Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

De browser wordt niet ondersteund

Werk de browser bij als je de site wilt gebruiken.

Werk de browser bij naar de nieuwste versie van Internet Explorer

Beschrijving van de update waarmee Uitgebreide beveiliging voor verificatie in Internet Information Services (IIS) wordt geïmplementeerd

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Inleiding
In dit artikel wordt een niet aan beveiliging gerelateerde update beschreven waarmee Uitgebreide beveiliging voor verificatie in Internet Information Services (IIS) wordt geïmplementeerd.

Wanneer Uitgebreide beveiliging voor verificatie is ingeschakeld, worden verificatieverzoeken gebonden aan de SPN's (Service Principal Names) van de server waarmee de client verbinding probeert te maken en aan het TLS-kanaal (Transport Layer Security) waarover de Geïntegreerde Windows-verificatie plaatsvindt.

Opmerking Deze update is op 9 maart 2010 uitgebracht om af te rekenen met een installatieprobleem en een functionaliteitprobleem:
  • Deze update detecteert voortaan op de juiste wijze wanneer een computer met Windows Server 2003 Service Pack 2 (SP2) een installatie bevat waarbij IIS 6 een aantal binaire bestanden voor Windows Server 2003 Service Pack 1 (SP1) bevat. In een dergelijk geval wordt de installatie afgesloten met een foutcode. De versies van 973917 die voor deze datum zijn uitgebracht, kunnen worden geïnstalleerd, maar IIS kan vervolgens niet opnieuw worden gestart nadat de installatie is voltooid.
  • Op een computer met Windows Server 2003 rekent deze versie van de update af met een probleem dat kan leiden tot het toewijzen van buitensporig grote hoeveelheden geheugen wanneer Uitgebreide beveiliging voor verificatie wordt ingeschakeld.
  • Op een computer waarop Windows Server 2008 wordt uitgevoerd, rekent deze versie van de update af met een probleem dat ertoe kan leiden dat Uitgebreide beveiliging niet correct werkt wanneer IIS is geconfigureerd voor het gebruik van Windows-verificatie in de kernel-modus.
Meer informatie

Configuratie

Met Uitgebreide beveiliging wordt de bestaande Windows-verificatiefunctionaliteit uitgebreid om het risico op verificatierelay- of 'man-in-the-middle'-aanvallen te verminderen. Dit wordt bereikt met behulp van beveiligingsinformatie die via twee beveiligingsmechanismen wordt geïmplementeerd:
  • Kanaalbindingsinformatie die wordt opgegeven via een CBT (Channel Binding Token). Deze wordt hoofdzakelijk gebruikt voor SSL-verbindingen.
  • Servicebindingsinformatie die wordt opgegeven via een SPN (Service Principal Name). Deze wordt hoofdzakelijk gebruikt voor verbindingen die geen gebruikmaken van SSL of wanneer een verbinding tot stand wordt gebracht. Dit kan bijvoorbeeld het geval zijn in een scenario waarin SSL wordt geoffload door een ander apparaat, zoals een proxyserver of een taakverdelingsvoorziening.
In IIS 7.0 wordt Uitgebreide beveiliging geconfigureerd via het element <extendedProtection>. Gedetailleerde configuratie-informatie is te vinden onder het kopje Configuratie onder IIS 7.0 en IIS 7.5. Voor IIS 6.0 worden dezelfde configuratieparameters gebruikt, maar de parameters worden met behulp van registersleutels geïmplementeerd. (Zie de sectie Configuratie onder IIS 6.0.)

Het element <extendedProtection> kan een verzameling <spn>-elementen bevatten, waarvan elk een unieke SPN voor de servicebindingsinformatie bevat. Elke SPN staat voor een uniek eindpunt in het verbindingspad. Dit kan een FQDN (Fully Qualified Domain Name) of NetBIOS-naam zijn van de doelserver of een proxyserver. Als een client bijvoorbeeld via een proxyserver verbinding maakt met een doelserver, moet de SPN-verzameling op de doelserver de SPN voor de proxyserver bevatten. Elke SPN in de verzameling moet het voorvoegsel 'HTTP' hebben. Daarom zou de SPN voor 'www.contoso.com' bijvoorbeeld 'HTTP/www.contoso.com' zijn.

Scenario's voor Uitgebreide beveiliging

Neem de volgende voorbeeldscenario's.
Scenario Vlaggen Beschrijving
Client maakt rechtstreeks verbinding met doelserver die HTTP gebruikt. Proxy, ProxyCohosting SPN-controle wordt gebruikt en controle van kanaalbindingstoken wordt niet gebruikt.
Client maakt rechtstreeks verbinding met doelserver die SSL gebruikt. Geen Controle van kanaalbindingstoken wordt gebruikt en SPN-controle wordt niet gebruikt.
Client maakt verbinding met doelserver via een proxyserver die HTTP voor het pad gebruikt. Proxy, ProxyCohosting SPN-controle wordt gebruikt en controle van kanaalbindingstoken wordt niet gebruikt.
Client maakt verbinding met doelserver via een proxyserver die SSL voor het pad gebruikt. Proxy SPN-controle wordt gebruikt en controle van kanaalbindingstoken wordt niet gebruikt.
Client maakt verbinding met proxyserver die SSL gebruikt en proxyserver maakt verbinding met de doelserver die HTTP gebruikt (SSL-offloading). Proxy SPN-controle wordt gebruikt en controle van kanaalbindingstoken wordt niet gebruikt.
  • In deze scenario's kunt u ook de vlag AllowDotlessSpn opgeven als uw netwerkomgeving op NetBIOS gebaseerde SPN's ondersteunt. Op NetBIOS gebaseerde SPN's zijn echter niet beveiligd.
  • Voor de scenario's waarin SPN-controle wordt gebruikt en controle van channelbindingstoken niet wordt gebruikt, moet u de vlag NoServiceNameCheck niet opgeven.
  • Met de standaardinstallatie van IIS 6.0, IIS 7.0 of IIS 7.5 wordt Windows-verificatie niet ingeschakeld of geïnstalleerd. Uitgebreide beveiliging is alleen van toepassing wanneer Windows-verificatie is ingeschakeld voor uw website of toepassing.

Configuratie onder IIS 7.0 en 7.5

In de standaardinstallatie van IIS 7.0 is niet de service voor rollen van Windows-verificatie opgenomen. Als u Windows-verificatie wilt gebruiken onder IIS, moet u de service voor rollen installeren, anonieme verificatie voor uw website of toepassing uitschakelen, en vervolgens Windows-verificatie voor de site of toepassing inschakelen.

Opmerking Nadat u de service voor rollen hebt geïnstalleerd, worden de volgende configuratie-instellingen door IIS 7.0 vastgelegd in het bestand ApplicationHost.config.
<windowsAuthentication enabled="false" />

Uitgebreide beveiliging voor Windows-verificatie inschakelen voor IIS 7.5

  1. Klik op Start, wijs Systeembeheer aan en klik op Beheer van Internet Information Services (IIS).
  2. Vouw in het deelvenster Verbindingen de servernaam uit, vouw Sites uit en selecteer de site, toepassing of webservice waarvoor u Uitgebreide beveiliging voor Windows-verificatie wilt inschakelen.
  3. Blader naar de sectie Beveiliging in het beginvenster en dubbelklik op Verificatie.
  4. Selecteer in het deelvenster Verificatie op de optie Windows-verificatie.
  5. Klik op Inschakelen in het deelvenster Acties.
  6. Klik op Geavanceerde instellingen in het deelvenster Acties.
  7. Wanneer het dialoogvenster Geavanceerde instellingen wordt weergegeven, selecteert u een van de volgende opties in het menu Uitgebreide beveiliging:
    • Selecteer Accepteren als u uitgebreide beveiliging wilt inschakelen en tegelijkertijd down-level-ondersteuning wilt bieden voor clients die uitgebreide beveiliging niet ondersteunen.
    • Selecteer Vereist als u uitgebreide beveiliging wilt inschakelen zonder down-level-ondersteuning te bieden.
  8. Klik op OK om het dialoogvenster Geavanceerde instellingen te sluiten.

Uitgebreide beveiliging voor Windows-verificatie inschakelen voor IIS 7.0

Beheer van Internet Information Services (IIS) Manager voor IIS 7.0 beschikt niet over de opties om wijzigingen aan te brengen in Uitgebreide beveiliging. Daarom moeten wijzigingen worden aangebracht met behulp van het configuratievoorbeeld of de scripts die verderop in dit artikel worden getoond.

Configuratie

Kenmerk
Het element <extendedProtection> kan in het bestand ApplicationHost.config worden geconfigureerd op siteniveau, toepassingsniveau of virtuele mapniveau.
KenmerkBeschrijving
flagsHet optionele kenmerk flags.

Geeft de aanvullende instellingen voor gedrag voor uitgebreide beveiliging aan.

Het kenmerk flags kan een combinatie van de waarden in de volgende tabel zijn. De standaardwaarde is None.
tokenCheckingHet optionele kenmerk enum.

Geeft het gedrag aan voor de controle van kanaalbindingsinformatie.

Het kenmerk tokenChecking kan een van de waarden in de volgende tabel zijn. De standaardwaarde is None.
Met het kenmerk flags (vlaggen) wordt aanvullend gedrag voor uitgebreide beveiliging geconfigureerd. De mogelijke vlaggen zijn als volgt.
NaamBeschrijving
GeenDeze vlag geeft aan dat er geen aanvullend gedrag is ingeschakeld voor uitgebreide beveiliging. (Er wordt bijvoorbeeld geen proxyserver gebruikt en SPN-controle is ingeschakeld en vereist FQDN's.)

De numerieke waarde is 0.
ProxyDeze vlag geeft aan dat een deel van het communicatiepad via een proxy zal gaan of dat de client rechtstreeks verbinding maakt met de doelserver via HTTP.

De numerieke waarde is 1.
NoServiceNameCheckDeze vlag geeft aan dat SPN-controle is uitgeschakeld. Deze vlag mag niet worden gebruikt in scenario's waarin alleen SPN's worden gecontroleerd.

De numerieke waarde is 2.
AllowDotlessSpnDeze vlag geeft aan dat het voor SPN's niet vereist is om een FQDN te zijn.

Opmerking Het instellen van deze vlag is geen beveiligd scenario, omdat niet op FQDN gebaseerde namen kwetsbaar zijn voor naamomzettingsaanvallen. Deze instelling wordt niet aanbevolen omdat klanten hiermee mogelijk aan risico's worden blootgesteld.

De numerieke waarde is 4.
ProxyCohostingDeze vlag geeft aan dat het communicatiepad van client naar server alleen HTTP gebruikt. Geen onderdeel van het communicatiepad zal SSL gebruiken en SPN-controle wordt gebruikt.

Opmerking Als u deze vlag opgeeft, moet u ook de vlag Proxy opgeven.

De numerieke waarde is 32.
Door het kenmerk tokenChecking wordt het gedrag voor de controle van kanaalbindingstokens geconfigureerd. De mogelijke waarden voor dit kenmerk zijn als volgt.
NaamBeschrijving
GeenDeze waarde geeft aan dat door IIS geen controle van kanaalbindingstokens wordt uitgevoerd. Deze instelling simuleert het gedrag dat vóór de uitgebreide beveiliging bestond.

De numerieke waarde is 0.
Allow(Toestaan) Deze waarde geeft aan dat controle van kanaalbindingstokens is ingeschakeld, maar niet verplicht is. Deze instelling maakt het mogelijk dat communicatie met clients die uitgebreide beveiliging ondersteunen door de functie worden beveiligd, maar ondersteunt ook clients die geen gebruik kunnen maken van uitgebreide beveiliging.

De numerieke waarde is 1.
Require(Vereisen) Deze waarde geeft aan dat controle van kanaalbindingstokens verplicht is. Deze instelling biedt geen ondersteuning voor clients die geen uitgebreide beveiliging ondersteunen.

De numerieke waarde is 2.
Onderliggende elementen
ElementBeschrijving
spnVoegt een SPN toe aan de verzameling.
clearSpnsWist de verzameling van SPN's.
removeSpnVerwijdert een SPN uit verzameling.

Configuratievoorbeeld

In het volgende voorbeeld wordt een <extendedProtection>-element weergegeven waarin het inschakelen van Windows-verificatie met uitgebreide beveiliging voor de standaardwebsite wordt getoond. In het voorbeeld worden twee SPN-vermeldingen aan de verzameling SPN's toegevoegd.
<location path="Default Web Site">   <system.webServer>      <security>         <authentication>            <windowsAuthentication enabled="true">               <extendedProtection tokenChecking="Allow" flags="None">                  <spn name="HTTP/www.contoso.com" />                  <spn name="HTTP/contoso.com" />               </extendedProtection>            </windowsAuthentication>         </authentication>      </security>   </system.webServer></location>

Voorbeeldcode

In de volgende voorbeelden wordt getoond hoe Windows-verificatie met uitgebreide beveiliging wordt ingeschakeld voor de standaardwebsite en hoe twee SPN's aan de verzameling worden toegevoegd.
AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"Allow" /extendedProtection.flags:"None" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/www.contoso.com']" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/contoso.com']" /commit:apphost
Opmerking U moet de parameter commit instellen op APPHOST als u AppCmd.exe gebruikt om deze instellingen te configureren. Met deze instelling worden de configuratie-instellingen vastgelegd op de juiste locatiesectie in het bestand ApplicationHost.config.
C#

using System;using System.Text;using Microsoft.Web.Administration;internal static class Sample{   private static void Main()   {      using (ServerManager serverManager = new ServerManager())      {         Configuration config = serverManager.GetApplicationHostConfiguration();         ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site");         windowsAuthenticationSection["enabled"] = true;         ConfigurationElement extendedProtectionElement = windowsAuthenticationSection.GetChildElement("extendedProtection");         extendedProtectionElement["tokenChecking"] = @"Allow";         extendedProtectionElement["flags"] = @"None";         ConfigurationElementCollection extendedProtectionCollection = extendedProtectionElement.GetCollection();         ConfigurationElement spnElement = extendedProtectionCollection.CreateElement("spn");         spnElement["name"] = @"HTTP/www.contoso.com";         extendedProtectionCollection.Add(spnElement);         ConfigurationElement spnElement1 = extendedProtectionCollection.CreateElement("spn");         spnElement1["name"] = @"HTTP/contoso.com";         extendedProtectionCollection.Add(spnElement1);         serverManager.CommitChanges();      }   }}

Visual Basic .NET

Imports SystemImports System.TextImports Microsoft.Web.AdministrationModule Sample   Sub Main()      Dim serverManager As ServerManager = New ServerManager      Dim config As Configuration = serverManager.GetApplicationHostConfiguration      Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site")      windowsAuthenticationSection("enabled") = True      Dim extendedProtectionElement As ConfigurationElement = windowsAuthenticationSection.GetChildElement("extendedProtection")      extendedProtectionElement("tokenChecking") = "Allow"      extendedProtectionElement("flags") = "None"      Dim extendedProtectionCollection As ConfigurationElementCollection = extendedProtectionElement.GetCollection      Dim spnElement As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")      spnElement("name") = "HTTP/www.contoso.com"      extendedProtectionCollection.Add(spnElement)      Dim spnElement1 As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")      spnElement1("name") = "HTTP/contoso.com"      extendedProtectionCollection.Add(spnElement1)      serverManager.CommitChanges()   End SubEnd Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");windowsAuthenticationSection.Properties.Item("enabled").Value = true;var extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection");extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow";extendedProtectionElement.Properties.Item("flags").Value = "None";var extendedProtectionCollection = extendedProtectionElement.Collection;var spnElement = extendedProtectionCollection.CreateNewElement("spn");spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com";extendedProtectionCollection.AddElement(spnElement);var spnElement1 = extendedProtectionCollection.CreateNewElement("spn");spnElement1.Properties.Item("name").Value = "HTTP/contoso.com";extendedProtectionCollection.AddElement(spnElement1);adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")windowsAuthenticationSection.Properties.Item("enabled").Value = TrueSet extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection")extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow"extendedProtectionElement.Properties.Item("flags").Value = "None"Set extendedProtectionCollection = extendedProtectionElement.CollectionSet spnElement = extendedProtectionCollection.CreateNewElement("spn")spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com"extendedProtectionCollection.AddElement(spnElement)Set spnElement1 = extendedProtectionCollection.CreateNewElement("spn")spnElement1.Properties.Item("name").Value = "HTTP/contoso.com"extendedProtectionCollection.AddElement(spnElement1)adminManager.CommitChanges()

Configuratie onder IIS 6.0

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756 Een back-up van het register maken en het register terugzetten in Windows XP

In IIS 6.0 kan Uitgebreide beveiliging voor verificatie worden geconfigureerd door de volgende registersleutels in te stellen.
Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\tokenChecking
Toegestane waarden: 0 (Geen), 1 (Toestaan), 2 (Vereisen)
Gegevenstype:DWORD
Standaardinstelling: 0
NaamBeschrijving
GeenDeze waarde geeft aan dat door IIS geen controle van kanaalbindingstokens wordt uitgevoerd. Deze instelling simuleert het gedrag dat vóór de uitgebreide beveiliging bestond.

De numerieke waarde is 0.
Allow(Toestaan) Deze waarde geeft aan dat controle van kanaalbindingstokens is ingeschakeld, maar niet verplicht is. Deze instelling maakt het mogelijk dat communicatie met clients die uitgebreide beveiliging ondersteunen door de functie worden beveiligd, maar ondersteunt ook clients die geen gebruik kunnen maken van uitgebreide beveiliging.

De numerieke waarde is 1.
Require(Vereisen) Deze waarde geeft aan dat controle van kanaalbindingstokens verplicht is. Deze instelling biedt geen ondersteuning voor clients die geen uitgebreide beveiliging ondersteunen.

De numerieke waarde is 2.
Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\flags
Toegestane waarden: 0 (none), 1 (proxy), 2 (NoServiceNameCheck), 4 (AllowDotlessSpn), 32 (ProxyCohosting)
Gegevenstype:DWORD
Standaardinstelling: 0
NaamBeschrijving
GeenDeze vlag geeft aan dat er geen aanvullend gedrag is ingeschakeld voor uitgebreide beveiliging. (Er wordt bijvoorbeeld geen proxyserver gebruikt.)

De numerieke waarde is 0.
ProxyDeze vlag geeft aan dat een deel van het communicatiepad via een proxy zal gaan. Als de client rechtstreeks verbinding maakt met de doelserver over HTTP, moeten zowel Proxy als ProxyCoHosting zijn ingeschakeld.

De numerieke waarde is 1.
NoServiceNameCheckDeze vlag geeft aan dat SPN-controle is uitgeschakeld. Deze vlag mag niet worden gebruikt in scenario's waarin alleen SPN's worden gecontroleerd.

De numerieke waarde is 2.
AllowDotlessSpnDeze vlag geeft aan dat het voor SPN's niet vereist is om een FQDN te zijn. Als deze vlag wordt ingesteld, zijn op NetBIOS gebaseerde SPN's toegestaan.

Opmerking Het instellen van deze vlag is geen beveiligd scenario, omdat niet op FQDN gebaseerde namen kwetsbaar zijn voor naamomzettingsaanvallen. Deze instelling wordt niet aanbevolen omdat klanten hiermee mogelijk aan risico's worden blootgesteld.

De numerieke waarde is 4.
ProxyCohostingDeze vlag geeft aan dat het communicatiepad van client naar server alleen HTTP gebruikt. Geen onderdeel van het communicatiepad zal SSL gebruiken en SPN-controle wordt gebruikt. Schakel dit ook in als zowel beveiligd als niet-beveiligd verkeer dat via de proxy wordt verzonden met succes moet worden geverifieerd.

Opmerking Als u deze vlag opgeeft, moet u ook de vlag Proxy opgeven.

De numerieke waarde is 32.
Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\spns
Toegestane waarden: <strings>
Gegevenstype:MULTI_SZ
Standaardinstelling: leeg
Voer de onderstaande procedure uit om deze registersleutels in te stellen:
  1. Start de Register-editor. Klik hiertoe op Start en op Uitvoeren. Typ regedit en klik op OK.
  2. Zoek de volgende registersubsleutel en klik op deze sleutel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\
  3. Controleer of de registerwaarden
    tokenChecking
    ,
    Flags
    en
    spns
    aanwezig zijn.

    Als deze registerwaarden nog niet bestaan, voert u de volgende stappen uit om deze te maken:
    1. Selecteer de registersubsleutel die in stap 2 wordt vermeld, wijs Nieuw aan in het menu Bewerken en klik op DWORD-waarde.
    2. Typ tokenChecking en druk op Enter.
    3. Selecteer de registersubsleutel die in stap 2 wordt vermeld, wijs Nieuw aan in het menu Bewerken en klik op DWORD-waarde.
    4. Typ flags en druk op Enter.
    5. Selecteer de registersubsleutel die in stap 2 wordt vermeld, wijs Nieuw aan in het menu Bewerken en klik op MULTI_SZ-waarde.
    6. Typ spns en druk op Enter.
  4. Klik om de registerwaarde tokenChecking te selecteren.
  5. Open het menu Bewerken en klik op Wijzigen.
  6. Typ de gewenste waarde in het vak Waardegegevens en klik op OK.
  7. Klik om de registerwaarde flags te selecteren.
  8. Typ de gewenste waarde in het vak Waardegegevens en klik op OK.
  9. Klik om de registerwaarde spns te selecteren.
  10. Voer in het vak Waardegegevens een geschikte spn in en klik op OK.
  11. Sluit de Register-editor af.
Ga voor meer informatie over de functie Uitgebreide beveiliging voor verificatie en over het inschakelen van deze functie nadat deze update is geïnstalleerd naar de volgende Microsoft-website: Ga voor meer informatie over IIS naar de volgende Microsoft-website:Geïntegreerde Windows-verificatie met uitgebreide beveiligingService Principal Names

Informatie over de update

Vereisten voor Windows Server2003

Voor deze update is een correcte installatie van Windows Server 2003 Service Pack 2 (SP2) vereist. In sommige gevallen kunnen er binaire bestanden van Service Pack 1 (SP1) zijn geïnstalleerd op een computer waarop voor het overige SP2 wordt uitgevoerd. Als u deze update op zo'n computer installeert, kan een IIS-fout ontstaan waardoor de server voor alle aanvragen het foutbericht '503 Service niet beschikbaar' geeft. U kunt vaststellen of de server de juiste SP2-binaire bestanden voor IIS bevat door te controleren of de versienummers van uw bestanden gelijk zijn aan of later zijn dan de versienummers in de onderstaande tabel.
File nameFile versionFile sizeDatePlatformSP requirement
Adrot.dll6.0.3790.395958,88017-Feb-2007x86SP2
Adsiis.dll6.0.3790.3959291,32817-Feb-2007x86SP2
Asp.dll6.0.3790.3959388,09617-Feb-2007x86SP2
Browscap.dll6.0.3790.395947,10417-Feb-2007x86SP2
Certobj.dll6.0.3790.395982,43217-Feb-2007x86SP2
Coadmin.dll6.0.3790.395964,00017-Feb-2007x86SP2
Controt.dll6.0.3790.395933,79217-Feb-2007x86SP2
Davcdata.exe6.0.3790.395927,13617-Feb-2007x86SP2
Davcprox.dll6.0.3790.39596,65617-Feb-2007x86SP2
Gzip.dll6.0.3790.395925,60017-Feb-2007x86SP2
Httpext.dll6.0.3790.3959241,66417-Feb-2007x86SP2
Httpmib.dll6.0.3790.395918,94417-Feb-2007x86SP2
Httpodbc.dll6.0.3790.395948,64017-Feb-2007x86SP2
Iisadmin.dll6.0.3790.395921,50417-Feb-2007x86SP2
Iiscfg.dll6.0.3790.39591,133,05617-Feb-2007x86SP2
Iisclex4.dll6.0.3790.062,97618-Feb-2007x86SP2
Iisext.dll6.0.3790.395982,94417-Feb-2007x86SP2
Iislog.dll6.0.3790.395976,28817-Feb-2007x86SP2
Iisres.dll6.0.3790.3959122,88017-Feb-2007x86SP2
Iisrstas.exe6.0.3790.395928,16017-Feb-2007x86SP2
Iisui.dll6.0.3790.3959217,08817-Feb-2007x86SP2
Iisuiobj.dll6.0.3790.395968,60817-Feb-2007x86SP2
Iisutil.dll6.0.3790.3959167,93617-Feb-2007x86SP2
Iisw3adm.dll6.0.3790.3959216,57617-Feb-2007x86SP2
Iiswmi.dll6.0.3790.3959194,56017-Feb-2007x86SP2
Inetinfo.exe6.0.3790.395914,33617-Feb-2007x86SP2
Inetmgr.dll6.0.3790.39591,058,30417-Feb-2007x86SP2
Inetmgr.exe6.0.3790.395919,45617-Feb-2007x86SP2
Infocomm.dll6.0.3790.3959235,52017-Feb-2007x86SP2
Isapips.dll6.0.3790.39598,19217-Feb-2007x86SP2
Isatq.dll6.0.3790.395952,73617-Feb-2007x86SP2
Iscomlog.dll6.0.3790.395919,45617-Feb-2007x86SP2
Logscrpt.dll6.0.3790.395925,60017-Feb-2007x86SP2
Lonsint.dll6.0.3790.395913,31217-Feb-2007x86SP2
Metadata.dll6.0.3790.3959234,49617-Feb-2007x86SP2
Nextlink.dll6.0.3790.395961,44017-Feb-2007x86SP2
Nntpadm.dll6.0.3790.3959187,39217-Feb-2007x86SP2
Nntpsnap.dll6.0.3728.02,663,42417-Feb-2007x86SP2
Rpcref.dll6.0.3790.39594,09617-Feb-2007x86SP2
Seo.dll6.0.3790.3959219,13617-Feb-2007x86SP2
Smtpadm.dll6.0.3790.3959179,20017-Feb-2007x86SP2
Smtpsnap.dll6.0.3728.02,086,40017-Feb-2007x86SP2
Ssinc.dll6.0.3790.395924,06417-Feb-2007x86SP2
Svcext.dll6.0.3790.395944,54417-Feb-2007x86SP2
Uihelper.dll6.0.3790.3959114,17617-Feb-2007x86SP2
Urlauth.dll6.0.3790.395915,36017-Feb-2007x86SP2
W3cache.dll6.0.3790.395919,45617-Feb-2007x86SP2
W3comlog.dll6.0.3790.395910,75217-Feb-2007x86SP2
W3core.dll6.0.3790.3959349,69617-Feb-2007x86SP2
W3ctrlps.dll6.0.3790.39596,14417-Feb-2007x86SP2
W3ctrs.dll6.0.3790.395924,06417-Feb-2007x86SP2
W3dt.dll6.0.3790.395939,42417-Feb-2007x86SP2
W3ext.dll6.0.3790.395992,67217-Feb-2007x86SP2
W3isapi.dll6.0.3790.395962,46417-Feb-2007x86SP2
W3tp.dll6.0.3790.395913,31217-Feb-2007x86SP2
W3wp.exe6.0.3790.39597,16817-Feb-2007x86SP2
Wam.dll6.0.3790.395923,04017-Feb-2007x86SP2
Wamps.dll6.0.3790.39596,65617-Feb-2007x86SP2
Wamreg.dll6.0.3790.395955,80817-Feb-2007x86SP2

Bekende problemen

  • Windows Server 2003

    Deze update is uitgebracht op 9 maart 2010 en voorziet in een extra controle waarbij er wordt nagegaan of het IIS 6-systeem op een computer waarop Windows Server 2003 SP2 wordt uitgevoerd binaire bestanden uit de SP1-versie bevat. Als dergelijke binaire bestanden worden gevonden, wordt deze update afgesloten met een foutbericht. U kunt dit probleem verhelpen door de SP2-update opnieuw op uw computers toe te passen en door vervolgens dit pakket te installeren nadat u SP2 opnieuw hebt geïnstalleerd.

    De oorspronkelijke versie van de beveiligingsupdate, die vóór 9 maart 2010 is uitgebracht, kan er de oorzaak van zijn dat ISS-groepen van toepassingen niet worden gestart onder installaties van Windows Server 2003 SP2 waarbij IIS 6 mogelijk binaire bestanden uit SP1 bevat. In het systeemlogboek wordt in een dergelijk geval het volgende foutbericht weergegeven wanneer de IIS-service wordt gestart:
    Gebeurtenis-id 1009, beschrijving: Een proces voor de groep toepassingen DefaultAppPool is onverwacht beëindigd. De proces-id is '1234'.
    Klik voor meer informatie over dit bekende probleem op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
    2009746 Internet Information Services 6.0 werkt mogelijk niet correct nadat KB973917 is geïnstalleerd (Het Engels)
    Het is raadzaam om de sectie Vereisten voor Windows Server 2003 door te nemen als uw computer niet van een schone Windows Server 2003 SP2-installatie is voorzien.

    Als de IIS-installatie op uw computer gebruikmaakt van een configuratie waarin zowel binaire bestanden uit SP1 als uit SP2 aanwezig zijn, wordt deze update met ingang van 16 december 2009 niet langer aangeboden wanneer u gebruikmaakt van Automatische updates. Het is raadzaam om het volgende Microsoft Knowledge Base-artikel door te nemen voor de volgende stappen die moeten worden uitgevoerd, zodat u zeker weet dat de computer is voorbereid voor het toepassen van deze update.
    2009746 Internet Information Services 6.0 werkt mogelijk niet correct nadat KB973917 is geïnstalleerd (Het Engels)
  • Windows Server 2003 en Windows Server 2008

    Deze update is op 9 maart 2010 opnieuw uitgebracht. Deze opnieuw uitgebrachte update vervangt de gehele oorspronkelijke versie. Als u deze nieuw versie installeert, wordt de oorspronkelijke versie verwijderd en door de nieuwe versie vervangen. Het verwijderen van de versie van 9 maart van deze update leidt er toe dat Uitgebreide beveiliging voor de IIS-functionaliteit wordt verwijderd.
Bestandsgegevens
Met de Engelse (VS) versie van dit updatepakket worden de bestanden geïnstalleerd met de kenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in de UTC-notatie (Coordinated Universal Time). De datums en tijden voor deze bestanden worden weergegeven in uw lokale tijd, waarbij rekening is gehouden met de zomer- of wintertijd. De datums en tijden kunnen veranderen wanneer u bepaalde acties op de bestanden uitvoert.

Informatie over bestanden in Windows XP en Windows Server 2003

  • De bestanden die van toepassing zijn op een specifieke mijlpaal (RTM, SPn) en servicestructuur (QFE, GDR), worden vermeld in de kolommen SP-vereiste en Servicestructuur.
  • GDR-servicestructuren bevatten uitsluitend de oplossingen die op grote schaal beschikbaar zijn gesteld om wijdverbreide kritieke problemen te verhelpen. QFE-servicestructuren bevatten hotfixes als aanvulling op de grootschalig beschikbaar gestelde oplossingen.
  • Naast de bestanden die in deze tabellen worden vermeld, wordt door deze software-update een beveiligingscatalogusbestand (KB-nummer.cat) geïnstalleerd. Dit bestand is ondertekend met een digitale handtekening van Microsoft.

Voor alle ondersteunde x64-versies van Windows Server 2003 en voor Windows XP Professional x64 Edition

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616562,17618-Feb-201019:57x64SP2SP2GDR
Httpapi.dll5.2.3790.461637,37618-Feb-201019:57x64SP2SP2GDR
Strmfilt.dll6.0.3790.4647134,65618-Feb-201019:57x64SP2SP2GDR
W3core.dll6.0.3790.4667547,32818-Feb-201019:57x64SP2SP2GDR
W3dt.dll6.0.3790.466758,88018-Feb-201019:57x64SP2SP2GDR
W3isapi.dll6.0.3790.466784,99218-Feb-201019:57x64SP2SP2GDR
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:57x86SP2SP2GDR\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:57x86SP2SP2GDR\WOW
Ww3core.dll6.0.3790.4667350,72018-Feb-201019:57x86SP2SP2GDR\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:57x86SP2SP2GDR\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:57x86SP2SP2GDR\WOW
Http.sys5.2.3790.4616567,80818-Feb-201019:53x64SP2SP2QFE
Httpapi.dll5.2.3790.461637,37618-Feb-201019:53x64SP2SP2QFE
Strmfilt.dll6.0.3790.4647134,65618-Feb-201019:53x64SP2SP2QFE
W3core.dll6.0.3790.4667547,32818-Feb-201019:53x64SP2SP2QFE
W3dt.dll6.0.3790.466758,88018-Feb-201019:53x64SP2SP2QFE
W3isapi.dll6.0.3790.466784,99218-Feb-201019:53x64SP2SP2QFE
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:53x86SP2SP2QFE\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:53x86SP2SP2QFE\WOW
Ww3core.dll6.0.3790.4667351,23218-Feb-201019:53x86SP2SP2QFE\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:53x86SP2SP2QFE\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:53x86SP2SP2QFE\WOW

Voor alle ondersteunde x86-versies van Windows Server 2003

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616292,86406-Nov-200912:54x86SP2SP2GDR
Httpapi.dll5.2.3790.461625,08811-Nov-200905:09x86SP2SP2GDR
Strmfilt.dll6.0.3790.464786,52811-Jan-201010:23x86SP2SP2GDR
W3core.dll6.0.3790.4667350,72018-Feb-201005:31x86SP2SP2GDR
W3dt.dll6.0.3790.466739,42418-Feb-201005:31x86SP2SP2GDR
W3isapi.dll6.0.3790.466762,97618-Feb-201005:31x86SP2SP2GDR
Http.sys5.2.3790.4616294,91206-Nov-200911:46x86SP2SP2QFE
Httpapi.dll5.2.3790.461625,08811-Nov-200905:51x86SP2SP2QFE
Strmfilt.dll6.0.3790.464786,52811-Jan-201009:36x86SP2SP2QFE
W3core.dll6.0.3790.4667351,23218-Feb-201005:50x86SP2SP2QFE
W3dt.dll6.0.3790.466739,42418-Feb-201005:50x86SP2SP2QFE
W3isapi.dll6.0.3790.466762,97618-Feb-201005:50x86SP2SP2QFE

Voor alle ondersteunde IA-64-versies van Windows Server 2003

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616806,91218-Feb-201019:57IA-64SP2SP2GDR
Httpapi.dll5.2.3790.461669,63218-Feb-201019:57IA-64SP2SP2GDR
Strmfilt.dll6.0.3790.4647254,97618-Feb-201019:57IA-64SP2SP2GDR
W3core.dll6.0.3790.46671,066,49618-Feb-201019:57IA-64SP2SP2GDR
W3dt.dll6.0.3790.466787,04018-Feb-201019:57IA-64SP2SP2GDR
W3isapi.dll6.0.3790.4667121,85618-Feb-201019:57IA-64SP2SP2GDR
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:57x86SP2SP2GDR\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:57x86SP2SP2GDR\WOW
Ww3core.dll6.0.3790.4667350,72018-Feb-201019:57x86SP2SP2GDR\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:57x86SP2SP2GDR\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:57x86SP2SP2GDR\WOW
Http.sys5.2.3790.4616815,10418-Feb-201019:51IA-64SP2SP2QFE
Httpapi.dll5.2.3790.461669,63218-Feb-201019:51IA-64SP2SP2QFE
Strmfilt.dll6.0.3790.4647254,97618-Feb-201019:51IA-64SP2SP2QFE
W3core.dll6.0.3790.46671,067,00818-Feb-201019:51IA-64SP2SP2QFE
W3dt.dll6.0.3790.466787,04018-Feb-201019:51IA-64SP2SP2QFE
W3isapi.dll6.0.3790.4667121,85618-Feb-201019:51IA-64SP2SP2QFE
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:51x86SP2SP2QFE\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:51x86SP2SP2QFE\WOW
Ww3core.dll6.0.3790.4667351,23218-Feb-201019:51x86SP2SP2QFE\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:51x86SP2SP2QFE\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:51x86SP2SP2QFE\WOW

Bestandsinformatie voor Windows Vista en Windows Server 2008

  • Of bestanden betrekking hebben op een specifiek product, specifieke mijlpaal (RTM, SPn) of specifieke servicestructuur (LDR, GDR), kunt u controleren aan de hand van het nummer van de bestandsversie in de volgende tabel:ERROR: PhantomJS timeout occurred