Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Zugreifen auf Netzwerkdateien von IIS-Anwendungen

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 207671
Es wird dringend empfohlen, dass alle Benutzer auf Microsoft-Internetinformationsdienste (IIS), Version 7.0 aktualisieren auf Microsoft Windows Server 2008 ausgeführt. IIS 7.0 erhöht die Sicherheit der Webinfrastruktur beträchtlich. Weitere Informationen zu IIS sicherheitsbezogene Themen finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zu IIS 7.0 finden Sie auf der folgenden Microsoft-Website:

IN DIESER AUFGABE

Zusammenfassung
Dieser Artikel enthält Informationen zu Problemen beim Zugriff auf Dateien auf einem anderen Computer als dem Server Internet Information Server (IIS) von einer Erweiterung (ISAPI = Internet Server API), Active Server Pages (ASP)-Seite oder (CGI = Common Gateway Interface)-Anwendung. Dieser Artikel listet einige der Probleme, die beteiligt sind und einige Möglichkeiten, das klappt.

Obwohl dieser Artikel hauptsächlich im Kontext der Zugriff auf Netzwerkfreigaben Dateienauf geschrieben wurde, gelten die Konzepte für named-Pipe-Verbindungen als auch. Named Pipes werden häufig für SQL Server-Verbindungen und auch Verbindungsunterbrechungen Remoteprozeduraufruf (RPC) und Component Object Model (COM)-Kommunikation verwendet. Sie insbesondere, wenn Sie eine SQL Server-Netzwerkregister über die Microsoft Windows NT integrierte Sicherheit konfiguriert ist herstellen, können keine Probleme herstellen, die in diesem Artikel beschrieben werden. RPC- und COM können auch andere Kommunikation Mechanismen einsparen ähnliche Netzwerk-Authentifizierungsschemas. Daher kann die Konzepte Inhalt dieses Artikels an eine Vielzahl von Netzwerk-Communicationmechanisms anwenden, die von IIS-Anwendungen verwendet werden kann.

back to the top

Arten von Authentifizierung und Identitätswechsel

Wenn IIS eine HTTP-Anforderung erfolgt, führt IIS Identitätswechsel Zugang zu Ressourcen für die Behandlung der Anforderung entsprechend beschränkt wird. Theimpersonated-Sicherheitskontext basiert auf die Art der Authenticationperformed für die Anforderung. Die fünf verschiedenen Typen von Authenticationavailable von IIS 4.0 sind:
Authentication Type                          Impersonation Type  Anonymous Access (no authentication)         NetworkAuto Password Synchronization isON (ON=default) Anonymous Access (no authentication)         IIS Clear TextAuto Password Synchronization is OFF         Basic Authentication                         IIS Clear Text NT Challenge/Response Authentication         Network Client SSL Certificate Mapping               Interactive				
back to the top

Typen von Metadatentoken

Ob der Zugriff auf Netzwerkressourcen zulässig ist hängt von dasart der Identitätswechseltoken, unter dem die Anforderung verarbeitet wird.
  • Netzwerk-Token dürfen "Nicht" auf Netzwerkressourcen zugreifen. (Netzwerk-Token werden so genannt, da diese Art von Token ist Traditionallycreated von einem Server, wenn ein Benutzer im Netzwerk authentifiziert wird. Toallow der Server an ein Netzwerk-Token verwenden als Andaccess eine Netzwerk-Client einen anderen Server heißt "Delegierung" und gilt als eine Possiblesecurity Bohrung.)
  • Interaktive Token werden üblicherweise verwendet, wenn einen lokalen Benutzer auf dem Computer authentifiziert. Interaktive Token Ressourcen über das Netzwerk zugreifen dürfen.
  • Batch-Token dienen einen Sicherheitskontext unter dem Batch-Jobs ausgeführt werden. Batch-Token haben Zugriff auf das Netzwerk.
IIS wurde das Konzept der Klartext -Anmeldung. Deaktivieren Sie Text -Anmeldung heißt also aufgrund der Tatsache, dass IIS auf den Benutzernamen und das Kennwort im Klartext zugreifen können.Sie können steuern, ob eine Klartext -Anmeldung ein Netzwerk-Token, ein interaktives-Token oder ein Batch-Token erstellt, indem die LogonMethod -Eigenschaft in Themetabase. Klartext -Anmeldungen, wird standardmäßig eine interaktive Tokenand Zugriff auf Netzwerkressourcen haben. Die LogonMethod kann auf dem Server, die Website, das virtuelle Verzeichnis, das Verzeichnis oder Dateiebene konfiguriert werden.

Anonymer Zugriff imitiert das Konto als das anonyme Userfor konfiguriert die Anforderung. IIS verfügt standardmäßig über eine einzelne anonyme Benutzer Accountcalled IUSR_<machinename> , dessen Identität angenommen wird, wenn eine nicht authentifizierte Anforderung behandelt. IIS 4.0 verfügt standardmäßig über eine konfigurierbare Featurecalled "Automatische Kennwortsynchronisierung aktivieren", die eine Securitysub-Behörde wird verwendet, um das Token zu erstellen. Token, die in dieser Weise Arenetwork Token erstellt werden, die Zugriff auf andere Computer im Netzwerkregister "Keine" haben. Wenn Sie die automatische Kennwortsynchronisation, IIS schafftdie Token auf die gleiche Weise wie die zuvor erwähnten Klartext -Anmeldung deaktivieren.Automatische Kennwortsynchronisierung ist nur für Konten verfügbar, dass sich auf demselben Computer wie IIS. Wenn Sie Youranonymous Konto in ein Domänenkonto ändern, UseAutomatic-Kennwortsynchronisierung ist nicht möglich und Sie erhalten eine Klartext -Anmeldung.Die Ausnahme ist, wenn Sie IIS auf dem primären Domänencontroller installieren. Inhalt dieses Fall sind die Domänenkonten auf dem lokalen Computer. Die Anonymousaccount und die Automatische Kennwortsynchronisierung aktivieren können die Beconfigured auf dem Server, der Website, das virtuelle Verzeichnis, das Verzeichnis oder Datei-Ebene.

Sie müssen den richtigen Typ des Tokens als ersten Schritt beim Zugriff auf ein Resourceon im Netzwerk verfügen. Sie müssen auch ein Konto imitieren, die Zugang zu die Ressource im Netzwerk hat. In der Standardeinstellung das Konto IUSR_<machinename> Benutzerkontos, das IIS für anonyme Anforderungen existiert nur auf dem lokalen Computer erstellt. Auch wenn Sie automatische Kennwortsynchronisation deaktivieren, damit bist du eine interaktive token abrufen kann, die auf Netzwerkressourcen zugreifen können, das IUSR_<machinename> Konto in der Regel keinen Tomost auf Netzwerkressourcen zuzugreifen, da dies ein Konto ist, das Unrecognizedon ist anderen Computern. Wenn Sie mit Anonymousrequests Netzwerk zugreifen möchten, müssen Sie das Standardkonto mit Anaccount in einer Domäne im Netzwerk ersetzen, die von Allcomputers erkannt werden können. Bei der Installation von IIS auf einem Domänencontroller, dem Konto IUSR_<machinename> Konto ein Domänenkonto und müssen ohne Additionalaction von anderen Computern im Netzwerk erkannt wird.

</machinename></machinename></machinename></machinename>back to the top

Problemvermeidung

Im folgenden werden Möglichkeiten zur Vermeidung von Problemen beim Zugriff auf Netzwerk-Resourcesfrom Ihre IIS-Anwendung:
  • Speichern Sie Dateien auf dem lokalen Computer.
  • Einige Netzwerk-Kommunikationsmethoden erfordern keine Sicherheitsüberprüfung. Ein Beispiel ist Windows Sockets verwenden.
  • Sie erhalten direkten Zugriff auf die Netzwerkressourcen der Computer Byconfiguring, ein virtuelles Verzeichnis zu:
    "Eine Freigabe auf einem anderen Computer."
    Alle Zugriffe auf die Computer, der die Netzwerkressourcen freigibt, erfolgt im Rahmen der unter das Connect as Dialogfeld angegebene Person. In diesem Fall egal, welche Art der Authentifizierung für die Virtualdirectory konfiguriert ist. Mit dieser Option werden alle Dateien auf der Netzwerkfreigabe von Browsern, die auf den IIS-Computer zugreifen.
  • Verwendung von Standardauthentifizierung oder anonyme Authentifizierung ohne Automatische Kennwortsynchronisierung.

    Standardmäßig bietet der Identitätswechsel, den Internet Information Server für die Standardauthentifizierung ist ein Token, das auf Netzwerkressourcen (im Gegensatz zu Windows NT Challenge/Response, das ein Token bereitstellt, auf die Netzwerkressourcen zugreifen kann) zugreifen kann. Für die anonyme Authentifizierung kann das Token nur eine Netzwerkressource zuzugreifen, wenn die automatische Kennwortsynchronisation deaktiviert ist. Automatische Kennwortsynchronisierung ist standardmäßig aktiviert, bei der Erstinstallation von Internet Information Server. Diese Standardkonfiguration kann nicht das Zugriffstoken des anonymen Benutzers auf Netzwerkressourcen zugreifen.
    259353 Muss Kennwort manuell eingeben, sobald Sie-Kennwortsynchronisierung umschalten
  • Konfigurieren Sie das anonyme Konto als ein Domänenkonto.

    Dies ermöglicht anonyme Anforderungen über mögliche Zugriff auf Ressourcen über wenden. Um zu verhindern, dass alle anonyme Anforderungen haben Zugriff auf das Netzwerk, müssen nur stellen dem anonymen Konto ein Domänenkonto auf die Virtualdirectories, die speziell Zugriff benötigen.
  • Konfigurieren Sie das anonyme Konto mit demselben Benutzernamen und Kennwort auf dem Computer ist die Netzwerk-Ressourcen und dann deaktivieren Sie Automatische Kennwortsynchronisierung.

    In diesem Fall müssen Sie sicherstellen, dass die Kennwörter genau übereinstimmen. Dieser Ansatz muss nur bei "Das anonyme Konto als Domänenkonto konfigurieren" bereits erwähnt Wiederaufbauhilfe aus irgendeinem Grund nicht möglich ist.
  • NullSessionShares und NullSessionPipes zulassen Zugang zu einer bestimmten Netzwerkfreigabe oder um eine benannte pipe beim verwendet werden kann Ihre Anfrage mit einem Token Netzwerk erfolgt.

    Wenn Sie ein Netzwerk-Token und Sie versuchen, eine Verbindung zu einer Netzwerkressource, die betriebliche Systemtries zum Herstellen einer Verbindung als eine nicht authentifizierte Verbindung (bezeichnet als "Nullsitzung"). Diese Registrierungseinstellung muss Madeon des Computers sein, der die Netzwerkressource nicht auf dem IIS-Computer freigibt. Wenn Youtry auf ein NullSessionShare oder NullSessionPipe mit einer nicht-Networktoken, typischen Microsoft Windows-Authentifizierung verwendet wird, und Zugriff auf Theresource auf der Accountuser Berechtigungen des imitierten Benutzers basiert.
  • Möglicherweise können Sie Ihre eigenen Identitätswechsel mit der Einrichtung einer Threadtoken ausführen, die Zugriff auf das Netzwerk verfügt.

    Der LogonUser -Funktion und die Funktion ImpersonateLoggedOnUser können verwendet werden, eine Differentaccount zu imitieren. Dies erfordert, dass Sie die Klartext-Benutzernamen und Passwordof ein anderes Konto verfügbar zum Code. LogonUser erfordert auch, dass das LogonUser ruft Konto die Berechtigung "Als Teil des Betriebssystems handeln" im Benutzer-Manager verfügt. Standardmäßig werden die meisten Benutzer, IIS imitiert, Whileit behandelt eine HTTP-Anforderung müssen dieses Benutzerrecht nicht. Für "In Anwendungen" sind jedoch eine Reihe von Möglichkeiten, dazu führen, dass Yourcurrent-Sicherheitskontext auf das Konto "LocalSystem", welche hateine die "Als Teil des Betriebssystems handeln" administrativen Anmeldeinformationen ändern. Für ISAPI-DLLsthat in den Prozess ausführen wird die beste Möglichkeit, die Sicherheit Contextthat erstellten IIS auf dem Konto "LocalSystem" ändern dieRevertToSelf -Funktion aufzurufen. Wenn Sie Ihre IIS-Anwendung "aus OfProcess" ausführen, dieser Mechanismus funktioniert nicht standardmäßig da der Prozess Isrunning unter der IWAM_<machinename> Konto und nicht die lokale Systemaccount. In der Standardeinstellung das IWAM_<machinename> muss "Nicht" die "Als Teil des Betriebssystems handeln" Administratorrechte.</machinename> </machinename>
  • Fügen Sie die Komponente, die für eine COM+-Serveranwendung oder Microsoft Transaction Server (MTS) Server-Paket von der ASP-Seite aufgerufen wird, und geben Sie dann einen bestimmten Benutzer als die Identität des Pakets.

    Hinweis Die Komponente wird in einer separaten .exe-Datei, die außerhalb von IIS ausgeführt.
  • Einfache/Klartextauthentifizierung empfehlen wir, verschlüsseln Sie die Daten mit SSL, da es extrem einfach eine Netzwerkablaufverfolgung Anmeldeinformationen erhältlich ist. Weitere Informationen dazu, wie Sie SSL zu installieren, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
    228991 Das Erstellen und Installieren eines SSL-Zertifikats in Internet Information Server 4.0
Hinweis Vergessen Sie nicht, dass Sie Netzwerkzugriff für anonyme Anforderungen verhindern können, wo Kennwortsynchronisierung ist deaktiviert, und Anforderungen werden authentifiziert, indem Standardauthentifizierung (Klartext Anmeldungen) verwenden, wenn Sie die LogonMethod -Eigenschaft der Metabasis auf "2" (d. h., dass zur Anmeldung am Netzwerk zum Erstellen von Token für den Identitätswechsel verwendet wird) festgelegt. Mit dieser Einstellung ist die einzige Möglichkeit für Anforderungen an die Netzwerk-token-Beschränkung umgehen NullSessionPipes und NullSessionShares herstellen.

Verwenden Sie nicht auf Netzwerkfreigaben zugeordneten Laufwerkbuchstaben. Nur gibt es nur 26 möglichen Laufwerkbuchstaben aus, aber wenn Sie Versuch einen Laufwerkbuchstaben, der in einem anderen Sicherheitskontext zugeordnet ist verwenden, können Probleme auftreten. Stattdessen müssen Sie immer Namen Universal Naming Convention(UNC) Zugriff auf Ressourcen verwenden. Das Format muss ähnlich wie folgende aussehen:
\\MyServer\filesharename\directoryname\filename
Weitere Informationen zur Verwendung von UNC klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
280383 IIS-Sicherheitsempfehlungen bei Verwendung eine UNC-Freigabe
Die Informationen in diesem Artikel beziehen sich nur auf Internet InformationServer 4.0. In Internet Information Server 5.0 (das in Windows 2000 enthalten), gibt es erhebliche Änderungen an Funktionen und neue Authenticationtypes. Obwohl die meisten die Konzepte in dieser Articlestill auf IIS 5.0 zu, Artikel die Details zu den Identitätswechseltoken, die mit bestimmten Authentifizierungsschemas in diesem generiert werden Applystrictly auf IIS 4.0.

319067 Wie Anwendungen nicht im Kontext des Systemkontos ausgeführt.
Wenn Sie welche Art der Anmeldung Isoccurring auf Ihrem Server IIS-Anforderungen ermitteln können, können Sie Auditingfor Anmeldungen und Abmeldungen aktivieren. Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Einstellungen, klicken Sie auf Systemsteuerung, klicken Sie auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
  2. Nach dem Öffnen von lokale Sicherheitsrichtlinie im linken Bereich der Strukturansicht klicken Sie auf Sicherheitseinstellungen, klicken Sie auf Lokale Richtlinien, und klicken Sie dann auf Überwachungsrichtlinie.
  3. Doppelklicken Sie auf Audit-Anmeldeereignis und klicken Sie dann auf Erfolg und Fehler.Ereignisprotokoll Einträge Areadded in das Sicherheitsprotokoll geschrieben. Sie können die Art der Anmeldung auf an die Ereignisdetails unter der Anmeldetyp bestimmen:
2 = interaktiv
3 = Netzwerk
4 = Batch
5 = Service
back to the top
Informationsquellen
Weitere Informationen zur Netzwerksicherheit klicken Sie auf die folgenden Artikelnummern klicken, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:
124184 Der Dienst ausgeführt wird, wie das System-Konto Zugriff auf Netzwerk ausfällt
180362 Dienste und umgeleitete Laufwerke
319067 Wie Anwendungen nicht im Kontext des Systemkontos ausgeführt.
280383 IIS-Sicherheitsempfehlungen bei Verwendung eine UNC-Freigabe
259353 Muss Kennwort manuell eingeben, sobald Sie-Kennwortsynchronisierung umschalten
back to the top
kbdse

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 207671 – Letzte Überarbeitung: 03/15/2015 04:02:00 – Revision: 7.0

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5

  • kbhowtomaster kbhttp kbmt KB207671 KbMtde
Feedback
ne;" onerror="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> d=1&t=">rack by $index" class="col-sm-6 col-xs-24 ng-scope"> Venezuela - Español
icrosoft.com/c.gif?DI=4050&did=1&t=">&did=1&t=">ementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> ;did=1&t=">>.microsoft.com/ms.js'><\/script>");