Resolução de problemas de permissões comuns e problemas relacionados com a segurança no ASP.NET

Olá, este é A.G Vignesh da equipa do ASP.NET. Bem-vindo à Coluna Voz de Suporte ASP.NET! EU ter sido um engenheiro de suporte Developer durante mais de dois anos agora na Microsoft, e que têm perdi a minha disponibilidade que se baseia nas ASP.NET e Microsoft Internet Information Services (IIS).

O foco desta coluna não será para explicar a segurança do ASP.NET, mas para destacar algumas técnicas de resolução de problemas e sugestões que ajudá-lo-á a isolar e resolver algumas das permissões comuns e cenários de segurança que vemos aqui ao suporte técnico da Microsoft. Permissões e problemas relacionados com a segurança do ASP.NET estão muito bem documentados. Na verdade, existirá boa um número de pessoas que podem ter deparar-se com o mesmo problema antes de lhe. Deste modo, o objectivo é para esta coluna seja um bom local para encontrar informações relevantes e exaustiva sobre a segurança do ASP.NET. Não existe nenhum sentir melhor a corrigir o problema pessoalmente.

Ferramentas úteis

Antes que tenta corrigir tudo o que é interrompida, é necessário para se familiarizar com ferramentas de alguns que irá ajudar a reduzir o problema. No nosso caso, deveria ser interessado em ferramentas como, por exemplo, FileMon, RegMon, e auditoria de segurança. Para mais informações sobre FileMon, visite o seguinte Web site da Microsoft: Para mais informações sobre RegMon, visite o seguinte Web site da Microsoft:

Aprofundar para isolar o problema

• A aplicação nunca trabalhou? Se sim, seguida, o que mudou que poderia efectuou a quebra de aplicações? É possível que actualizações de software ou actualizações de segurança foram aplicadas no servidor. Uma implementação de código também pode ter causado o problema.
• Efectue Páginas.html e.asp simples servir a partir do IIS?
• Havia a aplicação migrada para uma versão diferente do IIS?
• Fazer outras aplicações do ASP.NET na falha do servidor com o mesmo erro? ESTA É a única aplicação que falhe?
• O problema ocorre para todos os utilizadores ou para utilizadores específicos apenas?
• O problema É reproduzível ao procurar localmente no servidor Web, ou é reproduzível para os clientes de alguns apenas?
• Se estiver a utilizar a representação, seguida, faz o utilizador representado terão o acesso necessário para o recurso?

As questões acima são úteis para diagnosticar um problema. Se estiver registando o problema em qualquer um dos fóruns do ASP.NET, e se já tiver as respostas a maior parte destas perguntas, seguida, é provável que irá obter um ponteiro rápido ou solução para o problema. A chave deve registar ASP.NET todo o erro de rastreio da pilha, se aplicável, em vez de dizer " eu estou obter um erro acesso negado durante a tentativa de executar a aplicação do ASP.NET. Qualquer pessoa pode ajudar a? " É muito mais fácil para alguém a olhar para o rastreio da pilha e dar-lhe ponteiros quando eles podem visualizar uma mensagem de erro concluída. Por isso tem de pergunte a si próprio...

O que é a mensagem de erro exacto?

A primeira pergunta pedir os clientes é, " Qual é a mensagem de erro exacto? " Se você tiver uma descrição simples do accionada pelo Microsoft.NET Framework, a mensagem de erro pode ignorar esta secção. Se a aplicação máscaras a mensagem de erro real e dá-lhe uma mensagem de erro amigáveis em vez disso, como, " Ocorreu um erro inesperado. Entre em contato com o Administrador web site para obter detalhes, " é muito não da quantidade de utilização a qualquer pessoa. Seguem-se de alguns passos que ajudá-lo-á obter a mensagem de erro real.

• Localize e abra o ficheiro web.config no directório da aplicação e alterar para modo customErrors = " Desligado ". Guarde o ficheiro, e reproduzir o problema.
• É ainda não possível visualizar a mensagem de erro real depois de seguir o passo acima devido à tratamento personalizado evento / erros efectuado pelo programador da aplicação. Pode tentar localizar o evento Application_Error no ficheiro Global.asax e Comentário fora qualquer código que utiliza a função Server.Transfer("Errors.aspx") para ir para uma página de erro personalizada.

Assim que for apresentada a mensagem de erro real, lê-la para determinar se o erro é provocado por permissões em falta num recurso local ou relativo a um recurso remoto que está a tentar para aceder a aplicação do ASP.NET.

Sugestão you pode contactar o programador para saber como para visualizar a mensagem de erro real. É possível que o programador pode ser registo-lo para um ficheiro ou obter notificações por correio electrónico. Lembre-se sempre fazer uma cópia de segurança de qualquer ficheiro que vai para alterar Por uma cópia de segurança disponível, que pode recuperar sempre quaisquer alterações.

Problema ocorre devido à falta permissões sobre um recurso local que a aplicação do ASP.NET tenta aceder

Se não for possível obter uma descrição simples do problema por causa de uma mensagem de erro personalizadas, execute FileMon e reproduzir o problema. Pare e guardar a captura como FileMon.xls e abri-lo no Microsoft Excel. No menu ' Dados ', clique em ' filtro ' , e em seguida, clique em Filtro automático para utilizar as capacidades de filtragem do Excel Agora seleccione a lista pendente, na coluna F e procure erros " Acesso DENIED ".

Uma saída FileMon de exemplo é mostrada abaixo. Como pode observar a partir dos resultados filtrados, têm reduzida menos valia a causa do problema. FileMon mostra que a conta NT AUTHORITY\NETWORK Service não tem permissões de NTFS sobre a pasta ficheiros ASP.NET C:\Winnt\Microsoft.net\Framework\v1.1.4322\Temporary. Este deve ser directamente para a frente para corrigir. Para obter mais informações sobre como utilizar FileMon para resolução de problemas relacionados com ASP.NET, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Um passo boa Sugestão seria para alterar a conta do processo do ASP.NET para uma conta de administração para verificar se este resolve o problema. No IIS 5.x iria alterar o NomeUtilizador para " SYSTEM " na secção de modelo do processo do ficheiro Machine.config e no IIS 6.0 iria alterar a identidade IIS AppPool para " sistema " local para verificar se a aplicação funciona.

NOTA isto não deve ser utilizado como uma solução, mas apenas como um passo da resolução de problemas.

A maior parte das pessoas iriam tendem a reinstalar o Microsoft.NET Framework ou mesmo Ir para a extensão de reinstalar o sistema operativo. Este é um passo de resolução de problemas não recomendado e não garante que o problema não será reoccur. Eu irá fornecer um exemplo deste tipo. Problemas intermitentes são muitas vezes difíceis de isolar e resolver problemas. Neste cenário de aplicação do cliente funcionaria correctamente por algumas horas, e seguida, tudo de um sudden-lo iria falhar com o erro abaixo. O cliente já tivesse tentado reinstalar o.NET Framework, bem como o sistema operativo. Isto todos para corrigir o problema durante alguns dias, mas seguida-lo reaparecem.



Executar FileMon não apresentar quaisquer erros DENIED acesso. Todas as permissões necessárias para a conta ASPNET encontravam-se no local. A única forma de recuperar o problema consiste em reiniciar a caixa. Mesmo uma reposição do IIS não ajudaria. Está a pensar " sempre AH, software da Microsoft tem um reinício para recuperar? " Bem, está errado!

A chave aqui deve observe atentamente a mensagem de erro. Claramente indica o erro " Não é possível abrir um ficheiro para escrita, " e não o erro DENIED acesso habitual para eu estou a pensar que é algum outro processo que é manter um bloqueio de um ficheiro ou pasta e não permitir ASP.NET ao escrever para que,. Faz sentido que a reiniciar o computador foi matar outro processo e a aplicação do ASP.NET inicia trabalhar novamente até que o processo Rogue bloqueia o ficheiro novamente. A medida lógica a tomar seria para desactivar todos os programas anti-vírus, spyware de terceiros, ou qualquer outro ficheiro monitorização software que é executado no servidor. Não quero de modo a apontar fora qualquer software de terceiros específico. No entanto, em geral, software anti-vírus é conhecido para fazer com que uma grande quantidade de grief para as aplicações IIS e ASP.NET. Outro problema conhecido causado por software anti-vírus é sessão perdas devido a um AppDomain recicla quando a pasta de posição ou os ficheiros.config são processados.

Sugestão A forma mais fácil de desactivar os serviços de terceiros consiste em:

1. Clique em Iniciar , clique em Executar , e em seguida, escreva msconfig.
2. Seleccione Serviços e verifique Ocultar All Microsoft Services .
3. Clique em Desactivar todos (Disable All para parar os serviços de terceiros.
4. Clique em Iniciar , clique em Executar , e em seguida, escreva iisreset Para recarregar o CLR para o processo de trabalho.

Monitorize a aplicação para ver se o problema aparece. Se estiver a executar múltiplos programas anti-vírus, utilize o método experimentação-and-erro para determinar qual programa específico está a causar o problema.

NOTA se for o mesmo erro reproduzível 100 por cento do tempo, o software anti-vírus não poderá ser a causa. Só pode existir outras causas para este erro. Tente criar uma aplicação de teste do ASP.NET simples para isolar se ocorre o mesmo erro para uma página Test.aspx. Caso isso aconteça, seguida, verifique se o necessário listas de controlo de acesso (ACL, Access Control List) são tudo no local para o ASP.NET.

Consulte ASP.NET necessária listas de controlo de acesso (ACL, access control list): http://msdn2.microsoft.com/en-us/library/kwzs111e.aspx (http://msdn2.microsoft.com/en-us/library/kwzs111e.aspx)

Sugestão A pasta %SystemRoot%\Assembly é a cache de assemblagem global. Não é possível utilizar o Explorador do Windows directamente para editar as ACL para esta pasta Em vez disso, utilizar uma linha de comandos e execute o seguinte comando: Anule em alternativa, antes de utilizar o Explorador do Windows registo Shfusion.dll com o seguinte comando para conceder permissões através do GUI, graphical user interface: Depois de definir permissões com o Windows Explorer, registar Shfusion.dll com o seguinte comando:

Problema ocorre devido à falta permissões sobre um recurso remoto que está a tentar para aceder a aplicação do ASP.NET

Quando é a aplicação ASP.NET aceder a um recurso remoto como Microsoft SQL Server ou numa partilha convenção universal (UNC Universal Naming CONVENTION) de atribuição de nomes, existem muitas coisas que podem ir erradas. Para além disso, muitas coisas podem incorrectamente estar configuradas no recurso remoto. É necessário resolver os problemas de modo a que o funcione de recursos. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):: O primeiro passo seria para ver se consegue ligar ao servidor remoto através do Explorador do Windows.

1. No servidor remoto, crie uma pasta denominada de teste. Nos separadores partilha e segurança da pasta de teste, adicione o domínio / conta, e também a conta do processo que é utilizada pela aplicação do ASP.NET, e atribuir-lhes ambos os controlo total.
   
   NOTA por favor consulte891031  (http://support.microsoft.com/kb/891031/ ) Para técnicas ou soluções acedam recursos remotos a partir do ASP.NET.
2. No servidor IIS, início de sessão com o domínio / conta, clique em Iniciar , clique em Executar , e em seguida, escreva o caminho UNC da partilha do servidor remoto:
   \\RemoteServerName\Test
   Se não for possível ir para esta pasta, seguida, contacte o administrador de rede para resolver este problema. Só então pode a aplicação do ASP.NET aceder à partilha.
3. Criar um ficheiro chamado CreateUNCFile.aspx com o código abaixo e guarde o ficheiro no directório de aplicações.

   <%@ Page Language="vb" %>
   <%@ Import Namespace="System.IO" %>
   <html>
     <head>
     <title>Writing to a Text File</title>
   <script runat="server">
       Sub WriteToFile(ByVal sender As System.Object, ByVal e As System.EventArgs)
           Dim fp As StreamWriter
               fp = File.CreateText("\\<RemoteServerName>\Test\" & "test.txt")
               fp.WriteLine(txtMyFile.Text)
               lblStatus.Text = "The File Successfully created! Your ASP.NET process is able to access this remote share"
               fp.Close()
       End Sub
   </script>
   
   </head>
   <body style="font: 10pt verdana">
               <h3 align="center">Creating a Text File in ASP.NET</h3>
       <form id="Form1" method="post" runat="server">
                           Type your text:
                           <asp:TextBox ID="txtMyFile" TextMode="MultiLine" Rows="10" Columns="60" Runat="server" /><br>
                           <asp:button ID="btnSubmit" Text="Create File" OnClick="WriteToFile" Runat="server" />
                           <asp:Label ID="lblStatus" Font-Bold="True" ForeColor="#ff0000" Runat="server" />
       </form>
   </body>
   </html> 
   

4. Certifique-se que modifique <RemoteServerName> na seguinte linha de código

   fp = File.CreateText("\\<RemoteServerName>\Test\" &	"test.txt")

   Para que reflecte o nome do servidor remoto.
5. Abra o Windows Internet Explorer e navegue para http:// IISServerName / /CreateUNCFile.aspx nomeaplic a partir de um computador cliente diferente do servidor IIS.
6. Se o ficheiro Test.txt cria com êxito, seguida, a aplicação do ASP.NET pode autenticar para o recurso remoto.
7. Se a criação do ficheiro falhar de um browser do cliente Internet Explorer mas funciona se navegar para a mesma página a partir do servidor IIS propriamente dito, seguida, é provável que está a executar para um cenário de dupla saltos " ". Provavelmente, se estiver a utilizar incorporada peças Web personalizadas para aceder a recursos remotos que requerem autenticação e autorização, que será executado-se com o problema " Double Hop ". Para poder aceder o recurso remoto, que necessitar de fornecer as credenciais do utilizador final para o recurso de modo a que a saída a partir do recurso seja limitada aos dados que o utilizador final tem permissão para aceder.

Os passos acima indicados partem do princípio de que tem a autenticação NTLM activado no IIS. Autenticação básica não utiliza Kerberos. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):: Para obter mais informações sobre os métodos de autenticação do IIS, consulte o seguinte Web site Microsoft Developer Network (MSDN):

Sugestão se pode ligar à partilha UNC remota mas que não pode ligar ao servidor remoto que executa o SQL Server a partir da aplicação do ASP.NET, seguida, poderá ter de verificar ou definir os nomes principais de serviço (SPN) para o SQL Server. Tente activar apenas a autenticação Básica para a aplicação no IIS e verifique se é capaz de se ligar ao servidor remoto que esteja a executar o SQL Server. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):: Nunca Sugestão it é recomendada a utilização unidades mapeadas para ligar a um recurso remoto porque os mapeamentos de unidade são uma extensão do comando net use e são criados num regime por-utilizador. O método preferencial de aceder ao conteúdo para o servidor Web que existe no computador remoto consiste em utilizar partilhas que se seguem a UNC, Universal Naming CONVENTION. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base)::

Código do Access de segurança (CAs) relacionadas problema

As mensagens de erro no ASP.NET são detalhados e, mais frequentemente de contrário, indicar-lhe exactamente o que o problema era causado. Não em alguns casos, FileMon ou RegMon pode capturar nada útil. Vamos observe o evento um essa cenário.

Cenário

Durante a tentativa de procurar uma aplicação do ASP.NET, falhar com um erro genérico como, por exemplo, o seguinte erro do: O registo de eventos mostra: Quando um domínio de aplicações do ASP.NET é criado, o ASP.NET lê o valor especificado para o atributo de nível do elemento de configuração de fidedignidade, cria uma instância da classe AspNetHostingPermission com o atributo nível especificado, e seguida, adiciona a classe do conjunto de permissões para o domínio da aplicação. Verá o erro acima se os níveis de fidedignidade são incorrectamente configurado ou modificado. Para mais informações, consulte " ASP.NET fidedignidade e política ficheiros " no seguinte site da Web MSDN níveis: Para resolver este problema, pode tentar este procedimento Sugestão o " problema ocorre devido à falta permissões sobre um recurso local que a aplicação do ASP.NET tenta aceder " na secção, mas não obtiver disheartened se a aplicação não resolver o problema com uma conta de administrador ou System. Tem de Verifique para ver se o problema pode ser provocado por segurança de acesso de código. Isto poderá facilmente fazê desactivando a segurança de acesso de código utilizando o utilitário Caspol.exe. Uma vez que executou caspol ûs desactivar , reponha o IIS e tente procurar a aplicação. Se este passo funciona, é necessário verificar o conjunto de permissões para os grupos de código. Você pode acessar os grupos de código na ferramenta ' configuração VersionNumber Microsoft.NET Framework que for encontrado no Ferramentas administrativas (Administrative Tools.

Neste cenário, a Definir permissões para o grupo de código My_Computer_Zone foi definido como Nothing . O problema resolvido alterá-lo para Fidedignidade Total

NOTA para aceder ao grupo de código My_Computer_Zone , siga estes passos:

1. No Painel de controlo, faça duplo clique em Ferramentas administrativas .
2. Faça duplo clique em Configuração VersionNumber Microsoft.NET Framework.
3. Faça duplo clique a política de segurança runtime .
4. Clique duas vezes de máquina .
5. Faça duplo clique grupos de código .
6. Faça duplo clique All_Code .
7. Faça duplo clique My_Computer_Zone .

Sugestão memorizar executar caspol ûs no para activar a CAS uma vez que ter corrigido o problema.

Para mais informações, consulte Segurança do Access código ASP.NET: http://msdn2.microsoft.com/en-us/library/87x8e4d1.aspx (http://msdn2.microsoft.com/en-us/library/87x8e4d1.aspx)

Existem vários outros motivos para a mensagem de erro " Servidor de aplicações indisponível ". O registo de eventos é a melhor opção para obter mais detalhes sobre a causa do seu problema.

Os erros relacionados com o IIS

Os logs do IIS são muito úteis no caso de erros relacionados com a autenticação de acesso do IIS. Um cenário comum é quando o utilizador iria normalmente ver o seguinte procedimento: O que precisa procurar é os códigos de estado Estado e secundário para este erro específico. Vemos um 401 com o subestado 3, que indica " Unauthorized devido à ACL no recurso. "

Isto indica em falta permissões de NTFS sobre um ficheiro ou pasta. Este erro pode ocorrer mesmo se as permissões estiverem correctas para o ficheiro que você está tentando acessar, mas as permissões predefinidas e direitos de utilizador podem estar em falta nas outras pastas System e IIS, Internet Information Services. Por exemplo, poderá ver este erro se a conta IUSR_ComputerName não tem acesso ao directório C:\Winnt\System32\Inetsrv. Para mais informações sobre IIS códigos de estado, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Sugestão clique em Iniciar , clique em Executar , e em seguida, escreva logfiles Para abrir a pasta que contém os registos do IIS. Em alternativa, na página Propriedades para o Web site no IIS, faça clique sobre o separador WebSiteName e em Formato de registo activo , clique em Propriedades para ver o directório do ficheiro de registo e nome.

A outra coisa de interesse aqui são o código de estado 5. Pode utilizar o comando net helpmsg para obter mais informações sobre este código de estado: Vamos tente outro comuns Código do Estado Código 50: Para obter mais informações sobre como desactivar amigáveis mensagens de erro HTTP, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: A ideia consiste em utilizar todas as informações disponíveis para obter detalhes máximo sobre o problema à mão registadas.

Recursos

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):: Espero que estas técnicas simples são úteis para o ajudar a resolver problemas relacionados segurança e permissões. Lembre-se as colunas de Voz de Suporte são para si! Como sempre, sentir vontade para utilizar o Ask For It (http://support.microsoft.com/common/survey.aspx?scid=sw;en;1176&p0=&p1=&p2=&p3=&p4=) Formulário para submeter ideias sobre os tópicos que pretende ver com endereço nas colunas futuras ou na base de dados de conhecimento da Microsoft (Knowledge Base).