Teď jste offline a čekáte, až se znova připojí internet.

Jak získat přístup k síťovým souborům z aplikací služby IIS

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 207671
Důrazně doporučujeme, aby všichni uživatelé upgradovali na Internetovou informační službu (IIS) verze 7.0 běžící na systému Microsoft Windows Server 2008. Služba IIS 7.0 výrazně zvyšuje zabezpečení webové infrastruktury. Další informace o tématech souvisejících se zabezpečením Internetové informační služby naleznete na následujícím webu společnosti Microsoft:Další informace o službě IIS 7.0 naleznete na následujícím webu společnosti Microsoft:

V TOMTO ÚKOLU

Souhrn
Tento článek obsahuje informace o problémech týkajících se přístupu k souborům v počítači serveru Internet Information Server (IIS) z rozšíření Internet Server API (ISAPI), stránky Active Server Pages (ASP) nebo aplikace rozhraní CGI (Common Gateway). Tento článek uvádí některé problémy, které jsou zapojeny a některé možné způsoby, aby tato práce.

Přestože tento článek je určen především v souvislosti s přístupem k síťové sdílené položky fileson, koncepty vyrovnat aswell připojení pojmenovaných kanálů. Pojmenované kanály se často používají pro připojení k serveru SQL a forremote volání procedur (RPC) a modelu COM (Component Object) komunikace. Zejména pokud se připojujete k serveru SQL Server prostřednictvím síťového, která je nakonfigurována pro použití integrovaného zabezpečení systému Windows NT Microsoft se nelze připojit z důvodu problémů popsaných v tomto článku. RPC a modelu COM mohou používat i jiné komunikační mechanismy thathave podobné sítě schémat ověřování. Proto pojmy inthis článku můžete vyrovnat celou řadu communicationmechanisms sítě, který může být použit v aplikacích služby IIS.

back to the top

Typy ověřování a zosobnění

Pokud IIS služby požadavku protokolu HTTP, služba IIS provádí zosobnění tak, aby vhodným způsobem je omezen přístup k popisům prostředky pro zpracování požadavku. Theimpersonated kontext zabezpečení je založena na druhu authenticationperformed žádosti. Pět různých typů authenticationavailable ze služby IIS 4.0 jsou následující:
Authentication Type                          Impersonation Type  Anonymous Access (no authentication)         NetworkAuto Password Synchronization isON (ON=default) Anonymous Access (no authentication)         IIS Clear TextAuto Password Synchronization is OFF         Basic Authentication                         IIS Clear Text NT Challenge/Response Authentication         Network Client SSL Certificate Mapping               Interactive				
back to the top

Typy tokenů

Zda je povolen přístup k síťovým prostředkům je závislá na thekind token zosobnění, pod kterým je žádost zpracována.
  • Tokeny sítě "Ne" získávat přístup k síťovým prostředkům. (Síť tokeny jsou pojmenovány tak vzhledem k tomu, že je tento druh token traditionallycreated serverem při ověřování uživatele v síti. Toallow server fungovat jako klient andaccess síti jiný server pomocí sítě token se nazývá "delegace" a je považován za possiblesecurity díru.)
  • Interaktivní tokeny se tradičně používají při ověřování místního uživatele v počítači. Interaktivní tokeny jsou oprávněni přistupovat k prostředkům v síti.
  • Tokeny dávky jsou určeny k poskytují kontext zabezpečení, ve kterém spuštění dávkové úlohy. Dávkové tokeny mají přístup k síti.
Služba IIS má pojem přihlášení Prostý Text . Vymazat Text přihlášení je pojmenován, protože thefact této služby IIS má přístup k uživatelské jméno a heslo ve formátu prostého textu.Můžete určit, zda přihlášení Prostý Text vytvoří síť token, interaktivní token nebo dávkové token nastavením vlastnost LogonMethod v themetabase. Ve výchozím přijímat přihlášení Prostý Text interaktivní tokenand mají přístup k síťovým prostředkům. LogonMethod mohou být nakonfigurovány na serveru, na webu, virtuální adresář, adresář nebo úrovni souboru.

Anonymní přístup zosobňuje účet nakonfigurován jako anonymní userfor požadavek. Služba IIS má ve výchozím nastavení jednoho anonymního uživatele accountcalled IUSR_<machinename> považováno při manipulaci s neověřenými požadavek. Ve výchozím nastavení má služba IIS 4.0 konfigurovat featurecalled "Povolit automatickou synchronizaci hesla" securitysub orgán používá k vytváření tokenu. Tokeny, které jsou vytvořeny v tomto způsobem arenetwork tokeny, které "" nemají přístup k jiným počítačům na síťového Pokud zakážete automatickou synchronizaci hesla, služba IIS token createsthe stejným způsobem jako Prostý Text přihlášení již bylo zmíněno dříve.Automatickou synchronizaci hesla je dostupná pouze pro účty tohoto arelocated ve stejném počítači jako služba IIS. Proto pokud změníte účet youranonymous k účtu domény, nelze useAutomatic synchronizace hesel a přijímat přihlášení Prostý Text .Výjimkou je, pokud instalujete službu IIS na primárním řadiči domény. Inthis případ účty domény jsou v místním počítači. Anonymousaccount a možnost automatické synchronizace hesel můžete beconfigured na serveru, na webu, virtuální adresář, adresář, žádná úroveň souboru.

Jako první krok při přístupu k resourceon síti musí mít správný typ tokenu. Také musí zosobnit účet, který má přístup k popisům prostředku v síti. Ve výchozím nastavení IUSR_<machinename> accountthat, vytvoří služba IIS pro anonymní požadavky existuje pouze v místním počítači. I když zakážete automatickou synchronizaci hesla, abyste získali interaktivní token, získat přístup k síťovým prostředkům IUSR_<machinename> obvykle nemá přístup k prostředkům sítě tomost protože se jedná o účet, který je unrecognizedon ostatní počítače. Pokud chcete získat přístup k síťovým prostředkům s anonymousrequests, s anaccount v doméně, musíte nahradit výchozí účet v síti může být rozpoznán allcomputers. Pokud instalujete službu IIS na řadiči domény IUSR_<machinename> účtu je účet domény a mustbe přitom additionalaction rozpoznáván ostatními počítači v síti.

</machinename></machinename></machinename></machinename>back to the top

Vyhýbání se daňovým povinnostem problém

Způsoby, aby nedocházelo k problémům při přístupu k síti resourcesfrom aplikace služby IIS jsou následující:
  • Ukládání souborů v místním počítači.
  • Některé metody komunikace v síti není nutná kontrola zabezpečení. Příklad používá rozhraní Windows sockets.
  • Můžete poskytnout přímý přístup k síťovým prostředkům počítače byconfiguring virtuálním adresáři, který bude:
    "Sdílený adresář umístěný v jiném počítači."
    Veškerý přístup k počítači, který sdílí prostředky sítě se provádí v kontextu uživatele zadané v poli dialogového okna Připojit jako. . V takovém nomatter jaký typ ověřování je nakonfigurován pro virtualdirectory. Pomocí této možnosti jsou k dispozici z prohlížeče získat přístup k počítači se službou IIS všechny soubory v síťové sdílené položce.
  • Použijte základní ověřování nebo anonymní přístup bez automatickou synchronizaci hesla.

    Zosobnění, které nemá server Internet Information Server pro základní ověřování ve výchozím nastavení, obsahuje token, který má přístup k prostředkům sítě (na rozdíl od systému Windows NT Challenge/Response, který obsahuje token, který nelze získat přístup k prostředkům v síti). Pro anonymní ověřování můžete token pouze přístupu k síťovým prostředkům, pokud automatickou synchronizaci hesla je zakázána. Standardně je povoleno automatické synchronizace hesel při první instalaci serveru Internet Information Server. Tyto výchozí konfiguraci nelze tokenu anonymního uživatele přístup k síťovým prostředkům.
    259353 Musíte zadat heslo ručně po zapnutí synchronizace hesla
  • Konfigurujte anonymní účet jako účet domény.

    To umožňuje anonymní požadavky z potenciální přístup k prostředkům prostřednictvím síťového. Chcete-li zabránit všechny anonymní požadavky nebudou mít přístup k síti, youmust vytvořit pouze anonymní účet na virtualdirectories, které konkrétně požadují přístup k účtu domény.
  • Konfigurovat anonymní účet pomocí stejné uživatelské jméno a heslo v počítači, který sdílí andthen prostředky sítě zakázat automatickou synchronizaci hesla.

    V takovém případě musí zkontrolujte, přesně hesla. Tento přístup musí být jen beused, když "Konfigurovat anonymní účet jako účet domény" již bylo zmíněno dříve není z nějakého důvodu.
  • NullSessionShares a NullSessionPipes lze umožnit přístup k popisům konkrétní síťové sdílené položky nebo na pojmenovanou kanálu, pokud je vaše žádost zpracována s sítě token.

    Pokud máte síť token a pokusu o připojení k síťovému prostředku, provozní systemtries připojení jako neověřené připojení (označované jako "Prázdné relace"). Toto nastavení registru musí být madeon počítač, který sdílí prostředek sítě, nikoli na počítači se službou IIS. Pokud se používá youtry NullSessionShare nebo NullSessionPipe přístup non-networktoken, typické ověřování systému Windows a přístup k theresource vychází z práva accountuser zosobněného uživatele.
  • Potenciálně lze provést tocreate vlastní zosobnění tokenu podprocesu, který nemá přístup k síti.

    LogonUser funkce a funkce ImpersonateLoggedOnUser lze použít zosobnění differentaccount. To vyžaduje, abyste měli prostý Text uživatelské jméno a passwordof jiný účet, který je k dispozici v kódu. LogonUser také vyžaduje, aby účet, který volá LogonUser oprávněním "Jednat jako část operačního systému" ve Správci uživatelů. Ve výchozím nastavení většina uživatelů, kteří IIS zosobňuje whileit popisovače HTTP požadavku nemají toto uživatelské právo. Však pro "V procesu aplikace" existuje několik způsobů, jak způsobit yourcurrent kontextu zabezpečení změnit na účet LocalSystem, který doeshave "Jednat jako část operačního systému" oprávnění správce. Pro spuštění v procesu DLLsthat ISAPI je nejlepší způsob, jak změnit zabezpečení contextthat, vytvořený službou IIS na účet LocalSystem volání funkceRevertToSelf . Pokud používáte aplikace služby IIS ", ofProcess", tento mechanismus nefunguje standardně protože proces isrunning pod IWAM_<machinename> účtu a není místní Systemaccount. Ve výchozím nastavení IWAM_<machinename> "" nemá pověření pro správu "Jednat jako část operačního systému".</machinename> </machinename>
  • Přidat součást, která je volána ze stránky ASP balíčků serveru Microsoft Transaction Server (MTS) nebo aplikaci serveru COM + a potom zadat určitého uživatele jako identitu balíčku.

    Poznámka: Je komponenta spuštěna v samostatném .exe soubor, který je součástí služby IIS.
  • Ověřování basic/clear text doporučujeme šifrování dat pomocí protokolu SSL, protože je velmi snadné získat pověření z trasování v síti. Další informace o instalaci protokolu SSL klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    228991 Jak vytvořit a nainstalovat certifikát SSL v Internet Information Server 4.0
Poznámka: Zapomenutí můžete zabránit přístupu k síti pro anonymní požadavky, kde je zakázána synchronizace hesel a požadavky jsou ověřovány pomocí základní ověřování (Prostý Text přihlášení), pokud nastavíte vlastnost metabáze LogonMethod "2" (což znamená, že přihlášení k síti se používá k vytvoření token zosobnění). Při tomto nastavení je připojení k NullSessionShares nebo NullSessionPipes jedině pro požadavky, aby nedošlo k omezení sítě token.

Nepoužívejte písmena jednotek na sdílené síťové položky. Notonly jsou pouze 26 písmen potenciální ovladač lze vybírat, ale pokud je tryto pomocí písmene jednotky, který je mapován v odlišném kontextu zabezpečení, může dojít k problémům. Místo toho je nutné vždy použít názvy Universal Naming Convention(UNC) získat přístup k prostředkům. Formát musí vypadat thefollowing:
\\MyServer\filesharename\directoryname\filename
Další informace o použití UNC získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
280383 Doporučení týkající se zabezpečení služby IIS při použití sdílené složky UNC
Informace v tomto článku se vztahuje pouze k Internetu InformationServer 4.0. V serveru Internet Information Server 5.0, (dodávanou se systémem Windows 2000) jsou významné změny nové authenticationtypes a schopností. Ačkoli většina konceptů v tomto articlestill platí pro službu IIS 5.0, podrobnosti o druhu zosobnění tokeny, které jsou generovány pomocí určitých schémat ověřování v tomto článku applystrictly na serveru IIS 4.0.

319067 Spuštění aplikace není v kontextu účtu systému
Pokud nelze určit, jaký druh isoccurring přihlášení na serveru IIS zpracovávat požadavky, můžete zapnout auditingfor přihlášení a odhlášení. Postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na tlačítko Nastavení, klepněte na položku Ovládací panely, klepněte na položku Nástroje pro správua potom klepněte na položku Místní zásady zabezpečení.
  2. Po otevření místní zásady zabezpečení v levém podokně stromové zobrazení, klepněte na tlačítko Nastavení zabezpečení, klepněte na položku Místní zásadya klepněte na položku Zásady auditu.
  3. Poklepejte na položku Auditovat události přihlášení a potom klepněte na tlačítko Úspěch a neúspěch.Areadded položky protokolu událostí v protokolu zabezpečení. Můžete určit druh bylooking přihlášení na podrobnosti o událostech ve skupinovém rámečku Typ přihlášení:
2 = Interactive
3 = síť
4 = dávky
5 = služba
back to the top
Odkazy
Další informace o zabezpečení sítě získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
124184 Služba běží jako systémový účet se nezdaří při přístupu k síti
180362 Služby a přesměrované jednotky
319067 Spuštění aplikace není v kontextu účtu systému
280383 Doporučení týkající se zabezpečení služby IIS při použití sdílené složky UNC
259353 Musíte zadat heslo ručně po zapnutí synchronizace hesla
back to the top
kbdse

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 207671 - Poslední kontrola: 03/15/2015 03:28:00 - Revize: 10.0

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5

  • kbhowtomaster kbhttp kbmt KB207671 KbMtcs
Váš názor
html>>html>