ASP.NET uygulaması temsilci atama senaryosu için nasıl yapılandırılır

Makale çevirileri Makale çevirileri
Makale numarası: 810572 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

™zet

Bu adım adım makalede, ASP.NET uygulamaları için temsilci atama amacıyla Internet Information Services (IIS) ve Active Directory'nin nasıl yapılandırılacağı anlatılmaktadır. Temsilci atama, kimliğe bürünmeden sonraki adımdır. Temsilci atama, istemci adına yalnızca yerel kaynaklara erişmek yerine uzak kaynaklara da erişebilmenizi sağlar. Bu makalede, ASP.NET bağlantılı bir uygulamaya temsilci atamak için uygulamanız gereken adımlar anlatılmaktadır.


Temsilci Atama Gereksinimleri

Temsilci atama, kaynaklara erişmek için Tümleşik Windows kimlik doğrulaması kullanır. Hesabınıza temsilci atayabileceğiniz bilgisayar sayısında bir sınırlama yoktur; her birini doğru biçimde yapılandırmalısınız. Tümleşik Windows kimlik doğrulaması, yalnızca aşağıdaki iki koşul geçerli olduğunda çalışır:
  • Ağınızı, Active Directory gerektiren Kerberos kimlik doğrulaması protokolünü kullanacak biçimde yapılandırmalısınız.
  • Ağınızdaki bilgisayar ve hesapları temsilci atama için güvenilir olarak ayarlamalısınız.
Bu koşullar geçerli olmadığında, Tümleşik Windows kimlik doğrulaması kullanarak uzak kaynaktaki verilere erişemezsiniz; çünkü Tümleşik Windows kimlik doğrulaması yalnızca IIS sunucusuna erişmenize izin verir ve IIS sunucunun uzaktan eriştiği Windows kimlik doğrulamaları için yapılandırılmış ek kaynaklara erişmenize izin vermez.

Kerberos kimlik doğrulaması, sunucu ve istemcide kimlik doğrulaması yaparken, Windows NT Sınama/Yanıt (NTLM) yalnızca istemcide kimlik doğrulaması yapar. Windows 2000 öncesindeki işletim sistemleri Kerberos kimlik doğrulamasını desteklemez. Kerberos için IIS 5.0 veya sonraki bir sürümünü kullanmanız gerekir. Bu nedenle, Kerberos temsilcisi kullandığınız tüm bilgisayarlarda Windows 2000 veya daha yeni bir işletim sistemi sürümünü kullanmalısınız. Ayrıca, tüm bilgisayarları aynı Active Directory ormanına yerleştirmelisiniz. Yalnızca Microsoft Internet Explorer 5.0 ve sonraki sürümleri Kerberos'u destekler. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
217098 Windows 2000'de Kerberos kullanıcı kimlik doğrulaması protokolüne genel bakış (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)


Internet Explorer'ı Temsilci Atama İçin Yapılandırma

Internet Explorer 5.0 veya sonraki sürümlerini kullandığınızda, Internet Explorer'ı bir ASP.NET - IIS temsilcisi için yapılandırabilirsiniz. Bunu yapmak için şu adımları izleyin:
  1. Internet Explorer'ı başlatın. Menü çubuğunda, Araçlar'ı ve sonra Internet Seçenekleri'ni tıklatın.
  2. Gelişmiş sekmesini tıklatın ve sonra Tümleştirilmiş Windows Kimlik Doğrulama'yı Etkinleştir (yeniden başlatmak gerekir) onay kutusunu tıklatıp seçin.

    Bu ayar, Internet Explorer'ın bir Anlaşma sınamasına yanıt vermesine ve sonra da Kerberos kimlik doğrulaması gerçekleştirmesine izin verir. Bu özellik Windows 2000 veya sonraki bir sürümünü gerektirdiği için, Internet Explorer, Windows 2000 veya sonraki bir işletim sistemi sürümünün kullanıldığı bir bilgisayarda çalıştırılmazsa Anlaşma sınamasına yanıt vermez. Internet Explorer, Tümleştirilmiş Windows Kimlik Doğrulama'yı Etkinleştir (yeniden başlatmak gerekir) onay kutusunu tıklatıp seçmiş olsanız da, varsayılan olarak NTLM kimlik doğrulaması kullanır.

    Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sisteminizi yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti etmemektedir. Kayıt defterini değiştirmek kendi sorumluluğunuzdadır.

  3. Not Microsoft Windows 2000 ve sonraki sürümlerini çalıştıran bilgisayarlarda, yöneticiler Tümleşik Windows kimlik doğrulamasını etkinleştirmek üzere aşağıdaki kayıt defteri anahtarında EnableNegotiate REG_DWORD girdisi değerini 1 olarak ayarlayabilir:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    .
  4. Kerberos'un Internet Explorer istemcisinde başarısız olabileceği bazı durumlar vardır. Kerberos Kimlik Doğrulaması ile ilgili sorunlar hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
    321728 Internet Explorer proxy sunucularda Kerberos kimlik doğrulamasını desteklemiyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
    325608 Kerberos kullanarak kimlik doğrulama temsilcisi atama yük dengelemeli mimarilerde çalışmıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
    248350 IIS 4.0'dan IIS 5.0'a yükselttikten sonra Kerberos kimlik doğrulaması başarısız oluyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
    264921 IIS tarayıcı istemcilerinin kimliğini nasıl doğrular (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

IIS'yi Temsilci Atama İçin Yapılandırma

ASP.NET bağlantılı bir uygulama için Tümleşik Windows kimlik doğrulaması ve kimliğe bürünme özelliğini etkinleştirmek için, Internet Information Services'ı (IIS) yapılandırmanız gerekir. IIS'de Windows Kimlik Doğrulaması'nı yapılandırmak için aşağıdaki adımları uygulayın:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, inetmgr yazın ve Tamam'ı tıklatın.
  2. Yerel bilgisayar'ı ve ardından Web sitesi'ni genişletin.
  3. Varsayılan Web sitesi'ni sağ tıklatın ve Özellikler'i tıklatın.
  4. Dizin Güvenliği sekmesini ve sonra Anonim erişim ve doğrulama denetimi altında Düzenle'yi tıklatın.
  5. Tümleşik Windows kimlik doğrulaması onay kutusunu tıklatıp seçin ve Anonim erişim, Windows etki alanı sunucuları için özet kimlik denetimi ve Basit Kimlik Doğrulaması onay kutularını tıklatıp işaretlerini kaldırın.

    Not Anonim kimlik doğrulaması etkinleştirilmişse, diğer yöntemler etkinleştirilmiş olsa bile IIS her zaman önce bu yöntemi kullanarak kimlik doğrulaması yapmaya çalışır.

    Anonim kimlik doğrulaması, Tümleşik Windows kimlik doğrulaması ve Basit kimlik doğrulaması seçeneklerinin tümü de seçiliyse, Tümleşik Windows kimlik doğrulaması, Basit kimlik doğrulamasından önce Anonim kimlik doğrulamasından sonra yapılır.

ASP.NET'i Temsilci Atama İçin Yapılandırma

  1. Not Defteri gibi bir metin düzenleyicisinde bir Web.config dosyası açın. Web.config dosyası, Web Application klasöründe bulunmaktadır.
  2. Web.config dosyasında, <configuration> bölümünde aşağıdaki bilgileri bulun:
    <allow users="*" /> 
    <deny users="?" />
  3. <System.web> bölümü altında, kimlik doğrulama öğesinin Windows olarak ayarlandığını doğrulayın:
    <authentication mode="Windows" />
  4. <System.web> bölümünün altına kimliğe bürünme için aşağıdaki öğeyi ekleyin:
    <identity impersonate="true" />
  5. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
    306158 ASP.NET uygulamasında kimliğe bürünme nasıl uygulanır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
    317012 ASP.NET'te işlem ve istek kimliği (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
    315736 Bir ASP.NET uygulamasının güvenliğini sağlamak için Windows güvenliği nasıl kullanılır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Active Directory'yi Temsilci Atama İçin Yapılandırma

Temsilci atama, temsilci kimlik bilgileri olan tüm bilgisayarlarda etkinleştirilmiş olmalıdır. Active Directory araçlarında yapılandırılabilir.

Daha fazla bilgi için aşağıdaki Microsoft Web sitelerini ziyaret edin:
Bir bilgisayarın temsilci ataması için güvenilir olmasını sağlama
http://technet2.microsoft.com/windowsserver/en/library/b207ee9c-a055-43f7-b9be-20599b694a311033.mspx
Kullanıcı ve bilgisayar hesapları
http://technet2.microsoft.com/windowsserver/en/library/91a98c38-38c5-49dc-83bf-e69d8e1dbbfa1033.mspx
Çekirdek IIS işlemi olan InetInfo.exe, LocalSystem hesabı altında çalışan bir hizmettir ve şunları yapar:
  • İstemci isteğini alır
  • Kullanıcının kimliğine bürünür
  • Uygun görevleri gerçekleştirir
  • İşlem kimliğine geri döner. Bu, LocalSystem'dır.
InetInfo.exe hizmetini LocalSystem dışında bir hesap altından çalıştırıyorsanız, hesabın bir temsilci gibi davranmasına izin verildiğini doğrulamalısınız. Bu durumda, bilgisayarı temsilci atama için yapılandırmayın.

Sorun Giderme

  1. ASP.NET sayfasını çağırmak amacıyla URL'de kullandığınız Web sunucusu adı, IIS bilgisayarının NetBIOS adı değilse, Tümleşik Kimlik Doğrulaması hata 401.3 ile başarısız olabilir. Bu sorunu gidermek için, SetSPN.exe yardımcı programını kullanarak bilgisayar için yeni bir Hizmet Asıl Adı kaydettirin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    294382 Web sitesinin "Ana Bilgisayar Üstbilgisi" sunucunun NetBIOS adından farklıysa kimlik doğrulaması "401.3" hatasıyla başarısız olabilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
  2. Yük dengelemeli bir mimaride Kerberos çalışmaz ve IIS de NTLM kimlik doğrulaması kullanmaya geri döner. Temsilci atama amacıyla NTLM kullanamayacağınız için, temsilci gerektiren uygulama veya hizmetler çalışmaz. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    325608 Kerberos kullanarak kimlik doğrulama temsilcisi atama yük dengelemeli mimarilerde çalışmıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
  3. Kerberos'un düzgün çalışabilmesi için, tüm iletişimlerde tam etki alanı adları (FQDN) kullanmalısınız.
  4. Internet Explorer'ı bir Windows 2000 istemcisinde kullanır ve sonra da ana bilgisayar üstbilgisi adının bilgisayarın NetBIOS adından farklı olduğu bir Web sitesi bulursanız, Tümleşik Kimlik Doğrulama hata 401.3 ile başarısız olabilir. Windows NT 4, Windows 98 veya Windows 95 kullanan Internet Explorer istemcilerinin başarısız olmayacağını unutmayın. Ayrıca, diğer kimlik doğrulama düzenleri de çalışır.
  5. Web sunucusu tam etki alanı adını kullanırsa, siteyi Internet Explorer'daki intranet siteleri listesine eklemelisiniz. Web sunucusunun tam etki alanı adı kullandığını doğrulamak için, aşağıdaki adımları uygulayın:
    1. Internet Explorer'ı başlatın.
    2. Araçlar menüsünde Internet Seçenekleri'ni ve sonra Güvenlik sekmesini tıklatın.
    3. Yerel intranet'i tıklatıp seçin. Siteler'i tıklatın.
    4. Gelişmiş'i tıklatın ve sonra Web adresini Aşağıdaki Web sitesini bölgeye ekle iletişim kutusuna yazın. Ekle'yi ve sonra Tamam'ı tıklatın.
  6. Internet Explorer istemcisi bir proxy sunucu kullanacak biçimde ayarlanmışsa, Yerel adresler için proxy sunucusunu atla onay kutusunu tıklatıp seçmelisiniz. Internet Explorer istemcisini bir proxy sunucu kullanacak biçimde ayarlamak için, aşağıdaki adımları uygulayın:
    1. Internet Explorer'ı başlatın.
    2. Araçlar menüsünde Internet Seçenekleri'ni ve sonra Bağlantılar sekmesini tıklatın.
    3. Yerel Ağ Ayarları'nı tıklatın. Proxy sunucu altında, Yerel adresler için proxy sunucusunu atla onay kutusunun seçili olduğunu doğrulayın.
  7. ASP.NET bağlantılı uygulamanızdan SQL Server'a erişmek isterseniz, TCP/IP kullanmalısınız. Adlandırılmış kanallar Kerberos temsilcisini desteklemez. Adlandırılmış kanallar yalnızca NTLM kullanır. Bunu yapmak için, aşağıdaki özniteliği bağlantı dizesine ekleyin:
    "Network Library =dbmssocn"
    Ağ kitaplığını açıkça ayarlamazsanız, NTLM, istemci yapılandırma yardımcı programındaki (Cliconfg.exe) ilk kitaplık kurulumunu kullanır. Bu varsayılan ayar Microsoft Data Access Components (MDAC) 2.6'da adlandırılmış kanallardan TCP/IP'ye değiştirilmiştir.
    Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
    315159 HATA: Çalışan işlemi ASP.NET hesabı altında çalıştığında adlandırılmış kanallar çalışmıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
    176377 Tümleşik güvenlik ile ASP'den SQL Server'a erişme (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
    176379 IIS ve SQL Server güvenilen bir bağlantıyla ayrı makinelere nasıl kurulur (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
    247931 Active Server Pages'da SQL Server bağlantıları için kimlik doğrulama yöntemleri (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Referanslar

Daha güvenli Web tabanlı uygulamalar ve temsilci atama senaryoları tasarlamak hakkında daha fazla bilgi için, aşağıdaki Microsoft Developer Network (MSDN) Web sitesini ziyaret edin:
http://msdn2.microsoft.com/en-us/library/aa302415.aspx
Güvenli Web tabanlı uygulamalar tasarlamak hakkında daha fazla bilgi için, aşağıdaki kitaba bakın:
Designing Secure Web-Based Applications (Güvenli Web Tabanlı Uygulamalar Tasarlamak)
Microsoft Press
Michael Howard, Marc Levy ve Richard Waymire
ISBN 0-7356-0995-0

Özellikler

Makale numarası: 810572 - Last Review: 4 Aralık 2007 Salı - Gözden geçirme: 8.4
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
Anahtar Kelimeler: 
kbauthentication kbwebforms kbdomain kbclient kbconfig kbwebserver kbhowtomaster kbhowto KB810572

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com