executa o componente num ficheiro .exe separado que est� fora do IIS.
Com autentica��o de texto b�sico/simples, recomendamos que encriptar os dados utilizando SSL porque � muito f�cil obter credenciais a partir de um rastreio de rede. Para obter mais informa��es sobre como instalar o SSL, clique no n�mero de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
228991� (http://support.microsoft.com/kb/228991/ ) Como criar e instalar um certificado SSL no Internet Information Server 4.0

Nota Se n�o esque�a que pode impedir o acesso de rede para pedidos an�nimos onde a sincroniza��o de palavras-passe est� desactivada e pedidos s�o autenticados utilizando a autentica��o b�sica ( Texto normal in�cios de sess�o) se definir a propriedade da metabase LogonMethod "2" (indicando que um in�cio de sess�o de rede � utilizado para criar o token de representa��o). Com esta defini��o, a �nica forma para pedidos evitar a limita��o de token de rede � ligar NullSessionShares ou NullSessionPipes.

N�o utilize letras de unidade mapeadas para partilhas de rede. N�o s� existem apenas 26 letras de controlador potenciais para seleccionar a partir de, mas se tentar utilizar uma letra de unidade mapeada no contexto de seguran�a diferente, poder�o ocorrer problemas. Em vez disso, tem de utilizar nomes de conven��o de nomenclatura universal (UNC) sempre aceder a recursos. O formato tem semelhante � seguinte:

\\MyServer\filesharename\directoryname\filename

Para obter mais informa��es sobre como utilizar UNC, clique no n�mero de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

280383� (http://support.microsoft.com/kb/280383/ ) Recomenda��es de seguran�a do IIS quando utiliza uma partilha UNC

A informa��o neste artigo refere-se apenas ao Internet Information Server 4.0. No Internet Information Server 5.0 (que est� inclu�da no Windows 2000), existem altera��es significativas novos tipos de autentica��o e capacidades. Embora a maior parte os conceitos neste artigo aplicam-se mesmo assim para o IIS 5.0, os detalhes sobre os tipos de tokens de representa��o que s�o gerados com alguns esquemas de autentica��o neste artigo aplicam-se estritamente a IIS 4.0.

319067� (http://support.microsoft.com/kb/319067/ ) Como executar aplica��es n�o no contexto da conta do sistema

Se n�o � poss�vel determinar o tipo de in�cio de sess�o est� a ocorrer no servidor IIS para processar pedidos, pode activar a auditoria para os in�cios de sess�o e fim de sess�o das. Siga estes passos:

Clique em Iniciar , clique em defini��es , clique em Painel de controlo , clique em Ferramentas administrativas e, em seguida, clique em Pol�tica de seguran�a local .
Depois de abrir Pol�tica de seguran�a local, no painel de vista de �rvore para a esquerda, clique em Defini��es de seguran�a , clique em Pol�ticas locais (Local Policies) e clique em Pol�tica de auditoria .
Fa�a duplo clique em Auditar eventos de in�cio de sess�o e clique em com �xito e falha . Entradas de registo de eventos s�o adicionadas em registo de seguran�a. Pode determinar o tipo de in�cio de sess�o observando os detalhes do evento sob o tipo de in�cio de sess�o:

2 = Interactive
3 = Rede
4 = Batch
5 = Servi�o

Voltar ao topo

Refer�ncias

Para obter mais informa��es sobre a seguran�a de rede, clique n�meros de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:

124184� (http://support.microsoft.com/kb/124184/ ) Servi�o executado como conta de sistema falha ao aceder � rede

180362� (http://support.microsoft.com/kb/180362/ ) Servi�os e unidades redireccionadas

319067� (http://support.microsoft.com/kb/319067/ ) Como executar aplica��es n�o no contexto da conta do sistema

280383� (http://support.microsoft.com/kb/280383/ ) Recomenda��es de seguran�a do IIS quando utiliza uma partilha UNC

259353� (http://support.microsoft.com/kb/259353/ ) Tem de introduzir palavra-passe manualmente depois de activar a sincroniza��o de palavra-passe

Voltar ao topo

A informa��o contida neste artigo aplica-se a:

Microsoft Internet Information Server 3.0
Microsoft Internet Information Server 4.0
Microsoft Internet Server Application Programming Interface 4.0
Microsoft Internet Information Services 5.0

Voltar ao topo

kbmt kbhowtomaster kbhttp KB207671 KbMtpt

Voltar ao topo

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 207671� (http://support.microsoft.com/kb/207671/en-us/ )

Voltar ao topo

This site in other countries/regions:

Como aceder a ficheiros de rede a partir de aplica��es do IIS

Nesta p�gina

Sum�rio

Tipos de autentica��o e representa��o

Tipos de tokens

Evitar problema

Refer�ncias

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es de Artigos