共用方式為

解決 IIS 權限問題的指導方針

  • 發行項

BizTalk Server會針對 Web 服務支援使用Microsoft Internet Information Services (IIS) ,以及與 HTTP、SOAP 和 Windows SharePoint Services 配接器搭配使用。

瞭解 IIS 實作應用程式的方式,將有助於 IIS 權限問題的疑難排解。

IIS 提供相關功能,供您建立 IIS 應用程式,做為在各自記憶體空間中執行的不同主控件程序。 建立 IIS 應用程式主機之後,您必須定義兩組許可權:IIS 應用程式主機 進程身分識別 和 IIS 應用程式主機 使用者存取權限。 在疑難排解 IIS 權限問題時,您應該檢查這兩組權限。

注意

進程身分識別使用者存取權限也稱為 IIS 應用程式主機進程的安全性內容

本主題描述如何設定 IIS 應用程式主機 進程的進程身分 識別和 使用者存取權限 ,並提供一些解決 IIS 許可權問題的一般指導方針。

設定 IIS 應用程式主控件程序識別

IIS 應用程式主控件程序的組態可能會隨著主控件程序所提供的功能層級而有所差異。 例如,只提供靜態 HTML 頁面的 IIS 應用程式主控件程序,其組態通常與提供 ASP 頁面或 ASP.NET 應用程式的 IIS 應用程式主控件程序不同。

IIS 應用程式主控件程序的組態也會隨著裝載應用程式的 IIS 版本而改變。 Windows Server 2008 (IIS 7.0) 上執行之應用程式的主控件程序識別,是由與應用程式相關聯之應用程式集區的識別來管理。

設定 Windows Server 2008 或 Windows Vista 上 IIS 7.0 的 IIS 程序識別

  1. 依序按一下 [開始] 和 [ 所有程式],然後按一下 [ Internet Information Services (IIS) 7 Manager]。

  2. 在 [Internet Information Services (IIS) Manager] 中,展開< [ (使用者帳戶) 的電腦名稱稱 >],然後按一下 [應用程式集區]。

  3. 以滑鼠右鍵按一下應用程式集區,然後按一下 [ 檢視應用程式 ] 以查看與應用程式集區相關聯的應用程式。

  4. 以滑鼠右鍵按一下應用程式集區,然後按一下 [ 進階設定 ] 以顯示應用程式集區的 [進階設定] 對話方塊。

  5. 按一下 [進階設定] 對話方塊 [處理模型] 區段底下的 [分識別] 旁的省略號 (...) 按鈕,修改應用程式集區的身分識別。

設定 IIS 伺服器的使用者存取權限

程序識別會控管執行中 IIS 應用程式主控件程序可以使用的資訊安全內容,而使用者存取權限則會針對實際存取提供之網頁的帳戶,控制其資訊安全內容。 您必須正確設定這兩種資訊安全內容,才能避免權限錯誤。

IIS 7.0 支援下列使用者驗證方法:

  • 匿名存取: 允許使用者建立匿名連線。 IIS 伺服器會以指定的訪客帳戶來登入使用者。

  • ASP.NET 模擬 允許應用程式在兩個不同的內容之一中執行:以 IIS 驗證的使用者或您設定的任意帳戶身分執行。

  • 基本驗證: 以純文字形式在網路上傳輸密碼,這是未加密的格式。

  • 摘要式驗證: 僅適用于 Active Directory 帳戶,透過網路傳送雜湊值,而不是純文字密碼。 摘要式驗證可跨 Proxy 伺服器和其他防火牆運作,而且可在「網路分散式撰寫及版本處理」(WebDAV) 目錄上使用。 使用摘要式驗證需要先停用匿名驗證。

  • 表單驗證 在公用伺服器上容納高流量網站或應用程式的驗證。 表單驗證可讓您管理應用程式層級的用戶端登錄與驗證,而非依賴作業系統提供的驗證機制。

  • Windows 驗證:在您的 Windows 網域上使用驗證來驗證用戶端連線。

若要在 IIS 7.0 中設定虛擬目錄的使用者存取權限

  1. 在 [Internet Information Services (IIS) 管理員] 中,展開< [連線] 窗格中的電腦名稱稱 >、網站和預設網站

  2. 按一下即可選取虛擬目錄,然後按一下 [工作區] 窗格底部的 [ 功能檢視 ],以列出虛擬目錄的可設定功能。

  3. 按兩下 [工作區] 窗格中的 [ 驗證 ] 功能,以列出為虛擬目錄啟用的驗證方法。

  4. 按一下即可選取您想要啟用或停用的驗證方法,然後按一下 IIS 管理員的 [動作] 窗格中的 [停用] 或 [啟用]。

    注意

    如果已啟用 [ 啟用匿名存取 ],IIS 會先將使用者存取權限設定為已設定的匿名使用者身分識別,再使用任何其他啟用的驗證方法來設定使用者存取權限。

    若要設定匿名使用者身分識別,請以滑鼠右鍵按一下 [ 匿名驗證 ] 方法,然後按一下 [ 編輯 ] 以顯示 [ 編輯匿名驗證認證 ] 對話方塊。

解決 IIS 權限問題的一般指導方針

請依照下列步驟來進行 IIS 權限的疑難排解:

  1. 檢查 IIS 伺服器電腦的應用程式記錄中是否記載發生的錯誤。

  2. 請遵循 IIS 7.0:在 IIS 7.0 中設定失敗要求的追蹤,針對 IIS 7.0 電腦上的許可權問題進行疑難排解。

  3. 檢查 IIS 伺服器的 IIS 記錄檔是否記載 HTTP 401 錯誤。

    根據預設,在執行 Windows Server 2008 或 Windows Vista 的電腦上,IIS 記錄檔位於下列目錄:

    C:\inetpub\logs\LogFiles\W3SVC1\

    • 如果 IIS 7.0 電腦的 IIS 記錄檔包含 HTTP 401 錯誤,請遵循 Microsoft 知識庫文章中的步驟,943891:[ https://support.microsoft.com/kb/943891 IIS 7.0 中的 HTTP 狀態碼],以判斷子狀態碼,並根據狀態碼對許可權問題進行疑難排解。

    • 檢查與 HTTP 401 錯誤相關聯的 cs-username 欄位值。 此欄位包含存取 IIS 伺服器的已驗證使用者名稱。 此欄位以連字號 (-) 代表匿名使用者帳戶。 請確定這個帳戶是否擁有適當資源的權限。

  4. 確認是否已正確設定 IIS 應用程式主控件程序使用的程序識別認證,以及該帳戶是否擁有適當的權限。 如果用於程序識別的帳戶沒有足夠權限,則請變更帳戶或授與該帳戶適當的權限。

  5. 使用工具和公用程式中所述的 RegMon 和 FileMon 公用程式來診斷 檔案或登錄存取權限問題。

另請參閱

疑難排解BizTalk Server許可權IIS 7.0:在 IIS 7.0 中設定驗證