Iniciar Sess�o

Select the product you need help with

Como acessar arquivos de rede a partir de aplicativos do IIS

ID do artigo: 207671 - Exibir os produtos aos quais esse artigo se aplica.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Recolher tudo

Este artigo fornece informa��es sobre problemas ao acessar arquivos em um computador diferente do servidor IIS (Internet Information Server) a partir de uma extens�o ISAPI (Internet Server API), a p�gina ASP (Active Server Pages) ou aplicativo de interface comum de gateway (CGI). Este artigo lista alguns dos problemas que est�o envolvidos e alguns m�todos poss�veis para fazer esse trabalho.

Embora este artigo foi escrito principalmente no contexto de acessar arquivos em compartilhamentos de rede, os conceitos mesmos se aplicam a conex�es de pipe nomeado bem. Pipes nomeados s�o freq�entemente usados para conex�es do SQL Server e tamb�m para chamada de procedimento remoto (RPC) e comunica��es COM (Component Object Model). Em particular, se voc� se conectar a um SQL Server atrav�s da rede est� configurada para usar seguran�a integrada do Microsoft Windows NT, voc� n�o pode se conectar devido os problemas descritos neste artigo. RPC e COM podem tamb�m usar outros mecanismos de comunica��o que t�m esquemas de autentica��o de rede semelhantes. Portanto, os conceitos neste artigo podem aplicar a uma ampla variedade de mecanismos de comunica��o de rede pode ser usado em seus aplicativos do IIS.

Tipos de autentica��o e representa��o

Quando uma solicita��o HTTP de servi�os do IIS, o IIS executa representa��o para que o acesso aos recursos para manipular a solicita��o seja limitado adequadamente. O contexto de seguran�a representado � baseado no tipo de autentica��o executada para a solicita��o. Os cinco tipos diferentes de autentica��o dispon�veis do IIS 4.0 s�o:

Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive

Tipos de token

Se ou n�o � permitido acesso aos recursos da rede depende o tipo de token de representa��o sob a qual a solicita��o est� sendo processada.

Tokens de rede "N�o" t�m permiss�o para acessar os recursos da rede. (S�mbolos de rede s�o nomeados isso porque esse tipo de token tradicionalmente � criado por um servidor quando um usu�rio � autenticado atrav�s da rede. Para permitir que o servidor para usar uma rede token para atuar como um cliente de rede e outro servidor de acesso � chamado de "delega��o" e � considerado uma brecha de seguran�a poss�vel.)
Os tokens de interativos tradicionalmente s�o usados ao autenticar um usu�rio local no computador. Tokens interativos t�m permiss�o para acessar recursos atrav�s da rede.
Em lotes tokens s�o projetados para fornecer um contexto de seguran�a sob as quais trabalhos em lotes executado. S�mbolos em lotes tem acesso de rede.

O IIS possui o conceito de um logon de Texto n�o criptografado . Limpar texto logon � denominado isso por causa do fato de que o IIS tem acesso ao nome de usu�rio e a senha em texto n�o criptografado. Voc� pode controlar se um logon de Texto n�o criptografado cria um token de rede, um token interativo ou um token de lote, definindo a propriedade LogonMethod na metabase. Por padr�o, logons de Texto n�o criptografado receber�o um token interativo e t�m acesso aos recursos da rede. LogonMethod pode ser configurado no servidor, o site, o diret�rio virtual, o diret�rio ou o n�vel de arquivo.

Acesso an�nimo representa a conta configurada como o usu�rio an�nimo para a solicita��o. <machinename>Por padr�o, IIS tem uma conta de �nico usu�rio an�nimo chamada IUSR_ <nome_computador> que est� representado ao manipular uma solicita��o n�o autenticados. Por padr�o IIS 4.0 tem um recurso configur�vel chamado "Permitir senha sincroniza��o autom�tica" que usa uma subautoridade de seguran�a para criar o token. Tokens que s�o criadas dessa maneira s�o tokens de rede que "N�o" t�m acesso a outros computadores na rede. Se voc� desabilitar a sincroniza��o autom�tica de senha, o IIS cria o token da mesma maneira como ologon de Texto n�o criptografado mencionado anteriormente. Sincroniza��o autom�tica de senha s� est� dispon�vel para contas que est�o localizadas no mesmo computador como o IIS. Portanto, se voc� alterar a conta an�nima para uma conta de dom�nio, voc� n�o pode usar sincroniza��o autom�tica de senha e voc� recebe um logon de Texto n�o criptografado . A exce��o � se voc� instalar o IIS em seu controlador de dom�nio prim�rio. Nesse caso, as contas de dom�nio est�o no computador local. A conta an�nima e a op��o sincroniza��o autom�tica de senha podem ser configurados no servidor, o site, o diret�rio virtual, o diret�rio ou o n�vel de arquivo.

Voc� deve ter o tipo correto de token de como a primeira etapa na acessar um recurso na rede. Voc� tamb�m deve representar uma conta que tenha acesso ao recurso atrav�s da rede. <machinename>Por padr�o, a conta IUSR_ <nome_computador> conta que o IIS cria para solicita��es an�nimas existe somente no computador local. <machinename>Mesmo se voc� desabilitar sincroniza��o autom�tica de senha para que voc� possa obter um interativo token que pode acessar recursos de rede, a conta IUSR_ <nome_computador> conta normalmente n�o tem acesso a maioria dos recursos de rede porque este � uma conta que n�o � reconhecida em outros computadores. Se voc� desejar acessar recursos de rede com solicita��es an�nimas, voc� deve substituir a conta padr�o com uma conta em um dom�nio na rede que possa ser reconhecido por todos os computadores. <machinename>Se voc� instalar o IIS em um controlador de dom�nio, a conta IUSR_ <nome_computador> conta � uma conta de dom�nio e devem ser reconhecida por outros computadores na rede sem a��es adicionais.

Preven��o de problema

A seguir � maneiras de evitar problemas ao acessar recursos de rede do seu aplicativo de IIS:

Manter os arquivos no computador local.
Alguns m�todos de comunica��o de rede n�o requerem uma verifica��o de seguran�a. Um exemplo � usar Windows sockets.
Voc� pode fornecer acesso direto aos recursos da rede do computador, configurando um diret�rio virtual para ser:
"Um compartilhamento localizado em outro computador."
Todos os acesso ao computador que compartilha recursos de rede � executado no contexto da pessoa especificada na caixa de di�logo Conectar como. . Isso ocorre n�o importa que tipo de autentica��o � configurado para o diret�rio virtual. Usando essa op��o, todos os arquivos no compartilhamento de rede est�o dispon�veis de navegadores que acessem o computador IIS.
Use autentica��o b�sica ou autentica��o an�nima sem sincroniza��o autom�tica de senha.

Por padr�o, a representa��o que o Internet Information Server para autentica��o b�sica fornece um token que pode acessar recursos de rede (ao contr�rio do Windows NT desafio/resposta, que fornece um token que n�o � poss�vel acessar os recursos da rede). Para a autentica��o an�nima, o token s� pode acessar um recurso de rede se a sincroniza��o autom�tica de senha estiver desabilitada. Por padr�o, a sincroniza��o autom�tica de senha � ativada quando o IIS � instalado pela primeira vez. Em tal uma configura��o padr�o, o token de usu�rio an�nimo n�o pode acessar recursos de rede.
259353
(http://support.microsoft.com/kb/259353/ )
Digite senha manualmente depois alternar sincroniza��o de senha
Configure a conta an�nima como uma conta de dom�nio.

Isso permite que solicita��es an�nimas do potencial de acesso a recursos atrav�s da rede. Para impedir que todas as solicita��es an�nimas ter acesso de rede, voc� deve fazer apenas a conta an�nima uma conta de dom�nio nos diret�rios virtuais que requerem especificamente acesso.
Configurar a conta an�nima com o mesmo nome de usu�rio e senha no computador que est� compartilhando recursos de rede e, em seguida, desativar a sincroniza��o autom�tica de senha.

Se voc� fizer isso voc� deve certificar-se que as senhas coincidem exatamente. Essa abordagem s� deve ser usada quando anteriormente o "Configurar a conta an�nima como uma conta de dom�nio" mencionado n�o � uma op��o por algum motivo.
NullSessionPipes e NullSessionShares pode ser usado para permitir o acesso para um compartilhamento de rede espec�fica ou para um pipe nomeado quando a solicita��o � tratada com um token de rede.

Se voc� tiver um token de rede e tentar estabelecer uma conex�o a um recurso de rede, o sistema operacional tenta estabelecer uma conex�o como uma conex�o n�o-autenticados (chamada de "Sess�o NULL"). Essa configura��o do registro deve ser feita no computador que est� compartilhando o recurso de rede, n�o no computador IIS. Se voc� tentar acessar um NullSessionShare ou NullSessionPipe com um token n�o-rede, autentica��o t�pica do Microsoft Windows � usada e o acesso ao recurso se baseia em direitos de conta do usu�rio representado.
Voc� pode executar potencialmente sua representa��o para criar um token de thread que tem acesso � rede.

A fun��o LogonUser e a fun��o ImpersonateLoggedOnUser podem ser usados para representar uma conta diferente. Isso requer que voc� tenha o nome de usu�rio texto n�o criptografado e a senha de outra conta dispon�vel para o seu c�digo. LogonUser tamb�m requer que a conta que chama o LogonUser tem o privil�gio "Funcionar como parte do sistema operacional" no Gerenciador de usu�rios. Por padr�o, a maioria dos usu�rios IIS personifica enquanto ele lida com uma solicita��o HTTP n�o tem esse direito de usu�rio. No entanto, para "Em aplicativos do processo" existem v�rias maneiras para fazer com que seu contexto de seguran�a atual alterar para a conta LocalSystem, que tem as credenciais administrativas "Funcionar como parte do sistema operacional". Para DLLs ISAPI que s�o executados no processo, a melhor maneira de alterar o contexto de seguran�a que criou o IIS para a conta LocalSystem � chamar a fun��o RevertToSelf . <machinename>Se voc� estiver executando seu aplicativo de IIS "fora de processo", esse mecanismo n�o ir� funcionar por padr�o porque o processo est� sendo executado em IWAM_ <nome_computador> conta e n�o a conta sistema local. <machinename>Por padr�o, o IWAM_ <nome_computador> "N�o" t�m as credenciais administrativas "Funcionar como parte do sistema operacional".
Adicione o componente que � chamado da p�gina ASP para um pacote de servidor do Microsoft Transaction Server (MTS) ou aplicativo de servidor do COM + e especificar um usu�rio espec�fico como a identidade do pacote.

Observa��o O componente � executado em um arquivo .exe separado que est� fora do IIS.
Com autentica��o de texto b�sico/n�o criptografado, recomendamos que voc� criptografa os dados usando o SSL porque ele � extremamente f�cil de obter credenciais de um rastreamento de rede. Para obter mais informa��es sobre como instalar o SSL, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
228991
(http://support.microsoft.com/kb/228991/ )
Como criar e instalar um certificado SSL no Internet Information Server 4.0

Observa��o N�o se esque�a que voc� pode impedir acesso � rede para solicita��es an�nimas onde a sincroniza��o de senha est� desativada e as solicita��es s�o autenticadas usando a autentica��o b�sica ( Texto n�o criptografado logons) se voc� definir a propriedade de metabase LogonMethod para "2" (indicando que um logon de rede � usado para criar o s�mbolo de representa��o). Com essa configura��o, a �nica maneira para solicita��es evitar a limita��o de token de rede � conectar-se a NullSessionShares ou NullSessionPipes.

N�o use letras de unidade mapeadas para compartilhamentos de rede. N�o apenas existem somente 26 letras poss�veis de driver para selecionar a partir de, mas se voc� tentar usar uma letra de unidade que est� mapeada em um contexto de seguran�a diferentes, poder�o ocorrer problemas. Em vez disso, voc� sempre deve usar nomes de conven��o universal de nomenclatura (UNC) para acessar recursos. O formato deve ser semelhante ao seguinte:

\\MyServer\filesharename\directoryname\filename

Para obter mais informa��es sobre como usar UNC, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

280383

(http://support.microsoft.com/kb/280383/ )

Recomenda��es de seguran�a do IIS quando voc� usa um compartilhamento UNC

As informa��es contidas neste artigo pertencem somente ao Internet Information Server 4.0. No Internet Information Server 5.0 (que est� inclu�do no Windows 2000), existem altera��es significativas novos tipos de autentica��o e recursos. Embora a maioria dos conceitos neste artigo ainda se aplique ao IIS 5.0, os detalhes sobre os tipos de tokens de representa��o que s�o geradas com determinados esquemas de autentica��o neste artigo se aplicam estritamente para IIS 4.0.

319067

(http://support.microsoft.com/kb/319067/ )

Como executar aplicativos n�o no contexto da conta do sistema

Se voc� n�o pode determinar que tipo de logon est� ocorrendo no servidor IIS para manipular as solicita��es, voc� pode ativar a auditoria de Logons e Logoffs. Execute as seguintes etapas:

Clique em Iniciar , clique em configura��es , clique em Painel de controle , clique em Ferramentas administrativas e clique em Diretiva de seguran�a local .
Depois de abrir diretiva de seguran�a local, no painel de exibi��o de �rvore � esquerda, clique em Configura��es de seguran�a , clique em Diretivas locais e, em seguida, clique em Diretiva de auditoria .
Clique duas vezes em Eventos de logon de auditoria e clique em �xito e falha . Entradas de log de eventos s�o adicionadas sob o log de seguran�a. Voc� pode determinar o tipo de logon, examinando os detalhes do evento sob o tipo de logon:

2 = Interativo
3 = Rede
4 = Em lotes
5 = Service

Voltar para o in�cio | Submeter coment�rios

Refer�ncias

Para obter mais informa��es sobre seguran�a de rede, clique nos n�meros abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:

124184

(http://support.microsoft.com/kb/124184/ )

Servi�o executado como conta do sistema falha ao acessar rede

180362

(http://support.microsoft.com/kb/180362/ )

Servi�os e unidades redirecionadas

319067

(http://support.microsoft.com/kb/319067/ )

Como executar aplicativos n�o no contexto da conta do sistema

280383

(http://support.microsoft.com/kb/280383/ )

Recomenda��es de seguran�a do IIS quando voc� usa um compartilhamento UNC

259353

(http://support.microsoft.com/kb/259353/ )

Digite senha manualmente depois alternar sincroniza��o de senha

Voltar para o in�cio | Submeter coment�rios

Propriedades

ID do artigo: 207671 - �ltima revis�o: quinta-feira, 3 de julho de 2008 - Revis�o: 6.2

A informa��o contida neste artigo aplica-se a:

Microsoft Internet Information Server 3.0
Microsoft Internet Information Server 4.0
Microsoft Internet Server Application Programming Interface 4.0
Microsoft Internet Information Services 5.0

kbmt kbhowtomaster kbhttp KB207671 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 207671

(http://support.microsoft.com/kb/207671/en-us/ )

Voltar para o in�cio | Submeter coment�rios