Solução de problemas comum permissões e de segurança - relacionado emite em ASP.NET

Olá, é A.G Vignesh da equipe ASP.NET. Bem-vindo à coluna ASP.NET Support Voice! Eu ter sido Developer um engenheiro de suporte para mais de dois anos agora no Microsoft, e eu gasto meu tempo enfocando ASP.NET e Serviços de Informações da Internet da Microsoft (IIS).

O foco desta coluna não será para explicar segurança ASP.NET, mas a estrutura de tópicos solução de problemas a few técnicas e dicas que ajudarão você isolate e resolver alguns do comum permissões e cenários de segurança que Vemos aqui no pss. Permissões e de segurança - relacionado problemas no ASP.NET são muito bem documentados. Na verdade, haverá um número de pessoas que tenha boa executar para o mesmo emitir prior to você. Assim, a intenção é para essa coluna para ser um bom local para localizar informações relevantes e completa sobre segurança ASP.NET. Não há nenhum sensação melhor do que você mesmo corrigir a emitir.

Ferramentas úteis

Antes de tentar a correção tudo que é quebrado, você precisará familiarizar-se com algumas ferramentas que o ajudará a estreito para baixo a emitir. No nosso maiúsculas e minúsculas, nós seria interessados em ferramentas como FileMon, RegMon, e auditoria de segurança. Para obter mais informações sobre FileMon, visite o seguinte site da Microsoft: Para obter mais informações sobre RegMon, visite o seguinte site da Microsoft:

Fazer drill down para isolar o problema

• O aplicativo já trabalhou? Interromper em caso afirmativo, seguida, o que foi alterado que foi fez o aplicativo? É possível que atualizações software ou atualizações de segurança foram aplicadas sobre o servidor. Uma distribuição codificar também pode ter causado a emitir.
• Fazer páginas.asp e.html simples servir de IIS?
• Era o aplicativo migrado para uma versão diferente do IIS?
• Fazer outros aplicativos ASP.NET sobre o servidor falhou com o mesmo erro? Este é o único aplicativo que falhar?
• Faz a ocorrer emitir para todos os usuários ou para usuários específicos apenas?
• É a emitir reproduzível ao navegar localmente no servidor Web, ou é reproduzível para somente alguns clientes?
• Se você estiver usando representação, seguida, faz o usuário representado ter a acessar necessário para o recurso?

As perguntas acima são úteis em ordem para diagnosticar um problema. Se você está postando a emitir em qualquer uma dos fóruns ASP.NET, e se você já tiver as respostas para a maioria dessas perguntas, em seguida, é provável que você irá get um rápido ponteiro ou solução para seu problema. A chave é a postagem erro rastreamento de pilha ASP.NET inteiro, se aplicável, instead of dizer " ESTOU recebendo um erro Acesso negado ao tentar a executar meu aplicativo ASP.NET. Qualquer pessoa pode ajudar? " É bem mais fácil para alguém para aspecto na rastreamento de pilha e lhe ponteiros quando eles podem ver um completo mensagem de erro. Portanto, você precisará pergunte-se...

O que é a mensagem de erro exata?

A primeira pergunta que pedimos clientes é: " Qual é a mensagem de erro exata? " Se você tiver um Clear descrição da mensagem de erro acionada pelo Microsoft.NET Framework, você pode ignorar esta seção. Se seu aplicativo mascara o real mensagem de erro e dá a você um amigável mensagem de erro como, " em vez disso, ocorreu um erro inesperado. Contate o administrador site para obter detalhes, " é não de quantidade de uso para qualquer pessoa. Aqui estão algumas etapas que o ajudará a get real a mensagem de erro.

• Localizar e aberto o arquivo web.config no diretório de aplicativo e alteração customErrors para modo = " Off ". Salve o arquivo, e reproduzir o problema.
• Ainda não seja possível ver o real após seguinte mensagem de erro a etapa acima because of personalizado evento / manipulação de erro feita pelo desenvolvedor do aplicativo. Você pode tentar para localizar o evento Application_Error no arquivo Global.asax e comentar descobrir qualquer codificar que usa a função Server.Transfer("Errors.aspx") para ir para um personalizado página de erro.

Uma vez você get a real mensagem de erro, lê-la para determinar se o erro é causado por permissões em um local ausente recurso ou em um remoto recurso que está tentando para acessar seu aplicativo ASP.NET.

Dica você pode contatar o desenvolvedor para localizar saída como ver o real mensagem de erro. É possível que o desenvolvedor pode ser log-lo para um arquivo ou Obtendo notificações por email. Lembre-se tornar um de backup de qualquer arquivo que você for para sempre alteração. Com um de backup disponível, você sempre pode lançar voltar alterações.

Recurso que o aplicativo ASP.NET tentará acessar problema ocorre por causa de permissões em um local ausente

Se você não conseguir se get um Clear descrição do problema because of um personalizado mensagem de erro, executar FileMon e reproduzir o problema. Parar e salvar a captura como FileMon.xls e aberto o arquivo em Microsoft Excel. O menu Dados , clique em Filtro , e depois clique autofiltro para usar os recursos de filtragem de Excel. Agora selecione o drop-down list na coluna F e aspecto para erros ACCESS DENIED " ".

Uma saída FileMon exemplo é mostrada abaixo. Como você pode ver a partir dos resultados filtrados, nós ter reduzida para baixo a causar do problema. FileMon mostra que a conta NT AUTHORITY\NETWORK SERVICE está faltando permissões NTFS na pasta C:\Winnt\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files. Isso deve ser ENC reta para correção. Para obter mais informações sobre como usar FileMon para solucionar problemas ASP.NET, clique o seguinte artigo número para exibição o artigo no Microsoft Knowledge Base: Uma etapa boa dica seria a alteração a conta processo ASP.NET para uma conta de administração para ver se ele resolve o problema. No 5.x IIS faria alteração o username para " SYSTEM " na seção modelo processo do arquivo Machine.config e em IIS 6.0 faria alteração a identidade IIS AppPool para Local System " " para ver se o aplicativo funciona.

Observação este não deve ser usado como um solução, mas somente como um solução de problemas etapa etapa..

A maioria das pessoas tendem a reinstalar o Microsoft.NET Framework ou até mesmo ir para a extensão de reinstalar o sistema operacional. É não um solução de problemas recomendada etapa e não garante que não será reoccur a emitir. Eu fornecerá um esse exemplo. Freqüentemente difíceis isolar problemas intermitentes e solucionar problemas. Nesse cenário, o cliente do aplicativo trabalho bem para horas a few, e clique Todos de um aumento súbito ele falharia com o erro abaixo. O cliente já teve tentado reinstalar o.NET Framework, bem como o sistema operacional. Isso pareceu a correção o problema para dias, mas clique a few reappeared.



Não executar FileMon apresentação erros Access negado. Todas as permissões necessárias para a conta ASPNET eram no local. A única maneira para se recuperar do problema é a reiniciar a caixa. Mesmo um redefinir IIS não ajudaria. Você está pensando sempre " Ah, Microsoft Software precisa reiniciar recuperar um? " Bem, você está errada!

A chave aqui é aspecto perto na mensagem de erro. Diz claramente o erro " Não é possível aberto um arquivo para gravação, " e não o erro Acesso Negado normal para eu estou pensando que é alguns outro processo que está mantendo um bloqueio em um arquivo ou pasta e não permitindo ASP.NET para gravar para ele,. Faz sentido que um reiniciar foi matando o outro processo e o aplicativo ASP.NET inicia trabalhar novamente até que o processo desonesto bloqueia o arquivo novamente. Lógica a coisa a fazer seria para desativar todos os programas antivírus, terceiro - parte spyware, ou qualquer outra monitoração arquivo software compatível com o servidor. Eu não desejar para apontar sem qualquer terceiro específico - parte software. Mas, em geral, software antivírus é conhecido para causar uma grande quantidade de grief para aplicativos IIS e ASP.NET. Outro emitir conhecido causado por software antivírus é perda sessão devido a AppDomain recicla quando o pasta Bin ou os arquivos.config são utilizados.

Dica A maneira mais fácil de desativar a terceira - parte Serviços é:

1. Clique em Iniciar , Executar , e clique tipo clique msconfig.
2. Selecione os serviços e verificar Hide All Microsoft Services .
3. Clique em Desativar All para parar o terceiro - parte serviços.
4. Clique em Iniciar , Executar , e clique tipo clique iisreset Para recarregar o CLR para o processo de trabalho.

Monitorar seu aplicativo para ver se a emitir reoccurs. Se você executar múltiplo programas antivírus, use o método trial-and-Error para determinar qual programa específico está causando a emitir.

Observação se o mesmo erro for reproduzível 100 por cento do tempo, o seu software antivírus não pode ser a causar. Pode haver outras causas para este erro. Tente criar um aplicativo testar ASP.NET simples para isolar se o mesmo erro ocorre para uma página Test.aspx. Se isso ocorrer, e verificar que o exigido Access Control Lists (ACLs) estão todos no local para ASP.NET.

Consulte ASP.NET necessário ACLs (listas de controle de acesso): http://msdn2.microsoft.com/en-us/library/kwzs111e.aspx

Dica A pasta %SystemRoot%\Assembly é o cache global de assemblies. Não é possível usar diretamente Windows Explorer para editar as ACLs para esta pasta. Em vez disso, use um prompt de comando e executar o seguinte comando: Como alternativa, antes de usar Windows Explorer, cancelar o registro Shfusion.dll com o seguinte comando para conceder permissões via o GUI: Após configuração permissões com Windows Explorer, registrar novamente Shfusion.dll com o seguinte comando:

Recurso que está tentando para acessar o aplicativo ASP.NET problema ocorre por causa de permissões em um remoto ausentes

Quando seu aplicativo ASP.NET está acessando um remoto recurso como Microsoft SQL Server ou um compartilhar Universal Naming Convention (UNC), existem muitas coisas que podem ser inseridas erradas. Além disso, muitas coisas podem ser definidas incorretamente no remoto recurso. Será preciso solucionar problemas essas questões em ordem para get o trabalho recurso. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:: Sua primeira etapa seria para ver se você pode conectar para o servidor remoto através de Windows Explorer.

1. No servidor remoto, crie uma pasta chamado Teste. Nas guias Compartilhamento e Segurança da pasta de teste, adicionar o domínio / conta, e também a conta processo que é usado pelo seu aplicativo ASP.NET, e dar-lhes dois Full Control.
   
   Observação Consulte Please891031
   (http://support.microsoft.com/kb/891031/ )
   Para técnicas ou Soluções alternativas para remoto acessar recursos de ASP.NET.
2. Em servidor IIS, o log in with seu domínio / conta, clique iniciar , clique Executar , e o caminho compartilhamento UNC tipo depois do servidor remoto:
   \\RemoteServerName\Test
   Se você não conseguir se get para esta pasta, entre em contato com seu Network Administrator para correção este emitir. Só então pode seu acessar aplicativo ASP.NET a compartilhar.
3. Criar um arquivo chamado CreateUNCFile.aspx com a codificar abaixo e salvar o arquivo no seu diretório de aplicativo.

   <%@ Page Language="vb" %>
   <%@ Import Namespace="System.IO" %>
   <html>
     <head>
     <title>Writing to a Text File</title>
   <script runat="server">
       Sub WriteToFile(ByVal sender As System.Object, ByVal e As System.EventArgs)
           Dim fp As StreamWriter
               fp = File.CreateText("\\<RemoteServerName>\Test\" & "test.txt")
               fp.WriteLine(txtMyFile.Text)
               lblStatus.Text = "The File Successfully created! Your ASP.NET process is able to access this remote share"
               fp.Close()
       End Sub
   </script>
   
   </head>
   <body style="font: 10pt verdana">
               <h3 align="center">Creating a Text File in ASP.NET</h3>
       <form id="Form1" method="post" runat="server">
                           Type your text:
                           <asp:TextBox ID="txtMyFile" TextMode="MultiLine" Rows="10" Columns="60" Runat="server" /><br>
                           <asp:button ID="btnSubmit" Text="Create File" OnClick="WriteToFile" Runat="server" />
                           <asp:Label ID="lblStatus" Font-Bold="True" ForeColor="#ff0000" Runat="server" />
       </form>
   </body>
   </html> 
   

4. Certifique-se que você modifique RemoteServerName < > no seguinte linha de codificar

   fp = File.CreateText("\\<RemoteServerName>\Test\" &	"test.txt")

   para que ela reflete o nome do seu servidor remoto.
5. Abra Windows Internet Explorer e procurar para http:// IISServerName / /CreateUNCFile.aspx NomeApl de um computador cliente Other Than o servidor IIS.
6. Se o arquivo Test.txt cria com êxito, depois seu aplicativo ASP.NET pode autenticar para o remoto recurso.
7. Se criação arquivo falha de um navegador cliente Internet Explorer mas funciona se você procurar para a página mesma do servidor IIS propriamente dito, em seguida, ele do provável que você está execução em um cenário Double Hop " ". Se você estiver usando personalizado compilado Web Parts para remoto acessar recursos que exigem usuário autenticação e autorização, você provavelmente executar para o problema Double Hop " ". Em ordem para acessar seu remoto recurso, talvez precise fornecer credenciais a usuário final do para o recurso de forma que a saída do recurso seja limitada para os dados que o usuário final tem permissão para acessar.

As etapas acima presumem que você tenha ativado no IIS autenticação NTLM. Autenticação básica não usa Kerberos. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:: Para obter mais informações sobre métodos autenticação IIS, consulte o seguinte site Microsoft Developer Network (MSDN):

Dica se você pode conectar para o remoto compartilhamento UNC mas você não pode conectar para o servidor remoto que é execução SQL Server do aplicativo ASP.NET, e você pode ter para verificar ou conjunto a nomes principais de serviço (SPNs) para SQL Server. A habilitação da autenticação básica para seu aplicativo em IIS somente Tente e veja se você conseguir para conectar para o servidor remoto que é execução SQL Server. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:: Dica nunca é recomendável para usar unidades mapeadas para conectar a um remoto recurso como unidade mapeamentos são uma extensão de rede usar o comando e são criadas em um por - usuário base. O método preferencial de acessar de conteúdo para o servidor Web que existe em um computador remoto consiste em usar compartilhamentos que seguem o UNC. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft::

Código relacionado Access Security (CAS) emitir

Mensagens de erro no ASP.NET são detalhados e, mais freqüentemente, não de informá-lo exatamente o que é o problema. FileMon ou RegMon em alguns casos, pode não captura anything útil. Vamos dar um aspecto em tal um cenário.

Cenário

Durante a tentativa de procurar um aplicativo ASP.NET, falhar com uma genérico erro such as o seguinte erro infame: O log de eventos mostra: Quando um domínio do aplicativo ASP.NET é criado, ASP.NET lê o valor especificado para o nível atributo do elemento configuração confiança, cria uma instância da classe AspNetHostingPermission com o atributo nível especificado, e adiciona a classe para o conjunto de permissões para o domínio do aplicativo. Você verá o erro acima se os níveis confiança incorretamente configurado ou modificado. Para obter mais informações, consulte " ASP.NET confiança níveis e política arquivos " no seguinte site MSDN: Para resolver este emitir, você pode tentar isso Dica Na " questão ocorre devido ausente permissões em um local recurso que o aplicativo ASP.NET tentará acessar " seção, mas faça não get disheartened se o aplicativo não trabalho com uma conta Administrador ou System. Você precisará verificar para ver se a emitir pode ser causado por Code Access Security. Isso pode facilmente ser feito desativando a segurança do acesso ao código usando o utilitário Caspol.exe. Depois que você tiver executar ûs caspol desativar , redefinir IIS e tente a procurar o aplicativo. Se essa etapa funciona, então você precisará verificar o conjunto de permissões para codificar os grupos. Você pode acessar a codificar grupos na ferramenta Configuração VersionNumber .NET Framework Microsoft que é encontrada no Administrative Tools.

Neste cenário, o conjunto de permissões para o grupo de códigos My_Computer_Zone foi definido como Nothing . A emitir resolvido alterá-la para Confiança Total

Observação para acessar o grupo de códigos My_Computer_Zone , siga estas etapas:

1. No Painel de controle clique duplo Ferramentas administrativas .
2. Clique duas vezes em Configuração VersionNumber .NET Framework Microsoft.
3. Clique duas vezes em tempo de execução política de segurança .
4. Clique duas vezes em Computador .
5. Clique duas vezes em Grupos de Códigos .
6. Clique duas vezes em All_Code .
7. Clique duas vezes My_Computer_Zone .

Dica lembre-se executar ûs caspol em para ativar CAs após você ter corrigido o emitir.

Para obter mais informações, consulte Segurança do Acesso ao código ASP.NET: http://msdn2.microsoft.com/en-us/library/87x8e4d1.aspx

Há várias outras causas para a mensagem de erro " Server Application Unavailable ". O log de eventos é a melhor opção para get mais detalhes na causar de seu emitir.

IIS - relacionado erros

Os logs IIS são muito úteis em casos de autenticação IIS - relacionado erros. Um comum cenário é quando o usuário, geralmente Consulte o seguinte: Você precisa para os códigos status status e sub-rotina para este erro específico é aspecto para. Vemos uma 401 com o sub-status 3, que indica " Não autorizado devido a ACL no recurso. "

Isso indica NTFS permissões em um arquivo ou pasta ausentes. Este erro pode ocorrer mesmo se as permissões estão corretas para o arquivo que você está tentando para acessar, mas o permissões usar como padrão e direitos usuário podem estar ausentes em outras pastas System e IIS.. Para exemplo, você poderá ver este erro se a conta IUSR_NomeDoComputador não é necessário acessar para o Diretório C:\Winnt\System32\Inetsrv. Para obter mais informações sobre status códigos, IIS clique o seguinte artigo número para exibição do artigo no Microsoft Knowledge Base: Dica clique em Iniciar , clique Executar , e clique tipo logfiles Para aberto a pasta que contém os logs IIS. Como alternativa, a página Propriedades para seu site da Web em IIS, clique em Guia NomeDoSite , e em formato Active log , clique Propriedades para ver o Diretório arquivo de log e nome.

O outro item de interesse aqui é a codificar status 5. Você pode usar o rede comando HELPMSG para get obter mais informações neste codificar status: Vamos tentar outro comum código de status, codificar 50: Para obter mais informações sobre como desativar amigável HTTP mensagens de erro, clique o seguinte artigo número para exibição o artigo no Microsoft Knowledge Base: A idéia é para usar todos os o disponível informações registradas para get máximo detalhes sobre o problema à mão.

Recursos

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:: Espero que essas técnicas simples são úteis para ajudá-lo segurança resolver e permissões relacionado problemas. Lembre-se, as colunas de voz de suporte são para você! Como sempre, achar livre para usar o Ask For It forma para enviar idéias sobre tópicos que você desejar para ver endereçado Em colunas futuras ou o Knowledge Base.