IIS uygulamalardan ağ dosyalara nasıl kullanılır

Makale çevirileri Makale çevirileri
Makale numarası: 207671 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu makalede, bir ınternet Server API (ISAPI) uzantısı, Active Server Pages (ASP) sayfası veya ortak ağ geçidi arabirimi (CGI) uygulama dosyalarını bir bilgisayarda ınternet ınformation Server (IIS) sunucunuzun dışında erişme ile ilgili sorunlar hakkında bilgi sağlar. Bu makalede, söz konusu sorunlardan bazıları ve bu işi yapmak için olası bazı yöntemler listelenmektedir.

Bu makalede ağ paylaşımlarındaki dosyalara erişme, içeriği öncelikle yazılır, ancak aynı kavramları adlandırılmış yöneltme bağlantıları için de geçerlidir. Adlandırılmış yöneltmeler, SQL Server bağlantıları için ve ayrıca uzaktan yordam çağrısı (RPC) ve Bileşen Nesne Modeli (COM) iletişimi için sık kullanılır. Özellikle, bir SQL Server için Microsoft Windows NT tümleşik güvenliği kullanmak için yapılandırılmış ağ üzerinden bağlanıyorsanız, bu makalede anlatılan sorunları nedeniyle bağlantı kuramıyor. RPC ve COM, benzer ağ kimlik doğrulama düzeni olan diğer iletişim düzenekler de kullanabilirsiniz. Bu nedenle, bu makaledeki kavramları çeşitli IIS uygulamalarınızdan kullanılan ağ iletişim mekanizmaları uygulayabilirsiniz.


Kimlik doğrulaması ve kimliğe bürünme türü

HTTP isteğinden IIS Hizmetleri, IIS, isteği işlemek için gereken kaynaklara erişimi gerektiği gibi sınırlı olacak biçimde kimliğe bürünme gerçekleştirir. Kimliğine bürünülen güvenlik bağlamını istek için gerçekleştirilen kimlik doğrulama türünü temel alır. IIS 4. 0'dan beş farklı türleri, kimlik doğrulama kullanılabilir:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive
				

Belirteç türü

Ağ kaynaklarına erişimi olup olmadığını izin verilen kimliğe bürünme belirteci isteği, işlenmekte olan tür üzerinde bağlıdır.
  • Ağ bağlantı simgeleri ağ kaynaklarına erişmek için izin verilen "NOT". (Ağ üzerinde bir kullanıcı tarafından doğrulandığında bu tür bir belirteç geleneksel bir sunucu tarafından oluşturulan çünkü ağ simgeleri bunu adlandırılır. Sunucunun bir ağı kullanmak izin vermek için bir ağ istemcisi gibi Davranma ve başka bir sunucuya erişmek için bir belirteç "temsilci" adı verilir ve olası güvenlik delik kabul edilir.)
  • Etkileşimli simgeleri Geleneksel olarak, bilgisayardaki bir yerel kullanıcı kimlik doğrulaması yapılırken kullanılır. Etkileşimli simgeleri, ağ üzerinden kaynaklara erişmelerine izin verilmez.
  • Toplu işlem simgeleri, toplu işlemleri altında çalışacak olan bir güvenlik bağlamını sağlamak için tasarlanmıştır. Toplu işlem simgeleri, ağ erişimi vardır.
IIS Düz metin olan bir oturum açma kavramı vardır. Temizleyin metin oturum açma, IIS kullanıcı adı ve parola düz metin olarak erişebileceği gerçeğini nedeniyle bunu adı verilir. Düz metin olan bir oturum açma ağ belirteç, etkileşimli bir simge veya bir toplu işlem belirteci metatabanında LogonMethod</a0> özelliği ayarlanarak oluşturup oluşturmayacağını denetleyebilirsiniz. Düz metin oturum açma, varsayılan olarak, etkileşimli bir belirteç almak ve ağ kaynaklarına erişimi vardır. LogonMethod, sunucu, site, sanal dizini, dizini veya dosyası düzeyinde yapılandırılabilir.

Anonim erişim için istek anonim kullanıcı olarak yapılandırılmış bir hesap kimliğine bürünür. Varsayılan olarak, IIS, doğrulanmamış bir isteği işlerken özellikleri <machinename>ıusr_ adlı tek bir anonim kullanıcı hesabı vardır. Varsayılan olarak, IIS 4.0 "Otomatik parola simge oluşturmak için bir güvenlik sub-authority kullanan eşitlemeyi etkinleştir" olarak adlandırılan, yapılandırılabilir bir özelliği vardır. Bu şekilde oluşturulan simgeleri Ağ simgeleri, bir diğer bilgisayar ağdaki erişiminiz "DEĞIL" dir. Otomatik parola eşitlemeyi devre dışı bırakırsanız, IIS aynı şekilde belirteci oluştururDaha önce bahsedilen Şifresiz metin oturum açma. Otomatik parola eşitlemesi, IIS ile aynı bilgisayarda bulunan hesapların yalnızca kullanılabilir. Bu nedenle, anonim hesap için bir etki alanı hesabını değiştirirseniz, otomatik parola eşitlemesi kullanamazsınız ve Düz metin olan bir oturum açma alırsınız. Birincil etki alanı denetleyicinizi ııS'YI yükleyin, dışındadır. Bu durumda, etki alanı hesaplarını yerel bilgisayardaki ' dir. Anonim hesap ve otomatik parola eşitleme seçeneğini, sunucu, site, sanal dizini, dizini veya dosyası düzeyinde yapılandırılabilir.

Ağ üzerinde bir kaynağa erişen ilk adımı olarak token doğru türde olması gerekir. Ayrıca, ağ üzerinden kaynağa erişim olan bir hesap özelliklerini gerekir. Varsayılan olarak, ıusr_ <machinename>yalnızca yerel bilgisayarda IIS anonim istekler için oluşturduğu hesabı bulunmaktadır. Böylece bir etkileşimli simge alabilirsiniz, otomatik parola eşitlemeyi devre dışı olsa bile, ağ kaynaklarına, ıusr_ <machinename>erişebilir bu tanınmayan bir hesabın ağınızdaki diğer bilgisayarlarda olduğu hesap genellikle çoğu ağ kaynaklarına erişimi yok. Anonim istekleri ile ağ kaynaklarına erişmek isterseniz, varsayılan hesap etki alanı hesabı ağınızdaki tüm bilgisayarlar tarafından tanınacak şekilde değiştirmeniz gerekir. Bir etki alanı denetleyicisinde <machinename>ıusr_ ııS'YI yüklerseniz, hesabın bir etki alanı hesabı olmasını ve diğer bilgisayarlar tarafından ağ üzerindeki başka bir işlem yapmadan tanınmanız gerekir.


Sorun kaçınma

IIS uygulamanızın ağ kaynaklarına erişirken sorun çıkmaması için yolları aşağıda verilmiştir:
  • Yerel bilgisayardaki dosyaları tutun.
  • Bazı ağ iletişim yöntemleri, bir güvenlik denetimi gerektirmez. Örneğin, Windows sockets kullanıyor.
  • Bir sanal dizini yapılandırarak, bilgisayarın ağ kaynaklarına doğrudan erişim sağlayabilir:
    "Başka bir bilgisayara konumlandırılan BIR paylaşım."
    Ağ kaynakları paylaşan bir bilgisayar için tüm erişim Farklı bağlan. iletişim kutusunda belirtilen kişi bağlamında gerçekleştirilir. Bu sanal dizin için ne tür bir kimlik doğrulama yapılandırılmış olsun gerçekleşir. Bu seçeneği kullanarak, ağ paylaşımındaki tüm dosyalar IIS bilgisayarına tarayıcılarından kullanılabilir.
  • Temel kimlik doğrulaması veya otomatik parola eşitlemesi olmadan anonim kimlik doğrulaması'nı kullanın.

    Varsayılan olarak, ınternet ınformation Server için temel kimlik doğrulaması yapan kimliğe bürünme (farklı olarak Windows NT Challenge/ağ kaynaklarına erişemiyorsunuz bir belirteç sağlayan yanıt,) ağ kaynaklarına erişebileceği bir belirteç sağlar. Otomatik parola eşitlemeyi devre dışı bırakıldıysa anonim kimlik doğrulaması için belirteci yalnızca bir ağ kaynağına erişebilir. Internet ınformation Server yüklendiğinde, varsayılan olarak, otomatik parola eşitlemesi etkinleştirilir. Bu tür bir Varsayılan yapılandırmada, anonim kullanıcı simgesi, ağ kaynaklarına erişemiyorsunuz.
    259353Parola eşitleme geçiş sonra parolasını el ile girmeniz gerekir
  • Anonim hesap için bir etki alanı hesabı olarak yapılandırın.

    Bu anonim isteklere olası erişiminden kaynaklara ağ üzerinden verir. Tüm anonim istekleri, ağ erişim sağlamasını önlemek için <a0></a0>, yalnızca özel olarak erişim gerektiren sanal dizinleri bir etki alanı hesabı anonim hesap yapmanız gerekir.
  • Anonim hesabın kullanıcı adı ve parola, ağ kaynakları paylaştıran bilgisayarda yapılandırın ve daha sonra otomatik parola eşitlemeyi devre dışı bırakın.

    Bu parolaları tam olarak eşleştiğinden emin olmanız gerekir. Bu yaklaşım, "yapılandırma anonim hesabın bir etki alanı hesabı olarak" belirtilen önceki değil, yalnızca kullanılmalıdır herhangi bir nedenle bir seçenek.
  • NullSessionShares ve NullSessionPipes isteğiniz, bir ağ belirteciyle işlenir, adlandırılmış yöneltme veya belirli bir ağ paylaşımına erişim sağlamak için kullanılır.

    Bir ağ simgesi varsa ve bir ağ kaynağına bir bağlantı kurmaya çalışırsanız, işletim sistemi doğrulanmamış bağlantı ("NULL oturum" anılacaktır) bağlantısı kurmaya çalışır. Bu kayıt defteri ayarı, bilgisayarda IIS bilgisayarda <a1>Ağ</a1> kaynak paylaşımı yapılması gerekir. Bir ağ içinde olmayan belirteciyle NullSessionShare ya da NullSessionPipe erişmeye çalışırsa, tipik Microsoft Windows kimlik doğrulaması kullanılır ve bu kaynağa erişim, Kimliğine bürünülen kullanıcı hesabının kullanıcı haklarını dayanır.
  • Ağ erişimi olan bir iş parçacığı simgesi oluşturmak için kendi kimliğe bürünme olası gerçekleştirebilirsiniz.

    LogonUser işlevi ve ımpersonateloggedonuser işlevi, farklı bir hesap kimliğine bürünmek için kullanılabilir. Bu, kodunuz için düz metin kullanıcı adı ve başka bir hesabın parolası olmasını gerektirir. LogonUser, LogonUser çağıran hesabın, Kullanıcı Yöneticisi'nde "işletim sisteminin bir parçası çalış" ayrıcalığına sahip de gerektirir. Varsayılan olarak, bir HTTP isteğini işleme sırasında IIS kimliğine bürünür çoğu kullanıcılar, bu kullanıcı hakkına sahip değilsiniz. Ancak, "Gelen işlem uygulamalar için" bir "İşletim sisteminin bir parçası olarak çalışma" yönetici kimlik bilgilerine sahip LocalSystem hesabını değiştirmek geçerli güvenlik içeriğiniz neden için çeşitli yöntemler vardır. Işlem içi olarak çalışan ISAPI dll'nı için IIS oluşturulan güvenlik bağlamı LocalSystem hesabına değiştirmek için en iyi RevertToSelf işlevini çağırmak üzere yoludur. "Işlem dışı" IIS uygulama çalıştırıyorsanız, işlemi <machinename>ıwam_ altında çalıştığından Bu mekanizma varsayılan olarak çalışmıyor hesap ve yerel sistem hesabı. Varsayılan olarak, ıwam_ <machinename>"işletim sisteminin bir parçası çalış" yönetici kimlik bilgileri yoktur "NOT".
  • ASP sayfasından adlı bir Microsoft Transaction Server (MTS) Server paketi veya COM + sunucu uygulaması için bileşen ekleme ve belirli bir kullanıcı paketi kimlik olarak belirtin.

    Not Bileşen, ııs'nin dışında bir ayrı bir .exe dosyası içinde çalışır.
  • Temel/düz metin kimlik doğrulaması ile bir ağ izlemesi kimlik bilgileri elde oldukça kolay olduğundan, SSL kullanarak verileri şifreleyen öneririz. SSL yükleme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    228991Nasıl oluşturulacağı ve bir SSL sertifikası ınternet ınformation Server 4.0 yükleyin.
Not Parola eşitlemesi devre dışıdır ve istekleri "2" (ağ oturumu kimliğe bürünme simgesi oluşturmak için kullanıldığını gösteren) LogonMethod metatabanı özelliğini ayarlarsanız, temel (Düz metin oturum açma) kimlik doğrulaması kullanarak kimlik doğrulamasından geçerler anonim istekler için ağ erişimini engelleyebilir unut değil. Bu ayar, tek ağ token sınırlama önlemek istekleri NullSessionShares veya NullSessionPipes yoludur.

Ağ paylaşımlarına eşlenen sürücü adlarını kullanın. Yalnızca yalnızca 26 olası sürücü harfi seçin vardır, ancak farklı bağlamında eşlenmiş bir sürücü harfini kullanmaya çalışırsanız, sorunları ortaya çıkabilir. Bunun yerine, Evrensel Adlandırma Kuralı (UNC) adları kaynaklara erişmek için her zaman kullanmalısınız. Biçimi aşağıdakine benzer olmalıdır:
\\MyServer\filesharename\directoryname\filename
UNC kullanma hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
280383Bir UNC paylaşımına kullandığınızda, IIS güvenlik önerileri
Bu makaledeki bilgiler, yalnızca ınternet ınformation Server 4.0 ilgilidir. Internet ınformation Server (olan Windows 2000 ile birlikte) 5.0, yeni bir kimlik doğrulama türleri ve özellikleri önemli değişiklikler vardır. Bu makaledeki kavramları çoğu IIS 5.0 için hala geçerli olanlar, ancak bu makalede, belirli kimlik doğrulama düzeni ile oluşturulan kimliğe bürünme belirteci tür ayrıntıları, kesinlikle IIS 4. 0'a uygulanır.

319067Sistem hesabının bağlamında değil uygulamaları çalıştırma
Ne tür bir oturum açma istekleri işlemek üzere IIS sunucunuzda oluşup belirlenemiyor, oturumlar ve Logoffs denetimini kapatabilirsiniz. Şu adımları izleyin:
  1. Başlat ' ı tıklatın, Ayarlar ' ı tıklatın, Denetim Masası ' nı tıklatın, Yönetimsel Araçlar ' ı tıklatın ve sonra Yerel güvenlik ilkesi ' ni tıklatın.
  2. Sol ağaç görünümü bölmesinde yerel güvenlik ilkesi, açtıktan sonra Güvenlik ayarları ' nı tıklatın, Yerel ilkeleri ' ni tıklatın ve Denetim ilkesi</a1>'ı tıklatın.
  3. Denetim oturum açma olayı çift tıklatın ve sonra Başarı ve başarısızlık'ı tıklatın. Olay günlüğü girdileri güvenlik günlüğüne altında eklenir. Tür bir oturum açma, oturum açma türü altında Olay Ayrıntıları bakarak belirleyebilirsiniz:
2 Etkileşimli =
3 Ağ =
4 Toplu =
5 = Hizmet

Referanslar

Ağ güvenliği hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
124184Sistem hesabının erişimi ağ başarısız olarak çalışan hizmet.
180362Hizmetler ve yeniden yönlendirilmiş sürücü
319067Sistem hesabının bağlamında değil uygulamaları çalıştırma
280383Bir UNC paylaşımına kullandığınızda, IIS güvenlik önerileri
259353Parola eşitleme geçiş sonra parolasını el ile girmeniz gerekir

Özellikler

Makale numarası: 207671 - Last Review: 3 Temmuz 2008 Perşembe - Gözden geçirme: 6.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Internet Information Server 3.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Server Application Programming Interface 4.0
  • Microsoft Internet Information Services 5.0
Anahtar Kelimeler: 
kbmt kbhowtomaster kbhttp KB207671 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:207671

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com