วิธีการเข้าถึงแฟ้มเครือข่ายจากโปรแกรมประยุกต์ของ IIS

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 207671 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้แสดงข้อมูลเกี่ยวกับปัญหาในการเข้าถึงแฟ้มบนคอมพิวเตอร์เครื่องอื่นที่ไม่ใช่เซิร์ฟเวอร์ Server ข้อมูลทางอินเทอร์เน็ต (IIS) ของคุณจากส่วนขยายอินเทอร์เน็ต Server API (ISAPI) หน้า Active Server หน้า (ASP) หรือโปรแกรมประยุกต์ของอินเทอร์เฟซเกตเวย์ทั่วไป (CGI) บทความนี้แสดงรายการบางประเด็นที่เกี่ยวข้องและบางวิธีที่เป็นไปได้เพื่อทำให้งานนี้

แม้ว่าบทความนี้ถูกเขียนเป็นหลักในบริบทของการเข้าถึงแฟ้มบนเครือข่ายที่ใช้ร่วมกัน แนวคิดที่เหมือนกันใช้กับการเชื่อมต่อของไปป์ที่ชื่อเช่นเดียวกัน ชื่อ pipes มักใช้ สำหรับการเชื่อมต่อของ SQL Server และ สำหรับการเรียกขั้นตอนระยะไกล (RPC) และการสื่อสารแบบวัตถุคอมโพเนนต์ (COM) ไม่เฉพาะ ถ้าคุณเชื่อมต่อกับ SQL Server ผ่านเครือข่ายที่มีการกำหนดค่าการใช้ความปลอดภัยแบบรวมของ Microsoft Windows NT คุณสามารถเชื่อมต่อเนื่องจากการตัดสินค้าจากคลังที่ outlined ในบทความนี้ rpc และ COM อาจใช้กลไกการสื่อสารอื่น ๆ ที่มีโครงร่างการรับรองความถูกต้องของเครือข่ายที่คล้ายกัน ดังนั้น แนวคิดในบทความนี้สามารถใช้กลไกการสื่อสารเครือข่ายที่อาจจะใช้ได้จากโปรแกรมประยุกต์ของ IIS ที่หลากหลาย


ชนิดการเลียนแบบและการรับรองความถูกต้อง

เมื่อ IIS บริการการร้องขอ HTTP, IIS ทำการเลียนแบบเพื่อให้เข้าถึงทรัพยากรในการจัดการการร้องขอถูกจำกัดอย่างเหมาะสม บริบทการรักษาความปลอดภัย impersonated จะขึ้นอยู่กับชนิดของดำเนินการร้องขอการรับรองความถูกต้อง ห้าชนิดต่าง ๆ ของการรับรองความถูกต้องพร้อมใช้งานจาก IIS 4.0 คือ:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive
				

ชนิดของโทเค็น

ไม่ว่าหรือไม่อนุญาตการเข้าถึงทรัพยากรของเครือข่ายจะขึ้นอยู่กับชนิดของโทเค็นการเลียนแบบที่ภายใต้ที่ร้องขอได้คือกำลังประมวลผล
  • โทเค็นของเครือข่าย "ใช่" ได้รับการอนุญาตให้เข้าถึงทรัพยากรของเครือข่าย (โทเค็นของเครือข่ายมีชื่อดังกล่าวได้เนื่องจากชนิดนี้โทเค็น traditionally สร้าง โดยเซิร์ฟเวอร์เมื่อมีการรับรองความถูกต้องผู้ใช้ข้ามเครือข่าย การอนุญาตให้เซิร์ฟเวอร์การใช้เครือข่าย โทเค็นการทำหน้าที่เป็นไคลเอนต์เครือข่าย และการเข้าถึงเซิร์ฟเวอร์อื่นเรียกว่า "การมอบหมาย" และจะถือเป็นรูการรักษาความปลอดภัยที่เป็นไป)
  • โทเค็นแบบโต้ตอบ traditionally ใช้เมื่อ authenticating ผู้ใช้ท้องถิ่นบนคอมพิวเตอร์ โทเค็นแบบโต้ตอบจะได้รับอนุญาตเข้าถึงทรัพยากรผ่านเครือข่าย
  • โทเค็นของชุดงานจะได้รับการออกแบบเพื่อให้มีบริบทการรักษาความปลอดภัยที่ภายใต้ซึ่งรันชุดงาน โทเค็นของชุดงานมีการเข้าถึงเครือข่าย
IIS มีแนวคิดของคำยกเลิกเลือกข้อความเข้าสู่ระบบยกเลิกเลือกข้อความเข้าสู่ระบบเป็นชื่อดังกล่าวได้เนื่องจากข้อเท็จจริงว่า IIS มีการเข้าถึงชื่อผู้ใช้และรหัสผ่านในข้อความที่มีการยกเลิกการเลือก คุณสามารถควบคุมว่าตัวยกเลิกเลือกข้อความเข้าสู่ระบบสร้างโทเค็นเครือข่าย โทเค็นแบบโต้ตอบ หรือโทเค็นการชุดงาน โดยการตั้งค่านี้LogonMethodคุณสมบัติใน metabase นี้ โดยค่าเริ่มต้นยกเลิกเลือกข้อความlogons โทเค็นแบบโต้ตอบที่ได้รับ และสามารถเข้าถึงทรัพยากรของเครือข่าย กระบวนการLogonMethodคุณสามารถกำหนดค่าเซิร์ฟเวอร์ ไซต์ ไดเรกทอรีเสมือน ไดเรกทอรี หรือระดับแฟ้ม

การเข้าถึงแบบไม่ระบุชื่อ impersonates บัญชีกำหนดค่าให้เป็นผู้ใช้ที่ไม่ระบุชื่อสำหรับการร้องขอ โดยค่าเริ่มต้น IIS มีบัญชีผู้ใช้คนเดียวที่ไม่ระบุชื่อที่เรียกว่า IUSR_ <machinename>ที่ impersonated ในการจัดการการร้องขอไม่ได้มีการพิสูจน์ตัว โดยค่าเริ่มต้น IIS 4.0 มีคุณลักษณะการจัดโครงแบบที่เรียกว่าการทำข้อมูลให้ "เปิดใช้งานอัตโนมัติรหัสผ่านตรง" ที่ใช้ sub-authority การรักษาความปลอดภัยที่จะสร้างโทเค็นการ Tokens that are created in this manner are network tokens which do "NOT" have access to other computers on the network. If you disable Automatic Password Synchronization, IIS creates the token in the same manner as the </machinename>Clear Textlogon mentioned earlier. Automatic Password Synchronization is only available for accounts that are located on the same computer as IIS. Therefore, if you change your anonymous account to a domain account, you cannot use Automatic Password Synchronization and you receive aClear Textlogon. The exception is if you install IIS on your Primary Domain Controller. In this case, the domain accounts are on the local computer. The anonymous account and the Automatic Password Synchronization option can be configured at the server, the site, the virtual directory, the directory, or the file level.

You must have the correct type of token as the first step in accessing a resource on the network. You must also impersonate an account that has access to the resource across the network. By default, the IUSR_<machinename> account that IIS creates for anonymous requests exists only on the local computer. Even if you disable Automatic Password Synchronization so that you can get an Interactive token that can access network resources, the IUSR_<machinename> account typically does not have access to most network resources because this is an account that is unrecognized on other computers. If you want to access network resources with anonymous requests, you must replace the default account with an account in a domain on your network that can be recognized by all computers. If you install IIS on a Domain Controller, the IUSR_<machinename> account is a domain account and must be recognized by other computers on the network without taking additional action. </machinename></machinename></machinename>


Problem avoidance

Following are ways to avoid problems when you access network resources from your IIS application:
  • Keep files on the local computer.
  • Some network communication methods do not require a security check. An example is using Windows sockets.
  • You can provide direct access to the network resources of the computer by configuring a virtual directory to be:
    "A share located on another computer."
    All access to the computer that shares the network resources is performed in the context of the person specified under theConnect As..กล่องโต้ตอบ This occurs no matter what kind of authentication is configured for the virtual directory. By using this option, all files on the network share are available from browsers that access the IIS computer.
  • Use basic authentication or anonymous authentication without Automatic Password Synchronization.

    By default, the impersonation that Internet Information Server does for basic authentication provides a token that can access network resources (unlike Windows NT Challenge/Response, which provides a token that cannot access network resources). For anonymous authentication, the token can only access a network resource if Automatic Password Synchronization is disabled. By default, Automatic Password Synchronization is enabled when Internet Information Server is first installed. In such a default configuration, the anonymous user token cannot access network resources.
    259353Must enter password manually after you toggle password sync
  • Configure the anonymous account as a domain account.

    This permits anonymous requests from potential access to resources across the network. To prevent all anonymous requests from having network access, you must only make the anonymous account a domain account on the virtual directories that specifically require access.
  • Configure the anonymous account with the same username and password on the computer that is sharing the network resources and then disable Automatic Password Synchronization.

    If you do this you must make sure that the passwords match exactly. This approach must only be used when the "Configure the anonymous account as a domain account" mentioned earlier is not an option for some reason.
  • NullSessionShares and NullSessionPipes can be used to allow access to a specific network share or to a named pipe when your request is handled with a network token.

    If you have a network token and you try to establish a connection to a network resource, the operating system tries to establish a connection as a non-authenticated connection (referred to as a "NULL Session"). This registry setting must be made on the computer that is sharing the network resource, not on the IIS computer. If you try to access a NullSessionShare or NullSessionPipe with a non-network token, typical Microsoft Windows authentication is used and access to the resource is based on the account user rights of the impersonated user.
  • You can potentially perform your own impersonation to create a Thread token that does have network access.

    กระบวนการLogonUserfunction and theImpersonateLoggedOnUserฟังก์ชันที่สามารถใช้เพื่อ impersonate บัญชีอื่น นี้ที่คุณต้องมีชื่อผู้ใช้ของข้อความที่ล้างและรหัสผ่านของบัญชีอื่นที่มีรหัสของคุณLogonUserนอกจากนี้ ต้องการให้บัญชีผู้ใช้ที่เรียกLogonUserมีสิทธิ์ "ที่ทำหน้าที่เป็นส่วนหนึ่งของระบบปฏิบัติการ" ใน'ตัวจัดการผู้ใช้' โดยค่าเริ่มต้น ส่วนใหญ่ผู้ IIS impersonates ในขณะที่โปรแกรมจัดการการร้องขอ HTTP ไม่มีขวาผู้ใช้นี้ อย่างไรก็ตาม "ในระหว่างดำเนินการโปรแกรมประยุกต์" มีหลายวิธีในการทำให้เกิดบริบทความปลอดภัยปัจจุบันของคุณการเปลี่ยนแปลง LocalSystem บัญชี ซึ่งทำให้เกิดการเรียกใช้ข้อมูลประจำตัวสำหรับผู้ดูแล "ดำเนินเป็นส่วนหนึ่งของระบบปฏิบัติการและส่วนประกอบ" สำหรับ ISAPI DLLs ที่เรียกใช้ในการประมวลผล วิธีที่ดีที่สุดเพื่อเปลี่ยนบริบทการรักษาความปลอดภัยที่มีสร้าง IIS บัญชี LocalSystem คือการ เรียกRevertToSelfฟังก์ชัน ถ้าคุณกำลังเรียกใช้โปรแกรมประยุกต์ของ IIS "ออกจากขั้นตอน" กลไกการนี้ไม่สามารถใช้งาน โดยค่าเริ่มต้นได้เนื่องจากกระบวนการกำลังทำงานภายใต้ IWAM_ <machinename>บัญชีและไม่บัญชี Local System โดยค่าเริ่มต้น การ IWAM_ <machinename>"ใช่" ได้ "ดำเนินเป็นส่วนหนึ่งของระบบปฏิบัติการและส่วนประกอบ" ในการจัดการข้อมูลประจำตัว</machinename></machinename>
  • Add the component that is called from the ASP page to a Microsoft Transaction Server (MTS) Server package or COM+ Server application, and then specify a specific user as the identity of the package.

    หมายเหตุ:The component runs in a separate .exe file that is outside of IIS.
  • With basic/clear text authentication, we recommend that you encrypt the data by using SSL because it is extremely easy to obtain credentials from a network trace.For more information about how to install SSL, click the following article number to view the article in the Microsoft Knowledge Base:
    228991วิธีการสร้าง และการติดตั้งใบรับรอง SSL ใน 4.0 Server ข้อมูลทางอินเทอร์เน็ต
หมายเหตุ:Do not forget that you can prevent network access for anonymous requests where password synchronization is disabled and requests are authenticated by using basic authentication (ยกเลิกเลือกข้อความlogons) if you set theLogonMethodmetabase property to "2" (indicating that a network logon is used to create the impersonation token). With this setting, the only way for requests to avoid the network token limitation is to connect to NullSessionShares or NullSessionPipes.

Do not use drive letters mapped to network shares. Not only are there only 26 potential driver letters to select from, but if you try to use a drive letter that is mapped in a different security context, problems can occur. Instead, you must always use Universal Naming Convention (UNC) names to access resources. The format must look similar to the following:
\\MyServer\filesharename\directoryname\filename
For more information about using UNC, click the following article number to view the article in the Microsoft Knowledge Base:
280383IIS Security recommendations when you use a UNC share
The information in this article pertains only to Internet Information Server 4.0. In Internet Information Server 5.0 (that is included with Windows 2000), there are significant changes to new authentication types and capabilities. Although most of the concepts in this article still apply to IIS 5.0, the details on the kinds of impersonation tokens that are generated with certain authentication schemes in this article apply strictly to IIS 4.0.

319067How to run applications not in the context of the system account
If you cannot determine what kind of logon is occurring on your IIS server to handle requests, you can turn on auditing for Logons and Logoffs. ทำตามขั้นตอนต่างๆ ต่อไปนี้::
  1. คลิกเริ่มการทำงานคลิกการตั้งค่าคลิกแผงควบคุมคลิกเครื่องมือการดูแลระบบแล้ว คลิกนโยบายการรักษาความปลอดภัยท้องถิ่น.
  2. After you open Local Security Policy, in the left Tree View pane, clickการตั้งค่าการรักษาความปลอดภัยคลิกนโยบายท้องถิ่นแล้ว คลิกAudit Policy.
  3. คลิกสองครั้งAudit Logon Eventแล้ว คลิกSuccess and Failure. Event Log entries are added under the Security log. You can determine the kind of logon by looking at the event details under the Logon Type:
2=Interactive
3=Network
4=Batch
5=Service

ข้อมูลอ้างอิง

For more information about network security, click the following article numbers to view the articles in the Microsoft Knowledge Base:
124184Service running as system account fails accessing network
180362Services and redirected drives
319067How to run applications not in the context of the system account
280383IIS Security recommendations when you use a UNC share
259353Must enter password manually after you toggle password sync

คุณสมบัติ

หมายเลขบทความ (Article ID): 207671 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Internet Information Server 3.0
Keywords: 
kbhowtomaster kbhttp kbmt KB207671 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:207671

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com