Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

Tarayıcınız desteklenmiyor

Siteyi kullanmak için tarayıcınızı güncelleştirmeniz gerekir.

Internet Explorer'ın en son sürümüne güncelleştirin

IIS uygulamaları ağ dosyalarına erişmek nasıl

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 207671
Tüm kullanıcıların Windows Server 2008 üzerinde çalışan Microsoft Internet Information Services (IIS) 7.0 sürümüne yükseltmesini kesinlikle öneririz. IIS 7.0, altyapı güvenliğini önemli ölçüde artırır. IIS güvenliğiyle ilgili konular hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:IIS 7.0 hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:

BU GÖREVDE

Özet
Bu makalede, dosyaları, Internet Information Server (IIS) sunucunuzun başka bir bilgisayarda bir Internet Server API (ISAPI) uzantısı, Active Server Pages (ASP) sayfası veya Ortak Ağ Geçidi Arabirimi (CGI) uygulamasının erişim sorunları hakkında bilgi sağlar. Bu makalede, söz konusu sorunlardan bazıları ve bunun işe yaraması için bazı olası yöntemleri listelenmiştir.

Bu makale fileson ağ paylaşımlarına erişim öncelikle bağlamında yazılmış olsa da, adlandırılmış yöneltme bağlantıları aswell aynı kavramlar uygulanır. Adlandırılmış yöneltmeler, SQL Server bağlantısı ve ayrıca forremote yordam çağrısı (RPC) ve Bileşen Nesne Modeli (COM) iletişimi için sık sık kullanılır. Özellikle, SQL Server için Microsoft Windows NT tümleşik güvenliği kullanmak üzere yapılandırılmış thenetwork bağlanıyorsanız, bu makalede anlatılan sorunları nedeniyle bağlantı kuramıyor. RPC ve COM diğer iletişim mekanizması nakledilmemiş benzer ağ kimlik doğrulama düzenleri de. Bu nedenle, kavramlar bu makale çok çeşitli IIS uygulamalarınızdaki kullanılabilir ağ communicationmechanisms için geçerlidir.

back to the top

Kimlik doğrulaması ve kimliğe bürünme özelliği türleri

Bir HTTP isteği IIS hizmetleri, IIS isteği işlemek için duymazlar kaynakları böylece sınırlı uygun kimliğe bürünme gerçekleştirir. Theimpersonated güvenlik bağlamını authenticationperformed isteğin türüne bağlıdır. IIS 4. 0'dan authenticationavailable beş farklı türleri şunlardır:
Authentication Type                          Impersonation Type  Anonymous Access (no authentication)         NetworkAuto Password Synchronization isON (ON=default) Anonymous Access (no authentication)         IIS Clear TextAuto Password Synchronization is OFF         Basic Authentication                         IIS Clear Text NT Challenge/Response Authentication         Network Client SSL Certificate Mapping               Interactive				
back to the top

Belirteç türlerinin

Olup olmadığını ağ kaynaklarına erişimine izin verilen kimliğe bürünme belirteci isteği altında işleniyor, thekind üzerinde bağlıdır.
  • Ağ belirteçleri ağ kaynaklarına erişmesine izin verilen "Değil". (Bu tür bir belirteç traditionallycreated çünkü ağ üzerindeki bir kullanıcı kimlik doğrulaması yapıldığında ağ belirteçleri bunu sunucu tarafından olarak adlandırılır. Uyan başka bir sunucu bir ağ istemcisi andaccess çalışmak için bir ağ simgesi kullanmak için sunucu "temsilci" adı verilir ve bir possiblesecurity Delik olarak kabul edilir.)
  • Etkileşimli belirteçleri geleneksel olarak bilgisayarda bir yerel kullanıcı kimlik doğrulaması kullanılır. Etkileşimli belirteçleri Ağ üzerindeki kaynaklara erişmek için izin verilir.
  • Toplu belirteçleri toplu işlerin altında çalıştığı güvenlik bağlamını sağlamak için tasarlanmıştır. Toplu belirteçleri Ağ erişimi vardır.
IIS Düz metin oturum açma kavramı vardır. Thefact nedeniyle IIS kullanıcı adı ve parola düz metin olarak erişebilir böylece Temizleyin metin oturum açma adı verilir.Düz metin oturum açma ağ simgesi, etkileşimli bir simge veya bir toplu işlem belirteci themetabase içinde LogonMethod özelliğini ayarlayarak oluşturur olup olmadığını kontrol edebilirsiniz. Varsayılan olarak, Düz metin oturum açma bir etkileşimli eğitim almak tokenand, ağ kaynaklarına erişimi vardır. LogonMethod sunucu, site, sanal dizin, dizin veya dosya düzeyinde yapılandırılabilir.

Anonim erişim anonim userfor yapılandırılmış hesabın kimliğine bürünür isteği. Varsayılan olarak, IIS anonim kullanıcı tek accountcalled yapılmayan bir isteği işlerken temsili IUSR_<machinename> vardır. Varsayılan olarak, IIS 4.0 "Otomatik parola securitysub yetkilisi belirteç oluşturmak için kullandığı eşitlemeyi etkinleştir" yapılandırılabilir bir featurecalled vardır. Diğer bilgisayarlar thenetwork erişimi "Değil" Bu şekilde arenetwork belirteçlerinde oluşturulan simgeler. Otomatik parola eşitleme, IIS yaratır belirteci aynı şekilde daha önce bahsedilen Şifresiz metin oturum açma devre dışı bırakırsanız.Otomatik parola eşitleme hesapları için kullanılabilir yalnızca IIS ile aynı bilgisayar üzerinde bu arelocated. Bu nedenle, bir etki alanı hesabı youranonymous hesabını değiştirirseniz, useAutomatic parola eşitleme yapılamaz ve Düz metin oturum açma alırsınız.Birincil etki alanı denetleyicisinde IIS yüklerseniz istisnadır. Bu durumda yerel bilgisayarda etki alanı hesaplardır. Sunucu, site, sanal dizin, dizin görüntülenmiyorsa veya dosya düzeyinde beconfigured anonymousaccount ve otomatik parola eşitleme seçeneğini kullanabilirsiniz.

Resourceon ağ erişimini ilk adımı olarak token doğru türde olması gerekir. Kaynak ağ üzerinden işareti olan bir hesap taklit etmek gerekir. Varsayılan olarak, IUSR_<machinename> accountthat anonim istekler var için yalnızca yerel bilgisayarda IIS oluşturur. Kutusu etkileşimli bir belirteç alabilmeniz için otomatik parola eşitlemeyi devre dışı bıraksanız bile, ağ kaynaklara erişebilir,<machinename> IUSR_ hesabı genellikle yok tomost ağ kaynaklarına erişmek çünkü bu unrecognizedon olan bir hesabı diğer bilgisayarlar. Anonymousrequests ile ağ kaynaklarına erişmeyi istiyorsanız, varsayılan hesap etki alanındaki anaccount ile allcomputers tarafından tanınacak şekilde, ağınızdaki değiştirmeniz gerekir. IIS IUSR_<machinename> bir etki alanı denetleyicisine yüklerseniz, hesabı olan bir etki alanı hesabı ve additionalaction yapmadan ağdaki diğer bilgisayarlar tarafından tanınan olmalıdır.

</machinename></machinename></machinename></machinename>back to the top

Sorun kaçınma

Ağ resourcesfrom, IIS uygulamanızın erişirken sorunlarla karşılaşmamak için yolları şunlardır:
  • Yerel bilgisayardaki dosyalarını tutma.
  • Bazı ağ iletişim yöntemleri, güvenlik denetimi gerektirmez. Örneğin, Windows sockets kullanıyor.
  • Bir sanal dizini bilgisayar byconfiguring ağ kaynaklarına doğrudan erişim sağlayabilir:
    "Başka bir bilgisayarda yer alan bir paylaşım."
    Ağ kaynakları paylaşan bilgisayar tüm erişim Connect As. iletişim kutusunda altında belirtilen kişi bağlamında gerçekleştirilir. Bu sanal dizin için ne tür bir kimlik doğrulaması yapılandırılmış nomatter oluşur. Bu seçeneği kullanarak, bir ağ paylaşımı üzerindeki tüm dosyaları, IIS bilgisayarına tarayıcılarından kullanılabilir.
  • Temel kimlik doğrulaması veya anonim kimlik doğrulaması olmadan otomatik parola eşitleme kullanın.

    Varsayılan olarak, Internet Information Server için temel kimlik doğrulaması yapan kimliğe bürünme (farklı olarak Windows NT Challenge/ağ kaynaklarına erişemiyorsunuz bir belirteç sağlayan yanıt,) ağ kaynaklarına erişebileceği bir belirteç sağlar. Otomatik parola eşitlemeyi devre dışı anonim kimlik doğrulaması için belirteci yalnızca bir ağ kaynağına erişebilir. Internet Information Server'ın ilk yüklendiğinde, otomatik parola eşitleme varsayılan olarak etkindir. Böyle bir varsayılan yapılandırmasında adsız kullanıcı belirteci ağ kaynaklarına erişemez.
    259353 Parola Eşitleme geçiş sonra parolayı el ile girmeniz gerekir
  • Anonim hesap bir etki alanı hesabı olarak yapılandırın.

    Bu anonim isteklere olası Access'ten kaynaklara thenetwork izin verir. Tüm anonim istekler ağ erişim sağlamasını önlemek amacıyla, makinenin yalnızca olun anonim hesap bir etki alanı hesabı özellikle erişim gerektiren virtualdirectories.
  • Aynı kullanıcı adı ile anonim hesap yapılandırma ve ağ kaynaklarını beliren Paylaşım bilgisayardaki parolayı otomatik parola eşitlemeyi devre dışı bırakmak.

    Bu parolalar tam olarak eşleştiğinden emin olun. Herhangi bir nedenden dolayı daha önce bahsedilen "anonim hesabın bir etki alanı hesabı olarak Yapılandır" olduğunda kullanılacak bir seçenek değil yalnızca bu yaklaşım gerekir.
  • Duymazlar belirli ağ paylaşımına izin vermek veya adlandırılmış bir zaman kanal NullSessionShares ve NullSessionPipes kullanılabilir ağ belirteciyle isteğiniz işlenir.

    Varsa bir ağ simgesi olan ve işletim systemtries ("NULL oturum" olarak anılacaktır) doğrulanmamış bağlantısı olarak bağlantı kurmak için bir ağ kaynağına bir bağlantı kurmayı deneyin. Bu kayıt defteri ayarını madeon IIS bilgisayarındaki ağ kaynağı paylaşan bir bilgisayar olması gerekir. Youtry, NullSessionShare veya NullSessionPipe bir olmayan-networktoken ile tipik Microsoft Windows kimlik doğrulaması erişmek için kullanılır ve theresource erişimi Kimliğine bürünülen kullanıcı accountuser hakları temel alır.
  • Büyük olasılıkla kendi kimliğe bürünme yaratmak, ağ erişimi olan bir iş parçacığı simgesi gerçekleştirebilirsiniz.

    LogonUser ve ImpersonateLoggedOnUser işlevleri, bir differentaccount taklit etmek için kullanılabilir. Bu, düz metin kullanıcı adı ve passwordof başka bir hesap yok, kodunuzun olmasını gerektirir. LogonUser de çağrıları LogonUser hesabı kullanıcı Yöneticisi'nde "işletim sisteminin bir parçası çalış" ayrıcalığı olmasını gerektirir. Varsayılan olarak, IIS taklit çoğu kullanıcı whileit tutamaçları bir HTTP isteği olmasa da bu kullanıcı hakkı. Ancak, "İçinde işlem uygulamaları için" bir yourcurrent güvenlik bağlamı LocalSystem hesabı, hangi doeshave "işletim sisteminin bir parçası çalış" Yönetimsel kimlik bilgilerini değiştirmek neden için çeşitli yöntemler vardır. İşlem içi ISAPI DLLsthat için IIS oluşturduğu güvenlik contextthat LocalSystem hesabını değiştirmek için en iyi yoluRevertToSelf işlev çağırmaktır. "OfProcess" Out, IIS uygulama çalıştırıyorsanız, bu mekanizma varsayılan olarak çünkü çalışmıyor IWAM_<machinename> altında işlemin çalıştığı hesabı ve yerel Systemaccount değil. Varsayılan olarak, IWAM_<machinename> "işletim sisteminin bir parçası çalış" yönetici kimlik bilgilerine sahip "Değil".</machinename> </machinename>
  • Microsoft Transaction Server (MTS) sunucu paketi veya COM + sunucu uygulaması için ASP sayfasından adlı bileşen ekleyin ve ardından belirli bir kullanıcı paket kimliğini belirtin.

    Not Bileşen IIS dışında ayrı .exe dosyasını çalıştırır.
  • Basic/düz metin kimlik doğrulaması ile bir ağ izlemesi kimlik bilgilerini elde etmek son derece kolay olduğu için SSL kullanarak verileri şifrelemek öneririz. SSL yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    228991 Nasıl oluşturulacağı ve bir SSL sertifikası Internet Information Server 4.0 yükleme
Not Burada parola eşitleme devre dışı bırakılır ve istekleri LogonMethod metatabanı özelliği "2" (ağ oturumu kimliğe bürünme belirteci oluşturmak için kullanılır gösteren) ayarlarsanız, temel (Şifresiz metin oturum açma) kimlik doğrulaması kullanarak kimlik doğrulamasından geçerler anonim istekler için ağ erişimi engelleyebilirsiniz unutmayın. Bu ayar, yalnızca ağ token sınırlandırmadan kaçınmak istekleri NullSessionShares veya NullSessionPipes bağlanmak için yoludur.

Ağ paylaşımlarına eşlenmiş sürücü harfleri kullanmayın. Notonly, orada yalnızca 26 olası sürücü harfleri seçin, ancak, tryto farklı bir güvenlik bağlamında eşlenen bir sürücü harfi kullanın, sorunları ortaya çıkabilir. Bunun yerine, kaynaklara erişmek için her zaman evrensel adlandırma Convention(UNC) adları kullanmalısınız. Biçim için aşağıdaki gibi görünmelidir:
\\MyServer\filesharename\directoryname\filename
UNC kullanma hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
280383 Bir UNC paylaşımı kullandığınızda, IIS güvenlik önerileri
Bu makaledeki bilgiler, yalnızca Internet Information Server 4.0 için geçerlidir. Internet Information Server 5.0 (yani Windows2000'le birlikte), yeni authenticationtypes ve yeteneklerini önemli değişiklikler vardır. Çoğu bu articlestill açıklanan kavramlar, IIS 5.0 için geçerli olsa da, bu belirli kimlik doğrulama düzenleri ile oluşturulan kimliğe bürünme belirteci türleri hakkında ayrıntılar için IIS 4.0 applystrictly makalesi.

319067 System hesabının bağlamında değil uygulamaları çalıştırma
Ne tür bir oturum açma isoccurring istekleri işlemek üzere IIS sunucunuzda belirleyemiyorsanız, oturum açma ve oturum kapamalarının üzerinde auditingfor kapatabilirsiniz. Şu adımları izleyin:
  1. Başlat' ı tıklatın, Ayarlar' ı tıklatın, Denetim Masası' nı tıklatın, Yönetimsel Araçlar' ı ve Ardından yerel güvenlik ilkesi' ni tıklatın.
  2. Yerel Güvenlik İlkesi, soldaki ağaç görünümü bölmesinde açtıktan sonra Güvenlik ayarları' nı, Yerel ilkeler' i tıklatın ve Denetim İlkesi' ni tıklatın.
  3. Denetim oturum açma olayı çift tıklattıktan sonra başarı ve başarısızlık.Güvenlik günlüğü altında olay günlüğü girişleri areadded. Olay ayrıntılarını oturum açma türü'nün altında oturum açma bylooking türünü belirleyebilirsiniz:
2 = etkileşimli
3 = network
4 = toplu
5 = hizmet
back to the top
Referanslar
Ağ güvenliği hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
124184 Sistem hesabının ağ erişimi başarısız olarak çalışan servis
180362 Hizmetleri veya yeniden yönlendirilmiş sürücülerle
319067 System hesabının bağlamında değil uygulamaları çalıştırma
280383 Bir UNC paylaşımı kullandığınızda, IIS güvenlik önerileri
259353 Parola Eşitleme geçiş sonra parolayı el ile girmeniz gerekir
back to the top
kbdse

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 207671 - Son İnceleme: 03/15/2015 09:32:00 - Düzeltme: 7.0

  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 7.5
  • kbhowtomaster kbhttp kbmt KB207671 KbMttr
Geri bildirim
=4050&did=1&t=">