Freigeben über


Richtlinien für die Lösung von Problemen mit IIS-Berechtigungen

BizTalk Server nutzt Microsoft-Internetinformationsdienste (IIS) umfassend für die Unterstützung von Webdiensten und für die Verwendung mit http-, SOAP- und Windows SharePoint Services-Adaptern.

Vor der Behandlung von Problemen mit IIS-Berechtigungen ist es hilfreich zu verstehen, wie Anwendungsisolierung von IIS implementiert wird.

IIS bietet eine Funktionalität, um IIS-Anwendungen als eigenständige Hostprozesse zu erstellen, die in ihrem eigenen Speicherbereich ausgeführt werden. Nachdem Sie einen IIS-Anwendungshost erstellt haben, müssen Sie zwei Berechtigungssätze definieren: die Iis-Anwendungshostprozessidentität und die Zugriffsberechtigungen für den IIS-Anwendungshost. Bei der Behandlung von Problemen mit IIS-Berechtigungen sollten diese beiden Berechtigungssätze überprüft werden.

Hinweis

Die Prozessidentität und die Benutzerzugriffsrechte werden auch als Sicherheitskontext des IIS-Anwendungshostprozesses bezeichnet.

In diesem Thema wird beschrieben, wie Prozessidentität und Benutzerzugriffsrechte für einen IIS-Anwendungshostprozess festgelegt werden, und es werden einige allgemeine Richtlinien zum Beheben von Problemen mit IIS-Berechtigungen beschrieben.

Festlegen der Prozessidentität des IIS-Anwendungshosts

Die Konfiguration eines Hostprozesses für eine IIS-Anwendung kann je nach Funktionalitätsstufe des Hostprozesses variieren. Beispielsweise wird ein IIS-Anwendungshostprozess, der nur statische HTML-Seiten bereitstellt, in der Regel anders konfiguriert als ein IIS-Anwendungshostprozess, der ASP-Seiten oder ASP.NET-Anwendungen bereitstellt.

Die Konfiguration eines Hostprozesses für eine IIS-Anwendung ist auch von der IIS-Version abhängig, von der die Anwendung gehostet wird. Die Hostprozessidentität einer Anwendung, die unter Windows Server 2008 (IIS 7.0) ausgeführt wird, wird durch die Identität des Anwendungspools bestimmt, der der Anwendung zugeordnet ist.

Festlegen der IIS-Prozessidentität für IIS 7.0 unter Windows Server 2008 oder Windows Vista

  1. Klicken Sie auf Start, dann Auf Alle Programme, und klicken Sie auf Internetinformationsdienste (IIS) 7 Manager.

  2. Erweitern Sie im Internetinformationsdienste-Manager den Eintrag <Computername>(Benutzerkonto), und klicken Sie auf Anwendungspools.

  3. Klicken Sie mit der rechten Maustaste auf einen Anwendungspool, und klicken Sie auf Anwendungen anzeigen , um die dem Anwendungspool zugeordneten Anwendungen anzuzeigen.

  4. Klicken Sie mit der rechten Maustaste auf einen Anwendungspool, und klicken Sie auf Erweiterte Einstellungen , um das Dialogfeld Erweiterte Einstellungen für den Anwendungspool anzuzeigen.

  5. Ändern Sie die Identität für den Anwendungspool, indem Sie im Abschnitt Prozessmodell des Dialogfelds Erweiterte Einstellungen auf die Schaltfläche mit den Auslassungspunkten (...) neben Identität klicken.

Festlegen der Benutzerzugriffsrechte für den IIS-Server

Der Sicherheitskontext für den ausgeführten IIS-Anwendungshostprozess wird von der Prozessidentität geregelt, während der Sicherheitskontext für das Konto, das eigentlich auf die übermittelten Webseiten zugreift, von den Benutzerzugriffsberechtigungen geregelt wird. Um Berechtigungsfehler zu vermeiden, müssen die Berechtigungen für beide Sicherheitskontexte korrekt festgelegt werden.

IIS 7.0 unterstützt die folgenden Benutzerauthentifizierungsmethoden:

  • Anonymer Zugriff: Ermöglicht Benutzern das Herstellen einer anonymen Verbindung. Der Benutzer wird auf dem IIS-Server mit dem angegebenen Gastkonto angemeldet.

  • ASP.NET Identitätswechsel Ermöglicht die Ausführung einer Anwendung in einem von zwei unterschiedlichen Kontexten: entweder als Benutzer, der von IIS authentifiziert wird, oder als beliebiges Konto, das Sie eingerichtet haben.

  • Standardauthentifizierung: Überträgt Kennwörter im Klartext über das Netzwerk, eine unverschlüsselte Form.

  • Digestauthentifizierung: Funktioniert nur mit Active Directory-Konten, die anstelle eines Klartextkennworts einen Hashwert über das Netzwerk senden. Digestauthentifizierung funktioniert über Proxyserver und andere Firewalls hinweg und ist in WebDAV-Verzeichnissen (Web Distributed Authoring and Versioning) verfügbar. Für die Verwendung von Digestauthentifizierung muss zuvor die anonyme Authentifizierung deaktiviert werden.

  • Formularauthentifizierung Unterstützt die Authentifizierung für Websites mit hohem Datenverkehr oder Anwendungen auf öffentlichen Servern. Mithilfe der Formularauthentifizierung können Sie die Clientregistrierung und -authentifizierung auf Anwendungsebene verwalten und müssen nicht die Authentifizierungsmechanismen verwenden, die das Betriebssystem zur Verfügung stellt.

  • Windows-Authentifizierung: Verwendet die Authentifizierung in Ihrer Windows-Domäne, um Clientverbindungen zu authentifizieren.

So legen Sie Benutzerzugriffsrechte für ein virtuelles Verzeichnis in IIS 7.0 fest

  1. Erweitern Sie im Internetinformationsdienste-Manager im Bereich Verbindungen die Optionen <Computername>, Websites und Standardwebsite.

  2. Klicken Sie, um das virtuelle Verzeichnis auszuwählen, und klicken Sie unten im Arbeitsbereich auf die Ansicht Features , um die konfigurierbaren Features für das virtuelle Verzeichnis auflisten zu können.

  3. Doppelklicken Sie im Bereich Arbeitsbereich auf das Feature Authentifizierung , um die Authentifizierungsmethoden auflisten zu können, die für das virtuelle Verzeichnis aktiviert sind.

  4. Klicken Sie, um die Authentifizierungsmethode auszuwählen, die Sie aktivieren oder deaktivieren möchten, und klicken Sie im Bereich Aktionen des IIS-Managers entweder auf Deaktivieren oder Aktivieren.

    Hinweis

    Wenn Anonymen Zugriff aktivieren aktiviert ist, legt IIS Benutzerzugriffsrechte als konfigurierte anonyme Benutzeridentität fest, bevor Benutzerzugriffsrechte mit anderen aktivierten Authentifizierungsmethoden festgelegt werden.

    Klicken Sie zum Konfigurieren der Anonymen Benutzeridentität mit der rechten Maustaste auf die Anonyme Authentifizierungsmethode , und klicken Sie auf Bearbeiten , um das Dialogfeld Anmeldeinformationen für anonyme Authentifizierung bearbeiten anzuzeigen.

Allgemeine Richtlinien für die Lösung von Problemen mit IIS-Berechtigungen

Führen Sie zur Behandlung von Problemen mit IIS-Berechtigungen die folgenden Schritte aus:

  1. Überprüfen Sie das Anwendungsprotokoll des IIS-Servercomputers auf Fehler.

  2. Führen Sie die Schritte unter IIS 7.0: Konfigurieren der Ablaufverfolgung für fehlerhafte Anforderungen in IIS 7.0 aus, um Berechtigungsprobleme auf IIS 7.0-Computern zu beheben.

  3. Überprüfen Sie die IIS-Protokolldateien des IIS-Servers auf HTTP-Fehler 401.

    Die IIS-Protokolldateien befinden sich auf einem Computer mit Windows Server 2008 oder Windows Vista standardmäßig im folgenden Verzeichnis:

    C:\inetpub\logs\LogFiles\W3SVC1\

    • Wenn die IIS-Protokolldatei für einen IIS 7.0-Computer HTTP 401-Fehler enthält, führen Sie die Schritte im Microsoft Knowledge Base-Artikel 943891 "Die HTTP-status Codes in IIS 7.0" aushttps://support.microsoft.com/kb/943891, um den Unterstatuscode zu ermitteln und das Berechtigungsproblem basierend auf dem status Code zu beheben.

    • Überprüfen Sie den Wert des Felds cs-username , das dem HTTP-Fehler 401 zugeordnet ist. Dieses Feld enthält den Namen des authentifizierten Benutzers, der auf den IIS-Server zugegriffen hat. Das anonyme Benutzerkonto wird in diesem Feld durch einen Bindestrich (-) dargestellt. Stellen Sie sicher, dass dieses Konto über die Berechtigungen für die entsprechenden Ressourcen verfügt.

  4. Überprüfen Sie, ob die vom IIS-Anwendungshostprozess verwendeten Anmeldeinformationen für die Prozessidentität richtig festgelegt sind und ob das Konto über die entsprechenden Berechtigungen verfügt. Wenn das Konto für die Prozessidentität nicht über die erforderlichen Berechtigungen verfügt, wechseln Sie entweder das Konto, oder erteilen Sie dem Konto die entsprechenden Berechtigungen.

  5. Verwenden Sie die Unter Tools und Hilfsprogramme für die Problembehandlung beschriebenen Hilfsprogramme RegMon und FileMon, um Probleme mit Datei- oder Registrierungszugriffsberechtigungen zu diagnostizieren.

Weitere Informationen

Problembehandlung für BizTalk Server BerechtigungenIIS 7.0: Konfigurieren der Authentifizierung in IIS 7.0