Làm th? nào đ? truy c?p t?p tin m?ng t? các ?ng d?ng IIS

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 207671 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Bài vi?t này cung c?p thông tin v? v?n đ? v?i truy c?p vào các t?p tin trên m?t máy tính khác ngoài Internet Information Server (IIS) máy ch? c?a b?n t? m?t ph?n m? r?ng Internet Server API (ISAPI), Active Server Pages (ASP) trang ho?c Common Gateway Interface (CGI) ?ng d?ng. Bài này li?t kê m?t s? v?n đ? có liên quan và m?t s? phương pháp có th? đ? th?c hi?n vi?c này.

M?c dù bài vi?t này đư?c vi?t ch? y?u trong b?i c?nh c?a vi?c truy c?p t?p tin trên m?ng chia s?, nh?ng khái ni?m tương t? áp d?ng cho các k?t n?i ?ng đ?t tên như t?t. Đư?c đ?t tên theo ?ng thư?ng đư?c s? d?ng cho các k?t n?i máy ch? SQL và c?ng có th? cho cu?c g?i th? t?c t? xa (RPC) và truy?n thông mô h?nh đ?i tư?ng thành ph?n (COM). Đ?c bi?t, n?u b?n k?t n?i t?i m?t máy ch? SQL qua các m?ng có ngh?a là c?u h?nh đ? s? d?ng Microsoft Windows NT b?o m?t tích h?p, b?n không th? k?t n?i v? các v?n đ? đư?c nêu trong bài vi?t này. RPC và COM c?ng có th? s? d?ng các cơ ch? giao ti?p khác mà có đ? án tương t? như m?ng xác th?c. Do đó, các khái ni?m trong bài vi?t này có th? áp d?ng cho nhi?u m?ng truy?n thông các cơ ch? mà có th? đư?c s? d?ng t? IIS ?ng d?ng c?a b?n.


Ki?u xác th?c và m?o danh

Khi IIS d?ch v? m?t yêu c?u HTTP, IIS th?c hi?n m?o danh v? v?y mà truy c?p ngu?n l?c đ? x? l? yêu c?u là gi?i h?n m?t cách thích h?p. Các b?i c?nh an ninh Impersonated d?a trên các lo?i xác th?c th?c hi?n theo yêu c?u. Năm lo?i khác nhau c?a xác th?c có s?n t? IIS 4.0 là:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive
				

Các lo?i m? thông báo

Có ho?c không đư?c phép truy nh?p tài nguyên m?ng là ph? thu?c vào các lo?i m?o danh m? thông báo theo đó yêu c?u đang đư?c x? l?.
  • M?ng th? "Không" đư?c phép truy nh?p tài nguyên m?ng. (M?ng th? đư?c đ?t tên như v?y b?i v? lo?i m? thông báo là theo truy?n th?ng t?o b?i m?t h? ph?c v? khi m?t ngư?i dùng xác th?c trên m?ng. Đ? cho phép các máy ch? s? d?ng m?t m? thông báo m?ng đ? ho?t đ?ng như m?t máy s? d?ng m?ng và truy c?p vào m?t máy ch? đư?c g?i là "phái đoàn" và đư?c coi là m?t t?t an ninh l?.)
  • Tương tác th? theo truy?n th?ng đư?c s? d?ng khi ch?ng th?c m?t ngư?i dùng c?c b? trên máy tính. Tương tác th? đư?c phép truy nh?p tài nguyên trên m?ng.
  • Lô th? đư?c thi?t k? đ? cung c?p m?t b?i c?nh b?o m?t theo đó các công vi?c th?c thi ch?y. Lô th? có truy c?p m?ng.
IIS có khái ni?m v? m?t Văn b?n r? ràng đăng nh?p. Văn b?n r? ràng đăng nh?p đư?c đ?t tên như v?y v? các th?c t? là IIS có quy?n truy c?p vào tên ngư?i dùng và m?t kh?u trong văn b?n r? ràng. B?n có th? ki?m soát cho dù m?t Văn b?n r? ràng đăng nh?p t?o ra m?t m? thông báo m?ng, m?t m? thông báo tương tác, ho?c m?t hàng lo?t th? b?ng cách thi?t l?p các LogonMethod b?t đ?ng s?n t?i các metabase. Theo m?c đ?nh, Văn b?n r? ràng Logons nh?n đư?c m?t m? thông báo tương tác và có th? truy c?p t?i tài nguyên m?ng. Các LogonMethod có th? đư?c c?u h?nh lúc h? ph?c v?, các trang web, các thư m?c ?o, thư m?c, ho?c m?c đ? t?p tin.

Chưa xác đ?nh ngư?i truy c?p impersonates tài kho?n đư?c c?u h?nh như là ngư?i dùng vô danh cho yêu c?u. Theo m?c đ?nh, IIS có m?t tài kho?n ngư?i dùng vô danh đư?c g?i là IUSR_<machinename> đó impersonated khi x? l? m?t yêu c?u không xác th?c. M?c đ?nh IIS 4.0 có m?t tính năng c?u h?nh đó g?i là "Kích ho?t tính năng t? đ?ng đ?ng b? m?t kh?u" s? d?ng m?t b?o m?t Sub-Authority đ? t?o ra m? thông báo. Th? đư?c t?o ra theo cách này m?ng th? đó "Không" có quy?n truy c?p vào các máy tính khác các m?ng. N?u b?n vô hi?u hoá t? đ?ng đ?ng b? hóa m?t kh?u, IIS t?o ra m? thông báo theo cách tương t? như các<b00></b00></machinename>Văn b?n r? ràng đăng nh?p đ? đ? c?p trư?c đó. T? đ?ng đ?ng b? hóa m?t kh?u là ch? có s?n cho các tài kho?n đư?c n?m trên cùng m?t máy tính như IIS. V? v?y, n?u b?n thay đ?i c?a b?n Chưa xác đ?nh ngư?i tài kho?n vào tài kho?n tên mi?n, b?n không th? s? d?ng T? đ?ng đ?ng b? hóa m?t kh?u và b?n nh?n đư?c m?t Văn b?n r? ràng đăng nh?p. Ngo?i l? là n?u b?n cài đ?t IIS trên b? đi?u khi?n tên mi?n chính c?a b?n. Trong trư?ng h?p này, các tài kho?n tên mi?n trên máy tính đ?a phương. Các vô danh tài kho?n và các tùy ch?n đ?ng b? hóa m?t kh?u t? đ?ng có th? c?u h?nh h? ph?c v?, các trang web, các thư m?c ?o, thư m?c, ho?c m?c đ? t?p tin.

B?n ph?i có lo?i m? thông báo, chính xác như là bư?c đ?u tiên trong truy c?p vào tài nguyên trên m?ng. B?n c?ng ph?i m?o danh trương m?c có quy?n truy c?p đ? các ngu?n tài nguyên trên m?ng. Theo m?c đ?nh, IUSR_<machinename> Tài kho?n IIS t?o cho yêu c?u chưa xác đ?nh ngư?i t?n t?i ch? trên máy tính đ?a phương. Th?m chí n?u b?n vô hi?u hoá t? đ?ng đ?ng b? hóa m?t kh?u do đó b?n có th? nh?n đư?c m?t m? thông báo tương tác có th? truy nh?p tài nguyên m?ng, IUSR_<machinename> Tài kho?n thư?ng không có quy?n truy c?p vào h?u h?t các m?ng tài nguyên b?i v? đây là m?t tài kho?n đó là không đư?c công nh?n trên các máy tính khác. N?u b?n mu?n truy nh?p tài nguyên m?ng v?i vô danh yêu c?u, b?n ph?i thay th? trương m?c m?c đ?nh v?i m?t tài kho?n trong m?t tên mi?n trên m?ng c?a b?n mà có th? đư?c công nh?n b?i t?t c? máy vi tính. N?u b?n cài đ?t IIS trên b? ki?m soát mi?n, IUSR_<machinename> Tài kho?n là m?t trương m?c vùng và ph?i đư?c công nh?n b?i các máy tính khác trên m?ng mà không c?n dùng b? sung hành đ?ng. </machinename></machinename></machinename>


V?n đ? tránh

Sau đây là cách đ? tránh nh?ng v?n đ? khi b?n truy nh?p tài nguyên m?ng t? các ?ng d?ng c?a b?n c?a IIS:
  • Gi? t?p trên máy tính đ?a phương.
  • M?t s? phương pháp giao ti?p m?ng không yêu c?u m?t ki?m tra an ninh. M?t ví d? b?ng cách s? d?ng Windows ? c?m.
  • B?n có th? cung c?p truy c?p tr?c ti?p t?i tài nguyên m?ng c?a máy tính b?ng c?u h?nh m?t thư m?c ?o là:
    "M?t ph?n n?m trên máy tính khác."
    T?t c? các truy c?p vào máy tính chia s? tài nguyên m?ng đư?c th?c hi?n trong b?i c?nh c?a nh?ng ngư?i đư?c ch? đ?nh theo các K?t n?i như.. h?p tho?i. Đi?u này x?y ra không có có v?n đ? g? lo?i xác th?c đư?c c?u h?nh cho các ?o thư m?c. B?ng cách s? d?ng tùy ch?n này, t?t c? các t?p trên c?p m?ng có s?n t? các tr?nh duy?t truy c?p máy tính IIS.
  • S? d?ng xác th?c cơ b?n ho?c vô danh xác th?c mà không c?n m?t kh?u t? đ?ng đ?ng b? hóa.

    Theo m?c đ?nh, m?o danh máy ch? thông tin Internet hi?n cho xác th?c cơ b?n cung c?p m?t m? thông báo r?ng có th? truy nh?p tài nguyên m?ng (không gi?ng như Windows NT Challenge/Response, mà cung c?p m?t m? thông báo không th? truy nh?p tài nguyên m?ng). Cho vô danh xác th?c, m? thông báo in ch? có th? truy nh?p tài nguyên m?ng n?u đ?ng b? hóa m?t kh?u t? đ?ng b? t?t. Theo m?c đ?nh, t? đ?ng đ?ng b? hóa m?t kh?u đư?c kích ho?t khi Internet thông tin máy ch? đ?u tiên đư?c cài đ?t. Trong đó m?t c?u h?nh m?c đ?nh, m? thông báo thành viên vô danh không th? truy nh?p tài nguyên m?ng.
    259353 Ph?i nh?p m?t kh?u b?ng tay sau khi b?n chuy?n đ?i m?t kh?u đ?ng b?
  • C?u h?nh các tài kho?n chưa xác đ?nh ngư?i như trương m?c vùng.

    Th?i gian này giúp yêu c?u vô danh t? ti?m năng truy c?p t?i tài nguyên trên kh?p các m?ng. Đ? ngăn ch?n t?t c? các yêu c?u chưa xác đ?nh ngư?i có quy?n truy c?p m?ng, b?n ph?i ch? làm cho các tài kho?n chưa xác đ?nh ngư?i m?t trương m?c vùng trên ?o thư m?c c? th? yêu c?u truy c?p.
  • C?u h?nh các tài kho?n chưa xác đ?nh ngư?i v?i cùng m?t tên ngư?i dùng và m?t kh?u trên máy tính chia s? tài nguyên m?ng và sau đó vô hi?u hoá t? đ?ng đ?ng b? hóa m?t kh?u.

    N?u b?n làm đi?u này, b?n ph?i ch?c ch?n r?ng m?t kh?u kh?p chính xác. Cách ti?p c?n này ph?i ch? là đư?c s? d?ng khi các "Configure các tài kho?n chưa xác đ?nh ngư?i như trương m?c vùng" đ? c?p trư?c đó là không m?t l?a ch?n cho m?t s? l? do.
  • NullSessionShares và NullSessionPipes có th? đư?c s? d?ng đ? cho phép truy c?p vào m?t c?p m?ng c? th? ho?c m?t ?ng tên khi yêu c?u c?a b?n đư?c x? l? v?i m?t m? thông báo m?ng.

    N?u b?n có m?t m? thông báo m?ng và b?n c? g?ng thi?t l?p m?t k?t n?i t?i tài nguyên m?ng, h? đi?u hành c? g?ng thi?t l?p m?t k?t n?i như là m?t k?t n?i không xác th?c (đư?c g?i là m?t "NULL phiên"). Thi?t đ?t đăng k? này ph?i đư?c th?c hi?n trên máy tính chia s? tài nguyên m?ng, không ph?i trên máy tính IIS. N?u b?n H?y th? truy c?p vào m?t NullSessionShare ho?c NullSessionPipe v?i m?t m?ng lư?i không m? thông báo, đi?n h?nh Microsoft Windows xác th?c đư?c s? d?ng và truy c?p vào các tài nguyên đư?c d?a trên các tài kho?n ngư?i dùng quy?n c?a ngư?i s? d?ng impersonated.
  • B?n có th? có kh? năng th?c hi?n c?a riêng b?n m?o danh đ? t?o ra m?t m? thông báo Thread có truy c?p m?ng.

    Các LogonUser ch?c năng và các ImpersonateLoggedOnUser ch?c năng có th? đư?c s? d?ng đ? m?o danh m?t khác nhau tài kho?n. Đi?u này c?n thi?t b?n có văn b?n r? ràng tên ngư?i dùng và m?t kh?u c?a m?t tài kho?n khác có s?n đ? m? c?a b?n. LogonUser c?ng yêu c?u đó tài kho?n mà các cu?c g?i LogonUser có các hành đ?ng"như là m?t ph?n c?a h? đi?u hành" đ?c quy?n trong qu?n l? ngư?i dùng. Theo m?c đ?nh, h?u h?t ngư?i s? d?ng IIS impersonates trong khi nó x? l? m?t yêu c?u HTTP không có ngư?i dùng này đúng. Tuy nhiên, cho "Trong quá tr?nh Applications" có m?t s? cách đ? gây ra c?a b?n b?i c?nh b?o m?t hi?n t?i đ? thay đ?i cho tài kho?n LocalSystem, mà không có "Ho?t đ?ng như m?t ph?n c?a h? đi?u hành" ?y nhi?m hành chính. Cho ISAPI DLLs mà ch?y trong quá tr?nh, cách t?t nh?t đ? thay đ?i b?i c?nh an ninh IIS đ? t?o cho tài kho?n LocalSystem là đ? g?i cácRevertToSelf ch?c năng. N?u b?n đang ch?y ?ng d?ng IIS c?a b?n "ra kh?i Quá tr?nh", cơ ch? này không ho?t đ?ng theo m?c đ?nh b?i v? quá tr?nh này ch?y theo IWAM_<machinename> Tài kho?n và không có h? th?ng đ?a phương tài kho?n. Theo m?c đ?nh, IWAM_<machinename> "" có "lu?t như là m?t ph?n c?a h? đi?u hành"hành chính ?y nhi?m.</machinename></machinename>
  • Thêm các thành ph?n đư?c g?i là t? trang ASP đ? m?t gói ph?n m?m máy ch? Microsoft giao d?ch máy ch? (MTS) ho?c COM + máy ch? ?ng d?ng, và sau đó ch? đ?nh m?t ngư?i s? d?ng c? th? như nh?n d?ng c?a các gói.

    Chú ý The component runs in a separate .exe file that is outside of IIS.
  • With basic/clear text authentication, we recommend that you encrypt the data by using SSL because it is extremely easy to obtain credentials from a network trace. For more information about how to install SSL, click the following article number to view the article in the Microsoft Knowledge Base:
    228991 How to create and install an SSL certificate in Internet Information Server 4.0
Note Do not forget that you can prevent network access for anonymous requests where password synchronization is disabled and requests are authenticated by using basic authentication (Clear Text logons) if you set the LogonMethod metabase property to "2" (indicating that a network logon is used to create the impersonation token). With this setting, the only way for requests to avoid the network token limitation is to connect to NullSessionShares or NullSessionPipes.

Do not use drive letters mapped to network shares. Not only are there only 26 potential driver letters to select from, but if you try to use a drive letter that is mapped in a different security context, problems can occur. Instead, you must always use Universal Naming Convention (UNC) names to access resources. The format must look similar to the following:
\\MyServer\filesharename\directoryname\filename
For more information about using UNC, click the following article number to view the article in the Microsoft Knowledge Base:
280383 IIS Security recommendations when you use a UNC share
The information in this article pertains only to Internet Information Server 4.0. In Internet Information Server 5.0 (that is included with Windows 2000), there are significant changes to new authentication types and capabilities. Although most of the concepts in this article still apply to IIS 5.0, the details on the kinds of impersonation tokens that are generated with certain authentication schemes in this article apply strictly to IIS 4.0.

319067 How to run applications not in the context of the system account
If you cannot determine what kind of logon is occurring on your IIS server to handle requests, you can turn on auditing for Logons and Logoffs. Follow these steps:
  1. Click Start, click Settings, click Control Panel, click Administrative Tools, and then click Local Security Policy.
  2. After you open Local Security Policy, in the left Tree View pane, click Security Settings, click Local Policies, and then click Audit Policy.
  3. Double-click Audit Logon Event and then click Success and Failure. Event Log entries are added under the Security log. You can determine the kind of logon by looking at the event details under the Logon Type:
2=Interactive
3=Network
4=Batch
5=Service

THAM KH?O

For more information about network security, click the following article numbers to view the articles in the Microsoft Knowledge Base:
124184 Service running as system account fails accessing network
180362 Services and redirected drives
319067 How to run applications not in the context of the system account
280383 IIS Security recommendations when you use a UNC share
259353 Must enter password manually after you toggle password sync

Thu?c tính

ID c?a bài: 207671 - L?n xem xét sau cùng: 20 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Internet Information Server 3.0
T? khóa: 
kbhowtomaster kbhttp kbmt KB207671 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:207671

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com