この資料では、インターネット インフォメーション サービス (IIS) 6.0 でサブ認証を構成する方法について手順を追って説明します。

以前のバージョンの IIS では、Web サイトの匿名認証を有効にすると、IIS に匿名アカウントのパスワード管理を許可するオプションがデフォルトで選択されます。このチェック ボックスがオンになっている場合、Web サイト管理者が IIS 管理コンソールで正しいパスワードを入力しなくても、匿名アカウントが機能します。この機能はサブ認証コンポーネント Iissuba.dll で提供されます。

このコンポーネントを使用するとセキュリティ上の危険性があるため、IIS 6.0 ではデフォルトでサブ認証は有効ではありません。以下の要件を満たすことにより、IIS 6.0 でサブ認証を使用して匿名アカウントのパスワードを管理することができます。

• 匿名アクセスを許可するアプリケーションで、ワーカー プロセスが LocalSystem として実行される必要があります。
  
  注 : サブ認証では、IIS の下で実行されているプロセスがパスワードなしで認証されるため、この条件を満たす必要があります。デフォルトでは、ワーカー プロセスの動作はすべてこのワーカー プロセスの ID アカウントのコンテキストで実行されます。ただし、クライアント要求が処理されるときには、要求を処理するスレッドで、要求の間クライアント (この場合、匿名アカウントまたは IUSR アカウント) に関連付けられているトークンが使用されます。これを偽装と呼びます。
  
  偽装ユーザーに対するアプリケーション プール ID の関係については、製品のドキュメントを参照してください。ドキュメントを参照するには、以下のマイクロソフト Web サイトにアクセスしてください。
  アプリケーション プール ID を構成する
  http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/ca_cfgwrkridentity.asp (http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/ca_cfgwrkridentity.asp)
  LocalSystem は強力な特権を持つアカウントです。サブ認証を有効にすると、匿名ユーザーによる Web サーバーの管理がはるかに容易になりますが、セキュリティ上の危険性について事前に検討する必要があります。
• サブ認証コンポーネント Iissuba.dll を登録する必要があります。
• AnonymousPasswordSync メタベース プロパティを有効にする必要があります (TRUE に設定します)。

注 : IIS 6.0 におけるサブ認証の詳細については、以下のマイクロソフト Web サイトを参照してください。 英語版のドキュメントでは "AnonymousPasswordSync メタベース プロパティ" が誤って "AnonymousPasswordSynch メタベース プロパティ" と記載されているため、注意してください。

IIS 6.0 でサブ認証を構成するには、この資料に記載した 3 つの方法から、使用している IIS インストールに合った方法を選択します。

新規インストール IIS 6.0 でサブ認証を構成する

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。

注 : メタベースを編集する前に、メタベースのバックアップを必ず作成してください。

以前のバージョンからのアップグレードではない IIS 6.0 インストールがワーカー プロセス分離モードで実行している場合、サブ認証を構成するには以下の手順を実行します。

1. Iissuba.dll を登録します。登録するには、コマンド プロンプトで次の行を入力します。systemroot はシステムのルート ディレクトリ (デフォルトのインストールでは C:\Windows) です。
   rundll32 systemroot\system32\iissuba.dll,RegisterIISSUBA
2. 匿名認証を使用するすべてのワーカー プロセスを LocalSystem の ID で実行します。
   
   注 : IIS 6.0 ではアプリケーションをアプリケーション プールにグループ化することができます。アプリケーションが割り当てられたアプリケーション プールに対して ID が構成されます。匿名認証を使用するアプリケーションを、2 つ以上のアプリケーション プールに割り当てる場合、以下の手順を各アプリケーション プールで繰り返す必要があります。アプリケーション プールに関する情報は製品のドキュメントに含まれています。ドキュメントを参照するには、以下のマイクロソフト Web サイトにアクセスしてください。
   インターネット インフォメーション サービス
   http://www.microsoft.com/japan/WindowsServer2003/iis/default.mspx (http://www.microsoft.com/japan/WindowsServer2003/iis/default.mspx)
   アプリケーション プールが LocalSystem の ID で実行されるように構成するには、以下の手順を実行します。
   1. インターネット インフォメーション サービス (IIS) マネージャ (ISM) で、ローカル コンピュータの [アプリケーション プール] を展開します。構成するアプリケーション プールを右クリックして [プロパティ] をクリックします。
   2. [識別] タブをクリックします。
   3. [定義済み] をクリックし、横に表示されているリスト ボックスの [Local System] をクリックします。
   4. [OK] をクリックします。
3. AnonymousPasswordSync メタベース プロパティを TRUE に設定します。
   1. コマンド プロンプトで、IIS AdminScripts フォルダに移動します。デフォルトでは、このフォルダは C:\Inetpub\AdminScripts にあります。
   2. 次のコマンドを入力し、Enter キーを押します。
      adsutil.vbs set W3svc/AnonymousPasswordSync true

IIS 5.0 の分離モードの IIS 6.0 でサブ認証を構成する

新規インストールまたはアップグレード版の IIS 6.0 を IIS 5.0 の分離モードで実行している場合、サブ認証を構成するには以下の手順を実行します。

1. Iissuba.dll を登録します。登録するには、コマンド プロンプトで次の行を入力します。systemroot はシステムのルート ディレクトリ (デフォルトのインストールでは C:\Windows) です。
   rundll32 systemroot\system32\iissuba.dll,RegisterIISSUBA
2. AnonymousPasswordSync メタベース プロパティを TRUE に設定します。
   1. コマンド プロンプトで、IIS AdminScripts フォルダに移動します。デフォルトでは、このフォルダは C:\Inetpub\AdminScripts にあります。
   2. 次のコマンドを入力し、Enter キーを押します。
      adsutil.vbs set W3svc/AnonymousPasswordSync true

ワーカー プロセス分離モードのアップグレード版 IIS 6.0 でサブ認証を構成する

アップグレード版の IIS 6.0 インストールがワーカー プロセス分離モードで実行している場合、サブ認証を構成するには以下の手順を実行します。

1. Iissuba.dll を登録します。登録するには、コマンド プロンプトで次の行を入力します。systemroot はシステムのルート ディレクトリ (デフォルトのインストールでは C:\Winnt) です。
   rundll32 systemroot\system32\iissuba.dll,RegisterIISSUBA
2. 匿名認証を使用するすべてのワーカー プロセスを LocalSystem の ID で実行します。
   
   注 : IIS 6.0 ではアプリケーションをアプリケーション プールにグループ化することができます。アプリケーションが割り当てられたアプリケーション プールに対して ID が構成されます。匿名認証を使用するアプリケーションを、2 つ以上のアプリケーション プールに割り当てる場合、以下の手順を各アプリケーション プールで繰り返す必要があります。アプリケーション プールに関する情報は製品のドキュメントに含まれています。ドキュメントを参照するには、以下のマイクロソフト Web サイトにアクセスしてください。
   インターネット インフォメーション サービス
   http://www.microsoft.com/japan/WindowsServer2003/iis/default.mspx (http://www.microsoft.com/japan/WindowsServer2003/iis/default.mspx)
   アプリケーション プールが LocalSystem の ID で実行されるように構成するには、以下の手順を実行します。
   1. インターネット インフォメーション サービス (IIS) マネージャ (ISM) で、[ローカル コンピュータ] を展開し、[アプリケーション プール] を展開します。構成するアプリケーション プールを右クリックして [プロパティ] をクリックします。
   2. [識別] タブをクリックします。
   3. [定義済み] をクリックし、横に表示されているリスト ボックスの [ローカル システム] をクリックします。
   4. [OK] をクリックします。
3. AnonymousPasswordSync メタベース プロパティを TRUE に設定します。
   1. コマンド プロンプトで、IIS AdminScripts フォルダに移動します。デフォルトでは、このフォルダは C:\Inetpub\AdminScripts にあります。
   2. 次のコマンドを入力し、Enter キーを押します。
      adsutil.vbs set W3svc/AnonymousPasswordSync true

サブ認証の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。