Internet Information Services'ta (IIS) Kimlik Doğrulaması için Genişletilmiş Koruma teknolojisini kullanan güncelleştirmenin açıklaması

Giriş

Bu makalede, Internet Information Services'ta (IIS) Kimlik Doğrulaması için Genişletilmiş Koruma teknolojisini kullanan güvenlikle ilgili olmayan bir güncelleştirme açıklanır.

Kimlik Doğrulaması için Genişletilmiş Koruma etkinleştirildiğinde, kimlik doğrulama istekleri hem istemcinin bağlanmaya çalıştığı sunucunun Hizmet Asıl Adları'na (SPN) hem de Tümleşik Windows Kimlik Doğrulaması gerçekleştirilen dış Aktarım Katmanı Güvenliği (TLS) kanalına bağlıdır.

Not Bu güncelleştirme, bir yükleme sorununu ve bir işlevsel sorunu gidermek üzere 9 Mart 2010 tarihinde yeniden yayımlanmıştır:
  • Bu güncelleştirme artık IIS 6'nın bazı Windows Server 2003 Service Pack 1 (SP1) ikili dosyaları içerdiği bir yükleme gerçekleştirilen Windows Server 2003 Service Pack 2 (SP2) çalışan bir bilgisayarı doğru şekilde algılar ve yükleme işlemini reddederek bir hata koduyla sonlandırılır. 973917 numaralı güncelleştirmenin bu tarihten önce yayımlanmış sürümleri başarıyla yüklenir, ancak yüklemenin ardından IIS'nin başlatılamamasına neden olabilirler.
  • Bu yeniden yayımlanan sürüm, Windows Server 2003 çalışan bir bilgisayarda Kimlik Doğrulaması için Genişletilmiş Koruma etkinleştirildikten sonra aşırı miktarda bellek ayrılmasına neden olan bir sorunu giderir.
  • Yeniden yayımlanan sürüm, Windows Server 2008 çalışan bir bilgisayarda IIS, çekirdek modu Windows Kimlik Doğrulaması kullanılacak biçimde yapılandırıldığında Genişletilmiş Koruma özelliğinin düzgün çalışmamasına neden olan bir sorunu giderir.

Daha fazla bilgi

Yapılandırma

Genişletilmiş koruma, kimlik doğrulaması geçişinin veya "ortadaki adam" saldırılarının etkilerini azaltmak yoluyla varolan Windows Kimlik Doğrulaması işlevselliğini geliştirir. Bu azaltıcı etken, iki güvenlik mekanizması aracılığıyla uygulanan güvenlik bilgileri kullanılarak gerçekleştirilir:
  • Kanal Bağlama Belirteci (CBT) aracılığıyla belirtilen kanal bağlama bilgileri. Temel olarak SSL bağlantıları için kullanılır.
  • Hizmet asıl adı (SPN) aracılığıyla belirtilen hizmet bağlama bilgileri. Temel olarak SSL kullanmayan bağlantılarda veya bir bağlantı oluşturulduğunda kullanılır. Örneğin, SSL yükünün bir proxy sunucu veya yük dengeleyici gibi başka bir aygıta aktarıldığı bir senaryoda kullanılabilir.
IIS 7.0' da, Genişletilmiş Koruma özelliği <extendedProtection> öğesi aracılığıyla yapılandırılır. Ayrıntılı yapılandırma bilgileri, "IIS 7.0 ve IIS 7.5'te Yapılandırma" başlığı altında bulunabilir. IIS 6.0 için aynı yapılandırma parametreleri kullanılır; ancak bu parametreler, kayıt defteri anahtarları kullanılarak dağıtılır. ("IIS 6.0'da Yapılandırma" bölümünü inceleyin.)

<extendedProtection> öğesi, hizmet bağlama bilgileri için her biri benzersiz bir SPN içeren bir dizi <spn> öğesi içerebilir. Her bir SPN, bağlantı yolundaki benzersiz bir bitiş noktasını gösterir. Hedef sunucunun veya proxy sunucunun Tam Etki Alanı Adı (FQDN) veya NetBIOS adı olabilir. Örneğin, bir istemci proxy sunucu üzerinden bir hedef sunucuya bağlanıyorsa, hedef sunucudaki SPN topluluğunun proxy sunucu SPN'sini içermesi gerekir. Topluluktaki her bir SPN, "HTTP" önekini almalıdır. Bu nedenle, "www.contoso.com" adresinin SPN değeri "HTTP/www.contoso.com" olacaktır.

Genişletilmiş Koruma Senaryoları

Aşağıdaki örnek senaryoları inceleyin.
SenaryoBayraklarAçıklama
İstemci, HTTP kullanan hedef sunucuya doğrudan bağlanıyor.Proxy, ProxyCohostingSPN denetimi kullanılıyor ve kanal bağlama belirteci denetimi kullanılmıyor.
İstemci, SSL kullanan hedef sunucuya doğrudan bağlanıyor.YokKanal bağlama belirteci denetimi kullanılıyor, SPN denetimi kullanılmıyor.
İstemci, hedef sunucuya yol olarak HTTP kullanan bir proxy sunucu aracılığıyla bağlanıyor.Proxy, ProxyCohostingSPN denetimi kullanılıyor ve kanal bağlama belirteci denetimi kullanılmıyor.
İstemci, hedef sunucuya yol olarak SSL kullanan bir proxy sunucu aracılığıyla bağlanıyor.ProxySPN denetimi kullanılıyor ve kanal bağlama belirteci denetimi kullanılmıyor.
İstemci, SSL kullanan proxy sunucuya bağlanıyor ve proxy sunucu HTTP (SSL yükünü hafifletme) kullanan hedef sunucuya bağlanıyor.ProxySPN denetimi kullanılıyor ve kanal bağlama belirteci denetimi kullanılmıyor.
  • Bu senaryolarda, ağ ortamınızda NetBIOS tabanlı SPN'ler destekleniyorsa, AllowDotlessSpn bayrağını da belirtebilirsiniz. Ancak NetBIOS tabanlı SPN'ler güvenli değildir.
  • SPN denetiminin kullanıldığı ve kanal bağlama belirteci denetiminin kullanılmadığı senaryolarda NoServiceNameCheck bayrağını belirtmemelisiniz.
  • IIS 6.0, IIS 7.0 veya IIS 7.5'in varsayılan yüklemelerinde Windows kimlik doğrulaması etkinleştirilmez veya yüklenmez. Genişletilmiş Koruma yalnızca Web siteniz veya uygulamanız için Windows kimlik doğrulaması etkinleştirildiğinde uygulanabilir.

IIS 7.0 ve IIS 7.5'te Yapılandırma

IIS 7.0'ın varsayılan yüklemesinde Windows kimlik doğrulaması rol hizmeti bulunmamaktadır. IIS üzerinde Windows kimlik doğrulaması kullanmak için rol hizmetini yüklemeniz, Web siteniz veya uygulamanız için Anonim kimlik doğrulamasını devre dışı bırakmanız ve daha sonra siteniz veya uygulamanız için Windows kimlik doğrulamasını etkinleştirmeniz gerekir.

Not Rol hizmeti yüklendikten sonra, IIS 7.0, ApplicationHost.config dosyasında aşağıdaki yapılandırma ayarlarını yapar.
<windowsAuthentication enabled="false" />

IIS 7.5'te Windows kimlik doğrulaması için Genişletilmiş Koruma'yı etkinleştirme

  1. Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve sonra Internet Information Services (IIS) Yöneticisi'ni tıklatın.
  2. Bağlantılar bölmesinde, sunucu adını ve ardından Siteler'i genişletin, sonra da Windows kimlik doğrulaması için Genişletilmiş Koruma'yı etkinleştirmek istediğiniz siteyi, uygulamayı ya da Web hizmetini seçin.
  3. Giriş bölmesindeki Güvenlik bölümüne gidin ve Kimlik Doğrulaması'nı çift tıklatın.
  4. Kimlik Doğrulaması bölmesinde, Windows Kimlik Doğrulaması seçeneğini belirleyin.
  5. Eylemler bölmesinde, Etkinleştir'i tıklatın.
  6. Eylemler bölmesinde, Gelişmiş Ayarlar'ı tıklatın.
  7. Gelişmiş Ayarlar iletişim kutusu görüntülendiğinde, Genişletilmiş Koruma menüsündeki aşağıdaki seçeneklerden birini belirleyin:
    • Genişletilmiş koruma özelliğini desteklemeyen istemciler için alt düzeyde destek sağlayarak genişletilmiş koruma özelliğini etkinleştirmek istiyorsanız Kabul Et seçeneğini belirleyin.
    • Alt düzeyde destek sağlamadan genişletilmiş koruma özelliğini etkinleştirmek istiyorsanız, Gerekli seçeneğini belirleyin.

  8. Gelişmiş Ayarlar iletişim kutusunu kapatmak üzere Tamam'ı tıklatın.

IIS 7.0'da Windows kimlik doğrulaması için Genişletilmiş Koruma'yı etkinleştirme

IIS 7.0 için Internet Information Services (IIS) Yöneticisi'nde, Genişletilmiş Koruma özelliğinde değişiklik yapma seçenekleri bulunmamaktadır. Bu nedenle, bu makalenin ilerleyen bölümlerinde gösterilen yapılandırma örneği veya komut dosyaları kullanılarak değişiklik yapılması gerekir.

Yapılandırma

Öznitelik
ApplicationHost.config dosyasındaki <extendedProtection> öğesi site, uygulama veya sanal dizin düzeyinde yapılandırılabilir.
ÖznitelikAçıklama
flagsİsteğe bağlı flags özniteliğidir.



Genişletilmiş koruma için ek davranış ayarlarını belirler.



Flags özniteliği sonraki tabloda yer alan değerlerin bir birleşimi olabilir. Varsayılan değer olarak Yok kullanılır.
tokenCheckingİsteğe bağlı enum özniteliğidir.



Kanal bağlama bilgileri denetiminin davranışını belirtir.



tokenChecking özniteliği sonraki tabloda yer alan değerlerden biri olabilir. Varsayılan değer olarak Yok kullanılır.
Flags özniteliği, genişletilmiş koruma için ek davranışı yapılandırır. Olası bayraklar aşağıdaki gibidir.
AdAçıklama
YokBu bayrak, genişletilmiş koruma için ek bir davranışın etkinleştirilmemiş olduğunu belirtir. (Örneğin, proxy sunucu kullanılmamaktadır, SPN denetimi etkinleştirilmiştir ve FQDN'ler gerektirmektedir.)


Sayısal değeri 0'dır.
ProxyBu bayrak, iletişim yolunun bir bölümünün proxy aracılığıyla olacağını veya istemcinin hedef sunucuya HTTP üzerinden doğrudan bağlandığını belirtir.


Sayısal değeri 1'dir.
NoServiceNameCheckBu bayrak, SPN denetiminin devre dışı bırakılmış olduğunu belirtir. Bu bayrak, yalnızca SPN'lerin denetlendiği senaryolarda kullanılmamalıdır.


Sayısal değeri 2'dir.
AllowDotlessSpnBu bayrak, SPN'lerin FQDN olması gerekmediğini belirtir.

Not Bu bayrağın ayarlanması güvenli bir senaryo değildir; çünkü FQDN tabanlı olmayan adlar, ad çözümlemesi kirletme saldırılarına karşı savunmasızdır. Bu ayar müşterileri riske atabileceği için önerilmez.


Sayısal değeri 4'tür.
ProxyCohostingBu bayrak, istemciden sunucuya doğru olan iletişim yolunda yalnızca HTTP kullanılacağını belirtir. İletişim yolunun hiçbir bölümünde SSL kullanılmaz, SPN denetimi kullanılır.

Not Bu bayrağı belirttiğinizde, Proxy bayrağını da belirtmeniz gerekir.


Sayısal değeri 32'dir.
tokenChecking özniteliği, kanal bağlama belirteçleri denetiminin davranışını yapılandırır. Bu öznitelik için olası değerler aşağıdaki gibidir.
AdAçıklama
YokBu değer, IIS'nin kanal bağlama belirteci denetimi gerçekleştirmediğini belirtir. Bu ayar, genişletilmiş korumadan önce varolan davranışa öykünür.


Sayısal değeri 0'dır.
İzin VerBu değer, kanal bağlama belirteci denetiminin etkinleştirilmiş ama gerekli olmadığını belirtir. Bu ayar, genişletilmiş koruma özelliğini destekleyen istemcilerle iletişimlere izin verir; ancak genişletilmiş koruma özelliğini kullanamayan istemcileri de desteklemeye devam eder.


Sayısal değeri 1'dir.
GerektirBu değer, kanal bağlama belirteci denetiminin gerekli olduğunu belirtir. Bu ayar, genişletilmiş koruma özelliğini desteklemeyen istemciler için destek sağlamaz.


Sayısal değeri 2'dir.
Alt Öğeler
ÖğeAçıklama
SPNSPN'yi topluluğa ekler.
clearSpnsSPN topluluğunu temizler.
removeSpnSPN'yi topluluktan kaldırır.

Yapılandırma Örneği

Aşağıdaki örnekte, Varsayılan Web Sitesi için genişletilmiş koruma ile birlikte Windows kimlik doğrulamasını etkinleştirme işleminin gösterildiği bir <extendedProtection> öğesi görüntülenmektedir. Bu örnekte, SPN topluluğuna iki SPN girdisi eklenmektedir.
<location path="Varsayılan Web Sitesi">
<system.webServer>
<security>
<authentication>
<windowsAuthentication enabled="true">
<extendedProtection tokenChecking="İzin Ver" flags="Yok">
<spn name="HTTP/www.contoso.com" />
<spn name="HTTP/contoso.com" />
</extendedProtection>
</windowsAuthentication>
</authentication>
</security>
</system.webServer>
</location>

Örnek Kod

Aşağıdaki örneklerde, Varsayılan Web Sitesi için genişletilmiş koruma ile birlikte Windows kimlik doğrulamasının nasıl etkinleştirileceği ve topluluğa iki SPN'nin nasıl ekleneceği gösterilmektedir.
AppCmd.exe

appcmd.exe set config "Varsayılan Web Sitesi" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphost

appcmd.exe set config "Varsayılan Web Sitesi" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"İzin Ver" /extendedProtection.flags:"Yok" /commit:apphost

appcmd.exe set config "Varsayılan Web Sitesi" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/www.contoso.com']" /commit:apphost

appcmd.exe set config "Varsayılan Web Sitesi" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/contoso.com']" /commit:apphost
Not Bu ayarları yapılandırmak için AppCmd.exe aracını kullandığınızda, commit parametresini APPHOST olarak ayarladığınızdan emin olmalısınız. Bu ayar, ApplicationHost.config dosyasının uygun konum bölümüne yapılandırma ayarlarını kaydeder.
C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();

ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Varsayılan Web Sitesi");
windowsAuthenticationSection["enabled"] = true;

ConfigurationElement extendedProtectionElement = windowsAuthenticationSection.GetChildElement("extendedProtection");
extendedProtectionElement["tokenChecking"] = @"İzin Ver";
extendedProtectionElement["flags"] = @"Yok";

ConfigurationElementCollection extendedProtectionCollection = extendedProtectionElement.GetCollection();

ConfigurationElement spnElement extendedProtectionCollection.CreateElement("spn"); =
spnElement["name"] = @"HTTP/www.contoso.com";
extendedProtectionCollection.Add(spnElement);

ConfigurationElement spnElement1 = extendedProtectionCollection.CreateElement("spn");
spnElement1["name"] = @"HTTP/contoso.com";
extendedProtectionCollection.Add(spnElement1);

serverManager.CommitChanges();
}
}
}

Visual Basic .NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration

Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Varsayılan Web Sitesi")
windowsAuthenticationSection("enabled") = True

Dim extendedProtectionElement As ConfigurationElement = windowsAuthenticationSection.GetChildElement("extendedProtection")
extendedProtectionElement("tokenChecking") = "İzin Ver"
extendedProtectionElement("flags") = "Yok"

Dim extendedProtectionCollection As ConfigurationElementCollection = extendedProtectionElement.GetCollection

Dim spnElement As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")
spnElement("name") = "HTTP/www.contoso.com"
extendedProtectionCollection.Add(spnElement)

Dim spnElement1 As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")
spnElement1("name") = "HTTP/contoso.com"
extendedProtectionCollection.Add(spnElement1)

serverManager.CommitChanges()
End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Varsayılan Web Sitesi");
windowsAuthenticationSection.Properties.Item("enabled").Value = true;

var extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection");
extendedProtectionElement.Properties.Item("tokenChecking").Value = "İzin Ver";
extendedProtectionElement.Properties.Item("flags").Value = "Yok";

var extendedProtectionCollection = extendedProtectionElement.Collection;

var spnElement = extendedProtectionCollection.CreateNewElement("spn");
spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com";
extendedProtectionCollection.AddElement(spnElement);

var spnElement1 = extendedProtectionCollection.CreateNewElement("spn");
spnElement1.Properties.Item("name").Value = "HTTP/contoso.com";
extendedProtectionCollection.AddElement(spnElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Varsayılan Web Sitesi")
windowsAuthenticationSection.Properties.Item("enabled").Value = True

Set extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection")
extendedProtectionElement.Properties.Item("tokenChecking").Value = "İzin Ver"
extendedProtectionElement.Properties.Item("flags").Value = "Yok"

Set extendedProtectionCollection = extendedProtectionElement.Collection

Set spnElement = extendedProtectionCollection.CreateNewElement("spn")
spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com"
extendedProtectionCollection.AddElement(spnElement)

Set spnElement1 = extendedProtectionCollection.CreateNewElement("spn")
spnElement1.Properties.Item("name").Value = "HTTP/contoso.com"
extendedProtectionCollection.AddElement(spnElement1)

adminManager.CommitChanges()

IIS 6.0'da Yapılandırma

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows XP'de kayıt defterini yedekleme ve geri yükleme

IIS 6.0'da Kimlik Doğrulaması için Genişletilmiş Koruma, aşağıdaki kayıt defteri anahtarları ayarlanarak yapılandırılabilir.
Kayıt defteri anahtarı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\tokenChecking
İzin Verilen Değerler: 0 (Yok), 1 (İzin Ver), 2 (Gerektir)
Veri Türü:DWORD
Varsayılan: 0
AdAçıklama
YokBu değer, IIS'nin kanal bağlama belirteci denetimi gerçekleştirmediğini belirtir. Bu ayar, genişletilmiş korumadan önce varolan davranışa öykünür.


Sayısal değeri 0'dır.
İzin VerBu değer, kanal bağlama belirteci denetiminin etkinleştirilmiş ama gerekli olmadığını belirtir. Bu ayar, genişletilmiş koruma özelliğini destekleyen istemcilerle iletişimlere izin verir; ancak genişletilmiş koruma özelliğini kullanamayan istemcileri de desteklemeye devam eder.


Sayısal değeri 1'dir.
GerektirBu değer, kanal bağlama belirteci denetiminin gerekli olduğunu belirtir. Bu ayar, genişletilmiş koruma özelliğini desteklemeyen istemciler için destek sağlamaz.


Sayısal değeri 2'dir.
Kayıt defteri anahtarı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\flags
İzin Verilen Değerler: 0 (yok), 1 (proxy), 2 (NoServiceNameCheck), 4 (AllowDotlessSpn), 32 (ProxyCohosting)
Veri Türü:DWORD
Varsayılan: 0
AdAçıklama
YokBu bayrak, genişletilmiş koruma için ek bir davranışın etkinleştirilmemiş olduğunu belirtir. (Örneğin, proxy sunucu kullanılmıyordur.)


Sayısal değeri 0'dir.
ProxyBu bayrak, iletişim yolunun bir bölümünün proxy aracılığıyla olacağını belirtir. İstemci hedef sunucuya HTTP üzerinden doğrudan bağlanırken hem Proxy hem de ProxyCoHosting etkinleştirilmiş olmalıdır.

Sayısal değeri 1'dir.
NoServiceNameCheckBu bayrak, SPN denetiminin devre dışı bırakılmış olduğunu belirtir. Bu bayrak, yalnızca SPN'lerin denetlendiği senaryolarda kullanılmamalıdır.

Sayısal değeri 2'dir.
AllowDotlessSpnBu bayrak, SPN'lerin FQDN olması gerekmediğini belirtir. Bu bayrak ayarlandığında, NetBIOS tabanlı SPN'ler sağlar.

Not Bu bayrağın ayarlanması güvenli bir senaryo değildir; çünkü FQDN tabanlı olmayan adlar, ad çözümlemesi kirletme saldırılarına karşı savunmasızdır. Bu ayar müşterileri riske atabileceği için önerilmez.

Sayısal değeri 4'tür.
ProxyCohostingBu bayrak, istemciden sunucuya doğru olan iletişim yolunda yalnızca HTTP kullanılacağını belirtir. İletişim yolunun hiçbir bölümünde SSL kullanılmaz, SPN denetimi kullanılır. Proxy üzerinden gönderilen hem güvenli hem de güvenli olmayan trafik için başarıyla kimlik doğrulaması yapılması gerekiyorsa da bu bayrağı etkinleştirin.

Not Bu bayrağı belirttiğinizde, Proxy bayrağını da belirtmeniz gerekir.


Sayısal değeri 32'dir.
Kayıt defteri anahtarı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\spns
İzin Verilen Değerler: <strings>
Veri Türü:MULTI_SZ
Varsayılan: boş
Bu kayıt defteri anahtarlarını ayarlamak için aşağıdaki işlemi uygulayın:
  1. Kayıt Defteri Düzenleyicisi'ni başlatın. Bunu yapmak için, Başlat'ı ve sonra Çalıştır'ı tıklatın, regedit yazın ve Tamam'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:


    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\
  3. tokenChecking, Flags ve spns kayıt defteri değerlerinin varolduğunu doğrulayın.



    Bu kayıt defteri değerleri yoksa, aşağıdaki adımları izleyerek onları oluşturun:
    1. 2. adımda listelenen kayıt defteri alt anahtarını seçin, Düzen menüsünde Yeni'nin üzerine gelin ve sonra DWORD Değeri'ni tıklatın.
    2. tokenChecking yazın ve ENTER tuşuna basın.
    3. 2. adımda listelenen kayıt defteri alt anahtarını seçin, Düzen menüsünde Yeni'nin üzerine gelin ve sonra DWORD Değeri'ni tıklatın.
    4. flags yazın ve ENTER tuşuna basın.
    5. 2. adımda listelenen kayıt defteri alt anahtarını seçin, Düzen menüsünde Yeni'nin üzerine gelin ve sonra MULTI_SZ Değeri'ni tıklatın.
    6. spns yazın ve ENTER tuşuna basın.
  4. tokenChecking kayıt defteri değerini tıklatıp seçin.
  5. Düzen menüsünde, Değiştir'i tıklatın.
  6. Değer verisi kutusuna tercih edilen değeri yazın ve Tamam'ı tıklatın.
  7. flags kayıt defteri değerini tıklatıp seçin.
  8. Değer verisi kutusuna tercih edilen değeri yazın ve Tamam'ı tıklatın.
  9. spns kayıt defteri değerini tıklatıp seçin.
  10. Değer verisi kutusuna uygun bir spn yazın ve Tamam'ı tıklatın.
  11. Kayıt Defteri Düzenleyicisi'nden çıkın.
Kimlik Doğrulaması için Genişletilmiş Koruma özelliği ve güncelleştirme yüklendikten sonra bu özelliğin nasıl etkinleştirileceği hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin: IIS hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:Genişletilmiş Koruma İle Birlikte Tümleşik Windows Kimlik DoğrulamasıHizmet Asıl Adları

Güncelleştirme bilgileri

Windows Server 2003 için önkoşullar

Bu güncelleştirme Windows Server 2003 Service Pack 2'nin (SP2) düzgün bir şekilde yüklenmiş olmasını gerektirir. Bazı durumlarda, Service Pack 2 (SP2) çalışan bir bilgisayara SP1 ikili dosyaları yüklenmiş olabilir. Bu türde bir bilgisayara bu güncelleştirmenin yüklenmesi IIS hatasına ve dolayısıyla sunucunun tüm istekler için "503 Hizmet Kullanılamıyor" hata iletileri döndürmesine neden olabilir. Sunucuda IIS için doğru SP2 ikili dosyalarının çalışıp çalışmadığını belirlemek için, aşağıdaki dosya tablosuna başvurarak sürüm numaralarının burada listelenen dosya sürümleriyle aynı veya sonraki sürümler olduklarını doğrulayın.

File nameFile versionFile sizeDatePlatformSP requirement
Adrot.dll6.0.3790.395958,88017-Feb-2007x86SP2
Adsiis.dll6.0.3790.3959291,32817-Feb-2007x86SP2
Asp.dll6.0.3790.3959388,09617-Feb-2007x86SP2
Browscap.dll6.0.3790.395947,10417-Feb-2007x86SP2
Certobj.dll6.0.3790.395982,43217-Feb-2007x86SP2
Coadmin.dll6.0.3790.395964,00017-Feb-2007x86SP2
Controt.dll6.0.3790.395933,79217-Feb-2007x86SP2
Davcdata.exe6.0.3790.395927,13617-Feb-2007x86SP2
Davcprox.dll6.0.3790.39596,65617-Feb-2007x86SP2
Gzip.dll6.0.3790.395925,60017-Feb-2007x86SP2
Httpext.dll6.0.3790.3959241,66417-Feb-2007x86SP2
Httpmib.dll6.0.3790.395918,94417-Feb-2007x86SP2
Httpodbc.dll6.0.3790.395948,64017-Feb-2007x86SP2
Iisadmin.dll6.0.3790.395921,50417-Feb-2007x86SP2
Iiscfg.dll6.0.3790.39591,133,05617-Feb-2007x86SP2
Iisclex4.dll6.0.3790.062,97618-Feb-2007x86SP2
Iisext.dll6.0.3790.395982,94417-Feb-2007x86SP2
Iislog.dll6.0.3790.395976,28817-Feb-2007x86SP2
Iisres.dll6.0.3790.3959122,88017-Feb-2007x86SP2
Iisrstas.exe6.0.3790.395928,16017-Feb-2007x86SP2
Iisui.dll6.0.3790.3959217,08817-Feb-2007x86SP2
Iisuiobj.dll6.0.3790.395968,60817-Feb-2007x86SP2
Iisutil.dll6.0.3790.3959167,93617-Feb-2007x86SP2
Iisw3adm.dll6.0.3790.3959216,57617-Feb-2007x86SP2
Iiswmi.dll6.0.3790.3959194,56017-Feb-2007x86SP2
Inetinfo.exe6.0.3790.395914,33617-Feb-2007x86SP2
Inetmgr.dll6.0.3790.39591,058,30417-Feb-2007x86SP2
Inetmgr.exe6.0.3790.395919,45617-Feb-2007x86SP2
Infocomm.dll6.0.3790.3959235,52017-Feb-2007x86SP2
Isapips.dll6.0.3790.39598,19217-Feb-2007x86SP2
Isatq.dll6.0.3790.395952,73617-Feb-2007x86SP2
Iscomlog.dll6.0.3790.395919,45617-Feb-2007x86SP2
Logscrpt.dll6.0.3790.395925,60017-Feb-2007x86SP2
Lonsint.dll6.0.3790.395913,31217-Feb-2007x86SP2
Metadata.dll6.0.3790.3959234,49617-Feb-2007x86SP2
Nextlink.dll6.0.3790.395961,44017-Feb-2007x86SP2
Nntpadm.dll6.0.3790.3959187,39217-Feb-2007x86SP2
Nntpsnap.dll6.0.3728.02,663,42417-Feb-2007x86SP2
Rpcref.dll6.0.3790.39594,09617-Feb-2007x86SP2
Seo.dll6.0.3790.3959219,13617-Feb-2007x86SP2
Smtpadm.dll6.0.3790.3959179,20017-Feb-2007x86SP2
Smtpsnap.dll6.0.3728.02,086,40017-Feb-2007x86SP2
Ssinc.dll6.0.3790.395924,06417-Feb-2007x86SP2
Svcext.dll6.0.3790.395944,54417-Feb-2007x86SP2
Uihelper.dll6.0.3790.3959114,17617-Feb-2007x86SP2
Urlauth.dll6.0.3790.395915,36017-Feb-2007x86SP2
W3cache.dll6.0.3790.395919,45617-Feb-2007x86SP2
W3comlog.dll6.0.3790.395910,75217-Feb-2007x86SP2
W3core.dll6.0.3790.3959349,69617-Feb-2007x86SP2
W3ctrlps.dll6.0.3790.39596,14417-Feb-2007x86SP2
W3ctrs.dll6.0.3790.395924,06417-Feb-2007x86SP2
W3dt.dll6.0.3790.395939,42417-Feb-2007x86SP2
W3ext.dll6.0.3790.395992,67217-Feb-2007x86SP2
W3isapi.dll6.0.3790.395962,46417-Feb-2007x86SP2
W3tp.dll6.0.3790.395913,31217-Feb-2007x86SP2
W3wp.exe6.0.3790.39597,16817-Feb-2007x86SP2
Wam.dll6.0.3790.395923,04017-Feb-2007x86SP2
Wamps.dll6.0.3790.39596,65617-Feb-2007x86SP2
Wamreg.dll6.0.3790.395955,80817-Feb-2007x86SP2

Bilinen sorunlar

  • Windows Server 2003

    Bu güncelleştirme, Windows Server 2003 SP2 çalışan bir bilgisayardaki IIS sisteminin SP1 sürümünden ikili dosyalar içermediğinden emin olmak üzere ek bir denetim gerçekleştirmek üzere 9 Mart 2010 tarihinde yeniden yayımlandı. Bu tür ikili dosyalar bulunursa, bu güncelleştirme bir hata iletisiyle sonlandırılır. Bu durumu düzeltmek için, SP2 güncelleştirmesini bilgisayarlarınıza yeniden uygulayın ve SP2'yi başarıyla yükledikten sonra bu paketi yükleyin.

    Bu güvenlik güncelleştirmesinin 9 Mart 2010 tarihinde yayımlanan özgün sürümü, IIS 6'nın bazı SP1 ikili dosyaları içerebileceği Windows Server 2003 SP2 yüklemelerinde IIS uygulama havuzlarının başlatılamamasına neden olabiliyordu. IIS hizmeti başlatıldığında Sistem günlüğünde aşağıdaki hata iletisi görüntüleniyordu:
    Olay Kimliği 1009, Açıklama: 'DefaultAppPool' uygulama havuzuna hizmet veren bir işlem beklenmedik şekilde sona erdirildi. İşlem kimliği: '1234'
    Bu bilinen sorun hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

    2009746 KB973917 yüklendikten sonra Internet Information Services 6.0 düzgün çalışmayabilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
    Bilgisayarınızda Windows Server 2003 SP2'nin temiz bir yüklemesi yoksa "Windows Server 2003 için önkoşullar" bölümünü incelemeniz önerilir.

    Otomatik Güncelleştirmeler'i kullanıyorsanız ve IIS yapılandırmanız bilgisayarda hem SP1 hem de SP2 ikili dosyaları bulunacak biçimde yapılandırılmışsa, 16 Aralık 2009'dan itibaren bu güncelleştirme sunulmaz. Bilgisayarın bu güncelleştirmeyi uygulamaya hazır olduğundan emin olmak üzere uygulamanız gereken sonraki adımlar için Microsoft Bilgi Bankası'nda yer alan aşağıdaki makaleyi incelemeniz önerilir.
    2009746 KB973917 yüklendikten sonra Internet Information Services 6.0 düzgün çalışmayabilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
  • Windows Server 2003 ve Windows Server 2008

    Bu güncelleştirme 9 Mart 2010 tarihinde yeniden yayımlanmıştır. Yeniden yayımlanan güncelleştirme, ilk sürümün yerini alır. Yeni sürümü yüklerseniz, ilk sürüm kaldırılır ve yerini yeni sürüm alır. Bu güncelleştirmenin 9 Mart tarihli sürümü kaldırıldığında, bilgisayarda IIS işlevselliği için Genişletilmiş Koruma olmaz.

DOSYA BİLGİLERİ

ERROR: PhantomJS timeout occurred