Konfigurieren Sie Internetinformationsdienste-Authentifizierung in Windows 2000

Wir empfehlen allen Benutzern von Microsoft-Internetinformationsdienste (IIS) Version 7.0 aktualisieren auf Microsoft Windows Server 2008 ausgeführt. IIS 7.0 erhöht die Sicherheit der Webinfrastruktur beträchtlich. Weitere Informationen über IIS sicherheitsbezogene Themen finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zu IIS 7.0 finden Sie auf der folgenden Microsoft-Website:
Dieser Artikel bezieht sich auf Windows 2000. Unterstützung für Windows 2000 endet am 13. Juli 2010. Windows 2000 End of Support Solution Center ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie auf der Microsoft Support Lifecycle Policy.

Zusammenfassung

Dieser Artikel beschreibt, wie Authentifizierung für Web-basierte Anfragen in Microsoft-Internetinformationsdienste (IIS) 5.0 konfigurieren.

Funktionsweise der Webauthentifizierung

Webauthentifizierung erfolgt durch Kommunikation zwischen dem Webbrowser und dem Webserver, bei dem eine kleine Anzahl Hyper Text Transfer Protocol (HTTP)-Header und Fehlermeldungen.

Die Kommunikation läuft:

  1. Der Webbrowser übermittelt eine Anforderung, z. B. HTTP-GET.
  2. Der Webserver hat eine Authentifizierung überprüft. Wenn dies nicht erfolgreich ist, weil Authentifizierung erforderlich ist, sendet der Server eine Fehlermeldung ähnlich der folgenden zurück:

    Sie sind nicht berechtigt, diese Seite anzuzeigen

    Sie haben keine Berechtigung zum Anzeigen dieses Verzeichnis bzw. diese Seite eingegebene.
    Informationen sind in dieser Nachricht enthalten, mit denen der Webbrowser die Anforderung als authentifizierte Anforderung erneut übermitteln.
  3. Der Webbrowser verwendet die Antwort des Servers eine neue Anforderung erstellen, die Authentifizierungsinformationen enthält.
  4. Der Webserver hat eine Authentifizierung überprüft. Wenn die Überprüfung erfolgreich ist, sendet der Webserver die ursprünglich angeforderten Daten an den Webbrowser.

Authentifizierungsmethoden

Hinweis: mit einigen der folgenden Authentifizierungsmethoden müssen Sie Laufwerke verwenden, die mit dem NTFS-Dateisystem formatiert sind, NTFS-Laufwerke die höchste Sicherheitsstufe zu gewährleisten.

IIS unterstützt folgenden fünf Web-Authentifizierungsmethoden:

Anonyme Authentifizierung

IIS erstellt das Konto IUSR_Computername (wobei Computername der Name des Computers ist), um anonyme Benutzer beim Anfordern von Webinhalten authentifizieren. Dieses Konto berechtigt dem Benutzer lokal anmelden. Sie können anonyme Benutzer Zugriff auf alle gültigen Windows-Konto zurücksetzen.

Hinweis: Sie können unterschiedliche anonyme Konten für verschiedene Websites, virtuelle Verzeichnisse oder physische Verzeichnisse und Dateien einrichten.

Windows 2000-basierten Computer ist ein eigenständiger Server, das Konto IUSR_Computername auf dem lokalen Server. Wenn der Server ein Domänencontroller ist, wird das Konto IUSR_Computername für die Domäne definiert.

Standardauthentifizierung

Standardauthentifizierung für den Zugriff auf Dateien auf einem Webserver mit NTFS formatiert. Bei der Standardauthentifizierung muss der Benutzer Anmeldeinformationen eingeben, und Access anhand der Benutzer-ID

Wenn Sie Standardauthentifizierung verwenden, jedem Benutzer die Berechtigung Lokal anmelden und zum Vereinfachen der Verwaltung hinzufügen zu einer Gruppe mit Zugriff auf die benötigten Dateien.

Hinweis: Da Benutzeranmeldeinformationen mit codierten Base64-Codierung aber werden nicht verschlüsselt, wenn sie über das Netzwerk übertragen werden, Standardauthentifizierung ist eine unsichere Authentifizierungsform betrachtet.

Integrierte Windows-Authentifizierung

Integrierte Windows-Authentifizierung ist sicherer als die Standardauthentifizierung und Funktionen in einer Intranetumgebung, in denen Benutzer Windows-Domänenkonten besitzen. Integrierte Windows-Authentifizierung der Browser versucht, mithilfe der Anmeldeinformationen des aktuellen Benutzers in einer Domäne anmelden, und wenn dies fehlschlägt, wird der Benutzer aufgefordert, einen Benutzernamen und ein Kennwort eingeben. Wenn Sie integrierte Windows-Authentifizierung verwenden, wird das Kennwort des Benutzers nicht zum Server übertragen. Wenn der Benutzer auf dem lokalen Computer als Domänenbenutzer angemeldet hat, muss der Benutzer nicht erneut authentifizieren bei einem Zugriff auf einen Netzwerkcomputer in dieser Domäne.

Hinweis: können keine Authentifizierung über einen Proxy-Server.

Digest-Authentifizierung

Die Digestauthentifizierung behebt viele Schwachpunkte der Standardauthentifizierung. Das Kennwort wird nicht in Klartext gesendet, wenn Sie Digestauthentifizierung verwenden. Darüber hinaus können Sie die Digest-Authentifizierung über einen Proxy-Server. Digestauthentifizierung verwendet einen Anfrage/Antwort-Mechanismus (die integrierte Windows-Authentifizierung verwendet), wird das Kennwort in einem verschlüsselten Format gesendet. Digest-Authentifizierung verwenden:

  • Windows 2000-basierten Server muss in einer Domäne.
  • Sie müssen die Datei "Iissuba.dll" auf dem Domänencontroller. Diese Datei wird beim Setup von Windows 2000 Server automatisch kopiert.
  • Sie müssen alle Benutzerkonten bei aktivierter Option das Kennwort mit reversibler Verschlüsselung speichern aktiviert konfigurieren. Beim Aktivieren dieser Option muss das Kennwort zurückgesetzt oder erneut eingegeben werden.
Hinweis: Sie müssen Microsoft InternetExplorer 5.0 oder höher als Webbrowser verwenden, wenn Sie die Digest-Authentifizierung verwenden.

Clientzertifikatzuordnung

Von Clientzertifikaten ist ein Verfahren, in dem eine "Zuordnung" zwischen einem Zertifikat und einem Benutzerkonto erstellt. In diesem Modell ein Benutzer ein Zertifikat bereitstellt und das System sucht in der Zuordnung, welches Benutzerkonto angemeldet werden soll. Sie ordnen ein Zertifikat zu einem Windows-Benutzerkonto auf zwei Arten:

  • Mithilfe von Active Directory.

    – oder –
  • Mithilfe von in IIS definierten Regeln.
Weitere Informationen zum Zuordnen Suchen von Clientzertifikaten zu Benutzerkonten Clientzertifikaten in der IIS-Dokumentation. Wenn Sie IIS installiert haben, sehen Sie die IIS-Dokumentation durch Eingabe der folgenden URL in der Adressleiste des Webbrowsers Localhost den Namen des lokalen Hosts ist:

http://localhost/iisHelp/iis/misc/default.asp
Weitere Informationen zur Verwendung von Zertifikaten finden im folgenden Artikel der Microsoft Knowledge Base:

290625 zum Konfigurieren von SSL in einer Umgebung Windows 2000 IIS 5 mit Certificate Server 2.0

Sie können alle Authentifizierungsmethoden zum Steuern des Zugriffs auf die folgenden Elemente auf dem IIS-Server konfigurieren:

  • Alle Webinhalte, die auf dem IIS-Server gehostet wird.
  • Einzelne Websites, der auf dem IIS-Server gehostet werden.
  • Einzelne virtuelle Verzeichnisse oder physische Verzeichnisse in einer Website.
  • Einzelne Seiten oder Dateien in einer Website.

Konfigurieren der IIS-Websiteauthentifizierung

  1. Verwenden Sie ein Administratorkonto auf dem Webserver anmelden.
  2. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltungund klicken Sie dann auf Internetdienste-Manager.

    Der Internet-Informationsdienste-Snap-in gestartet.
  3. Klicken Sie in der Konsolenstruktur auf * Computername wobei Computername der Name des Computers ist.
  4. Maustaste auf eines der folgenden Elemente, und klicken Sie auf Eigenschaften:
    • Konfigurieren der Authentifizierung für alle Webinhalte, Host ist, auf dem IIS-Server mit der rechten Maustaste * Computername.
    • Um Authentifizierung für eine einzelne Website zu konfigurieren, klicken Sie auf die gewünschte Website.
    • Um Authentifizierung für ein virtuelles Verzeichnis oder ein physisches Verzeichnis auf einer Website zu konfigurieren, klicken Sie auf die gewünschte Website und das Verzeichnis, wie _vti_pvtMaustaste.
    • Zum Konfigurieren der Authentifizierung für eine einzelne Seite oder Datei auf einer Website klicken Sie auf die Website, die die Seite mit den Ordner klicken Sie auf, und anschließend mit der Maustaste die Datei oder der Seite.
  5. Klicken Sie auf der Registerkarte Sicherheit im Dialogfeld Eigenschaften von Artikelname Elementname der Name des Elements ist die gewählte.

    Hinweis: das ausgewählte Element eine einzelne Datei, klicken Sie auf die Registerkarte Sicherheit .
  6. Klicken Sie unter Steuerung des anonymen Zugriffs und der Authentifizierungauf Bearbeiten.
  7. Aktivieren Sie das Kontrollkästchen anonymen Zugriff , um anonymen Zugriff zu aktivieren. Um den anonymen Zugriff deaktivieren, deaktivieren Sie dieses Kontrollkästchen.

    Hinweis: Wenn Sie den anonymen Zugriff deaktivieren, müssen Sie irgendeine Form des authentifizierten Zugriffs konfigurieren.
    1. Klicken Sie auf Bearbeiten neben verwendetes Konto für anonymen Zugriffzum Ändern des Kontos, das für den anonymen Zugriff auf diese Ressource verwendet wird.
    2. Klicken Sie im Dialogfeld Anonymes Benutzerkonto auf das Benutzerkonto, das für den anonymen Zugriff verwenden möchten.
    3. Deaktivieren Sie das Kontrollkästchen Kennwortkontrolle durch IIS zulassen möchten Sie die LOGONUSER()-API von Windows für die Benutzerauthentifizierung verwenden.

      Hinweis: Diese Option Kennwort Steuerelement deaktivieren, Dies zwingt IIS normale Authentifizierung und das Konto lokal anmelden. Wenn Benutzer Probleme beim Zugriff auf Ressourcen wie Dateien oder Microsoft Access-Datenbanken auf einem Netzwerkcomputer auftreten, sollten Sie diese Option deaktivieren.
    4. Klicken Sie auf OK.
  8. Unter Authentifizierter Zugriff, klicken Sie auf die Standardauthentifizierung (Kennwort wird als Klartext gesendet) Kontrollkästchen Standardauthentifizierung aktivieren. Klicken Sie auf Ja, wenn die folgende Meldung:
    Sie Kennwörter unverschlüsselt über das Netzwerk ohne Verschlüsselung gewählte Authentifizierungsoption. Einem Protokollanalyseprogramm können jemand versucht, Ihr System Sicherheit Benutzerkennwörter während des Authentifizierungsprozesses überprüfen. Weitere Informationen zur Benutzerauthentifizierung finden Sie in der online-Hilfe. Diese Warnung gilt nicht für HTTPS (oder SSL) Verbindung.

    Sind Sie sicher, dass Sie fortfahren möchten?
    1. Zum Auswählen einer Domäne, Benutzer zu authentifizieren, die Standardauthentifizierung verwenden, klicken Sie auf Bearbeiten neben Standarddomäne auswählen.
    2. Geben Sie die Domäne im Feld Domäne , und klicken Sie auf OK.

      Hinweis Wenn Sie Sicherheitsbedenken im Intranet Standardauthentifizierung Benutzerinformationen und Kennwort im Klartext übermittelt, können Sie die Standardauthentifizierung zusammen mit Secure Sockets Layer (SSL).
  9. Aktivieren Sie das Kontrollkästchen Digestauthentifizierung für Windows-Domänenserver Digestauthentifizierung verwendet. Klicken Sie auf Ja, wenn die folgende Meldung:

    Digestauthentifizierung funktioniert mit Windows 2000-Domänenkonten und erfordert, dass die Konten Kennwörter als verschlüsselten Klartext speichern.

    Möchten Sie den Vorgang fortsetzen?
    Hinweis: Sie müssen Benutzerkonten konfigurieren, mit der Kontooption Kennwort mit reversibler Verschlüsselung speichern aktiviert.
  10. Aktivieren Sie das Kontrollkästchen integrierte Windows-Authentifizierung , integrierte Windows-Authentifizierung verwenden.

    Hinweis: Diese Authentifizierungsmethode wurde früher als Microsoft Windows NT Challenge/Response oder NT LAN Manager (NTLM).
  11. Klicken Sie auf OK, und Klicken Sie im Dialogfeld Eigenschaften von Element klicken. Wenn das Dialogfeld Vererbungsüberschreibungen wird geöffnet:
    1. Klicken Sie auf Alle auswählen , um Einstellungen der neuen Authentifizierung für alle Dateien oder Ordner, die innerhalb des Elements sind, die Sie geändert.
    2. Klicken Sie auf OK.
  12. Beenden Sie IIS.

Referenzen

Klicken Sie für weitere Informationen auf die folgenden Artikelnummern, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:

297954 über Behandlung von Webserver unter Windows 2000

299970 Verwendung von NTFS-Berechtigungen zum Schützen einer Webseite unter IIS 4.0 oder 5

216705 Festlegen von Berechtigungen für ein FrontPage-Web auf IIS

222028 setting Up Digest Authentication mit Internet Information Services 5.0
Eigenschaften

Artikelnummer: 308160 – Letzte Überarbeitung: 20.01.2017 – Revision: 2

Feedback