Cara mengkonfigurasi ASP.NET aplikasi untuk skenario delegasi

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 810572 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini selangkah demi selangkah menjelaskan cara mengkonfigurasi Internet Information Services (IIS) dan Active Directory yang diperlukan untuk delegasi ASP.NET aplikasi. Delegasi adalah langkah berikutnya setelah peniruan. Delegasi mendukung kemampuan Anda untuk mengakses sumber daya terpencil atas klien bukan untuk mengakses sumber daya lokal hanya. Artikel ini menjelaskan langkah-langkah yang harus Anda ambil untuk mendelegasikan ASP.Aplikasi NET-terhubung.


Persyaratan untuk delegasi

Delegasi mengandalkan terpadu Windows otentikasi untuk mengakses sumber daya. Tidak ada batasan pada jumlah komputer yang Anda dapat mendelegasikan account Anda - Anda harus benar mengkonfigurasi masing-masing. Terpadu Metode otentikasi Windows bekerja hanya jika ada dua kondisi berikut:
  • Anda mengatur jaringan Anda menggunakan otentikasi Kerberos protokol yang memerlukan Active Directory.
  • Anda mengatur komputer dan account pada jaringan Anda sebagai dipercaya untuk delegasi.
Jika kondisi ini tidak benar, Anda tidak dapat menggunakan terintegrasi Windows otentikasi untuk mengakses data pada sumber daya yang jauh karena terintegrasi Windows otentikasi hanya memberikan Anda akses ke IIS server dan tidak untuk sumber-sumber tambahan yang dikonfigurasi untuk Windows otentikasi yang IIS server remote mengakses.

Otentikasi Kerberos mengotentikasi server dan klien, sedangkan Windows NT tantangan/Response (NTLM) mengotentikasi hanya klien. Sistem operasi yang lebih lama dari Windows 2000 tidak mendukung otentikasi Kerberos. Kerberos mengharuskan Anda menggunakan IIS 5.0 atau versi yang lebih baru. Oleh karena itu, Anda harus menjalankan Windows 2000 atau sistem operasi yang lebih baru pada semua komputer di mana Anda menggunakan Kerberos delegasi. Selain itu, Anda harus meletakkan semua komputer di forest Active Directory yang sama. Hanya Microsoft Internet Explorer 5.0 dan versi yang lebih baru mendukung Kerberos. Untuk informasi lebih lanjut, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
217098Dasar overview of protokol otentikasi Kerberos pengguna di Windows 2000


Mengkonfigurasi Internet Explorer untuk delegasi

Ketika Anda menggunakan Internet Explorer 5.0 atau versi yang lebih baru, Anda dapat mengkonfigurasi Internet Explorer untuk ASP.NET - delegasi IIS. Untuk melakukannya, ikuti langkah berikut:
  1. Jalankan Internet Explorer. Pada bilah menu, klikAlat, lalu klik Internet Pilihan.
  2. Klik Lanjutan tab, dan kemudian klik untuk Pilih Mengaktifkan Windows otentikasi Terpadu (memerlukan restart) kotak centang.

    Pengaturan ini memungkinkan Internet Explorer untuk menanggapi tantangan negosiasi dan kemudian untuk melakukan otentikasi Kerberos. Karena fitur ini memerlukan Windows 2000 atau versi yang lebih baru, ketika Internet Explorer tidak berjalan pada Windows 2000 atau kemudian versi sistem operasi, maka Internet Explorer tidak menanggapi tantangan negosiasi. Secara default, Internet Explorer menggunakan otentikasi NTLM, bahkan jika Anda mengklik untuk memilih Aktifkan terintegrasi Windows otentikasi (memerlukan restart) Periksa kotak.

    Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius mungkin muncul saat Anda memodifikasi registri salah. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri apabila ada masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    322756 Cara membuat cadangan dan memulihkan registri pada Windows

  3. Catatan Pada komputer yang menjalankan Microsoft Windows 2000 dan versi yang lebih baru, administrator dapat menetapkan nilai EnableNegotiate REG_DWORD masuk ke 1 di kunci registri berikut untuk mengaktifkan terpadu Windows otentikasi:
    Pengaturan HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
    .
  4. Ada beberapa masalah di mana Kerberos mungkin gagal pada Internet Explorer klien.Untuk informasi lebih lanjut tentang isu-isu yang berkaitan dengan otentikasi Kerberos, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    321728Internet Explorer tidak mendukung otentikasi Kerberos dengan server proxy
    325608 Otentikasi delegasi melalui Kerberos tidak bekerja di seimbang beban arsitektur
    248350 Otentikasi Kerberos gagal setelah meng-upgrade dari IIS 4.0 untuk IIS 5.0
    264921 Bagaimana IIS mengotentikasi browser klien

Mengkonfigurasi IIS untuk delegasi

Untuk mengaktifkan terpadu Windows otentikasi dan peniruan untuk ASP.Aplikasi NET-terhubung, Anda harus mengkonfigurasi Internet Information Services (IIS). Untuk mengkonfigurasi Windows otentikasi pada IIS, ikuti langkah berikut:
  1. Klik Mulai, klikMenjalankan, jenisinetmgr, lalu klik Oke.
  2. Memperluas komputer lokal, dan kemudian memperluasWebsite.
  3. Klik kanan Situs Web standar, dan kemudian Klik Properti.
  4. Klik Direktori keamanan tab, dan kemudian Klik Mengedit di bawah Akses anonim dan otentikasi kontrol.
  5. Klik untuk memilih Windows terpadu otentikasi Periksa kotak, dan kemudian klik untuk mengosongkan Anonim akses, Digest otentikasi untuk Windows domain Server dan Otentikasi dasar Periksa kotak.

    Catatan Jika anonim otentikasi diaktifkan, IIS akan selalu mencoba untuk melakukan otentikasi menggunakan pertama, bahkan jika metode lainnya diaktifkan.

    Jika anonim otentikasi, terpadu Windows otentikasi dan otentikasi dasar semua dipilih, terpadu Windows otentikasi lebih diprioritaskan otentikasi dasar, setelah otentikasi anonim.

Mengkonfigurasi ASP.NET untuk delegasi

  1. Membuka Web.config file dalam editor teks seperti Notepad. Web.config file terletak di aplikasi Web folder.
  2. Dalam Web.config file, mencari informasi berikut pada <configuration>bagian:</configuration>
    <allow users="*" /> 
    <deny users="?" />
  3. Di bawah bagian <system.web>, pastikan elemen otentikasi diatur ke<b00> </b00> </system.web>Windows sebagai berikut:
    <authentication mode="Windows" />
  4. Di bawah bagian <system.web>, menambahkan berikut elemen untuk peniruan:</system.web>
    <identity impersonate="true" />
  5. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
    306158Bagaimana menerapkan peniruan di ASP.NET aplikasi
    317012 Proses dan permintaan identitas di ASP.NET
    315736 Bagaimana untuk mengamankan ASP.NET aplikasi dengan menggunakan Windows keamanan

Mengkonfigurasi Active Directory untuk delegasi

Delegasi harus diaktifkan pada semua komputer dengan delegasi mandat. Hal ini dapat dikonfigurasi dalam alat Active Directory.

Untuk informasi lebih lanjut, kunjungi Web site Microsoft berikut:
Memungkinkan komputer dapat dipercaya untuk delegasi
http://technet2.Microsoft.com/windowsserver/en/Library/b207ee9c-a055-43f7-b9be-20599b694a311033.mspx
Account pengguna dan komputer
http://technet2.Microsoft.com/windowsserver/en/Library/91a98c38-38c5-49dc-83bf-e69d8e1dbbfa1033.mspx
The inti IIS proses, InetInfo.exe, adalah layanan yang berjalan di bawah LocalSystem rekening, dan proses yang dapat melakukan hal berikut:
  • Mengambil permintaan klien
  • Impersonates pengguna
  • Melakukan tugas-tugas sesuai
  • Beralih ke identitas proses. Ini adalah LocalSystem
Jika Anda menjalankan InetInfo.exe di bawah account yang berbeda dari LocalSystem, Anda harus memastikan bahwa account diperbolehkan untuk bertindak sebagai delegasi. Dalam kasus ini, tidak mengkonfigurasi komputer untuk delegasi.

Mengatasi masalah

  1. Jika Web server nama yang Anda gunakan dalam URL untuk memanggil ASP.Halaman bersih bukan nama NetBIOS komputer IIS, Otentikasi Integrated mungkin gagal dengan kesalahan 401.3. Untuk mengatasi masalah ini, mendaftarkan nama layanan utama baru untuk komputer utilitas SetSPN.exe.Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
    294382Otentikasi mungkin gagal dengan "401.3" Error jika situs Web "Host Header" berbeda dari nama NetBIOS server
  2. Kerberos tidak bekerja dalam arsitektur seimbang beban dan IIS tetes kembali untuk otentikasi NTLM. Karena Anda tidak dapat menggunakan NTLM untuk delegasi, setiap aplikasi atau layanan yang memerlukan delegasi tidak bekerja.Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
    325608Otentikasi delegasi melalui Kerberos tidak bekerja di seimbang beban arsitektur
  3. Untuk Kerberos untuk bekerja dengan benar, Anda harus menggunakan sepenuhnya nama domain berkualifikasi (FQDN) untuk semua komunikasi.
  4. Ketika Anda menggunakan Internet Explorer pada Windows 2000 klien dan kemudian Anda menemukan situs Web di mana nama header host berbeda dari Nama NetBIOS komputer, Otentikasi Integrated mungkin gagal dengan kesalahan 401.3. Catatan bahwa Internet Explorer klien yang menggunakan Windows NT 4 atau Windows 98 atau Windows 95 tidak akan gagal. Juga, skema otentikasi lain akan bekerja.
  5. Jika Web server menggunakan fully qualified domain name, Anda harus menambahkan situs ditambahkan ke daftar situs intranet di Internet Explorer. Untuk memverifikasi bahwa Web server menggunakan fully qualified domain name, ikuti langkah berikut:
    1. Jalankan Internet Explorer.
    2. Pada Alat menu, klik Opsi Internet, lalu klik Keamanantab.
    3. Klik untuk memilih Intranet lokal. Klik Situs.
    4. Klik Muka, kemudian ketik Web alamat di Menambahkan situs ini ke zona kotak dialog. Klik Tambahkan, lalu klik Oke.
  6. Jika Internet Explorer klien diatur untuk menggunakan proxy server, Anda harus mengklik untuk memilih Bypass Proxy Server for local alamat kotak centang. Untuk memverifikasi bahwa klien Internet Explorer ini ditetapkan untuk menggunakan proxy server, ikuti langkah berikut:
    1. Jalankan Internet Explorer.
    2. Pada Alat menu, klik Opsi Internet, lalu klik Koneksi tab.
    3. Klik LAN Pengaturan. Di bawah Proxy server, pastikan Bypass proxy server for alamat lokalkotak centang dicentang.
  7. Jika Anda ingin mengakses Server SQL dari Anda ASP.Aplikasi NET-terhubung, Anda harus menggunakan TCP/IP. Named Pipe tidak mendukung Kerberos delegasi. Bernama pipa penggunaan NTLM saja. Untuk melakukannya, tambahkan berikut atribut untuk rangkaian sambungan:
    "Network Library =dbmssocn"
    Jika Anda tidak secara eksplisit menetapkan perpustakaan jaringan, NTLM mengambil pertama perpustakaan setup di utilitas konfigurasi klien (Cliconfg.exe). Default ini berubah dari named Pipe TCP/IP pada Microsoft Data akses komponen (MDAC) 2.6.
    Untuk informasi lebih lanjut, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    315159BUG: Named Pipe tidak bekerja ketika pekerja proses berjalan di bawah ASPNET account
    247931 Metode otentikasi untuk koneksi ke SQL Server dalam Active Server Pages

REFERENSI

Untuk informasi lebih lanjut tentang bagaimana untuk merancang lebih aman berbasis Web aplikasi dan delegasi skenario, kunjungi berikut Microsoft Developer Situs Web Network (MSDN):
http://msdn2.Microsoft.com/en-us/library/aa302415.aspx
Untuk informasi lebih lanjut tentang bagaimana untuk merancang aman berbasis Web aplikasi, lihat berikut:
Merancang aman aplikasi berbasis Web "
Microsoft Tekan
Michael Howard, Marc Levy, dan Richard Waymire
ISBN 0-7356-0995-0

Properti

ID Artikel: 810572 - Kajian Terakhir: 03 Oktober 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 6.0
Kata kunci: 
kbauthentication kbwebforms kbdomain kbclient kbconfig kbwebserver kbhowtomaster kbhowto kbmt KB810572 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:810572

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com