Iis о проверке подлинности


Содержание

IIS7: настройка встроенной проверки подлинности Windows, например, в IIS6

Это для IIS 7 на Windows Server 2008, который не является частью домена AD. Я хотел бы защитить паролем веб-сайт, где люди должны ввести имя пользователя/пароль (например, учетную запись Windows) для просмотра веб-сайта. Затем веб-сайт будет использовать свой собственный метод (формы) проверки подлинности для обработки учетных записей пользователей и решить, показывать ли его отдельные страницы и т.д.

В IIS6 мы просто отключили анонимный доступ и включили интегрированную проверку подлинности Windows. IIS7 ведет себя по-разному, и когда я ввожу имя пользователя/пароль для просмотра сайта, сайт подходит нормально, но перенаправляется на страницу входа. Как только я войду, сайт ведет себя естественно. Мне нужно иметь возможность перемещаться по сайту без входа в систему с учетными данными веб-сайта.

Я не думаю, что включение анонимного доступа имеет смысл здесь, так как я хочу, чтобы доступ к веб-сайту был защищен паролем (всплывающее имя пользователя/пароль при первом переходе к URL-адресу).

Любая помощь приветствуется!

Двухступенчатая аутентификация не поддерживается в интегрированном режиме IIS7. Теперь аутентификация является модульной, поэтому вместо аутентификации IIS, за которой выполняется asp.net, выполняющая аутентификацию, все происходит одновременно.

  • Измените домен приложения в классическом режиме IIS6.
  • Следуйте этот пример (старая ссылка) о том, как подделать двухэтапную аутентификацию в интегрированном режиме IIS7.
  • Используйте Helicon Ape и mod_auth для обеспечения базовой аутентификации

Чтобы включить проверку подлинности Windows в IIS7 на компьютере под управлением Windows 7:

Перейдите в Панель управления

Выберите Программы → Программы и функции

Выберите «Включить или отключить функции Windows» с левой стороны.

Разверните информационные службы Интернета → Услуги World Wide Web → Безопасность

Выберите «Аутентификация Windows» и нажмите «ОК».

Reset IIS и проверка в IIS для проверки подлинности Windows.

Настройка аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах

Описание проблемы

Не работает аутентификация операционной системы (windows) через IIS при использовании тонкого клиента или веб-клиента.

С точки зрения пользователей, будет видно окно с запросом логина и пароля.

Проблема может заключаться в том, что методы операционной системы в силу различных причин возвращают описание текущего пользователя сеанса в таком представлении, которое не совпадает ни с одним пользователем в списке пользователей информационной базы 1С

Решение проблемы

На сервере 1С включить технологический журнал, используя следующую настройку:

Воспроизвести ситуацию с неудачной аутентификацией операционной системы. Авторизоваться под пользователем операционной системы, указанным в свойствах пользователя 1С.

Открыть технологический журнал рабочего процесса и найти событие EXCP со следующим описанием: «Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя»

Обратите внимание на предшествующее ему событие CONN и значение свойства DstUserName2 — именно в таком виде пользователь должен быть указан в свойствах пользователя информационной базы.


04:45.940011-0,CONN,2,process=rphost,t:client >04:45.940012-0,CONN,2,process=rphost,t:client >04:45.971001-0,CONN,2,process=rphost,t:client >DstUserName2: DOMAIN701\testuser2(DOMAIN701\testuser2)
04:46.205021-0,EXCP,2,process=rphost,p:processName=trade,t:client >a01f465c-ed70-442e-ada5-847668d7a41c: Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя’

Заменить значение свойства «Пользователь» пользователя информационной базы согласно следующему формату «\\» + [Имя пользователя из свойства DstUserName2 без скобок].

Проверить работоспособность аутентификации средствами операционной системы, войдя в информационную базу, используя веб-клиент.

Расположение веб-сервера IIS и рабочих серверов 1С на разных машинах

В некоторых случаях, несмотря на корректно указанного пользователя операционной системы в пользователе информационной базы, при попытке входа в опубликованную базу через браузер аутентификация операционной системы не проходит. Такая ситуация может возникать, если веб-сервер IIS и сервер 1с находятся на разных машинах. В таком случае в технологическом журнале рабочего процесса можно наблюдать следующую картину:

56:39.487001-0,CONN,2,process=rphost,p:processName=accounting,t:client >56:39.487002-0,CONN,2,process=rphost,p:processName=accounting,t:client >56:39.596004-0,CONN,2,process=rphost,p:processName=accounting,t:client >DstUserName2: NT AUTHORITY\ANONYMOUS LOGON(NT AUTHORITY\ANONYMOUS LOGON )
56:39.659003-0,EXCP,2,process=rphost,p:processName=accounting,t:client >a01f465c-ed70-442e-ada5-847668d7a41c: Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя’

При возникновении такой ситуации необходимо проверить следующие настройки:

1) Убедиться, что процессы сервера 1С запущены от имени доменной учетной записи, входящей в группу Domain Users.

2) Убедиться, что веб-сервер IIS настроен корректно.

В публикации информационной базы найти настройки аутентификации

В настройках аутентификации отключить анонимную аутентификацию и включить Windows-аутентификацию. В Windows-аутентификации упорядочить доступных провайдеров так, чтобы на первом месте был Negotiate.

Пул приложений публикации не нуждается в настройках, в нем можно оставить все по умолчанию.

После изменения настроек перезапустить веб-сервер с помощью команды iisreset в командной строке.

3) Убедиться, что в контроллере домена в свойствах компьютера, на котором запущен веб-сервер, на вкладке делегирование установлено «Доверять компьютеру делегирование любых служб (только Kerberos)»

Для этого откройте оснастку Active Directory Users and Computers (dsa.msc), в компьютерах найдите веб-сервер, перейдите в его свойства и на вкладке Делегирование установить значение «Доверять компьютеру делегирование любых служб (только Kerberos)» и нажать применить.

4) Убедиться, что на клиенте в свойствах обозревателя разрешена встроенная проверка подлинности Windows.

После выполнения всех действий необходимо перезагрузить клиентский компьютер (рабочие серверы перезагрузки не требуют) и убедиться, что аутентификация операционной системы успешно выполняется.

Важно: аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах в тонком клиенте работает, начиная с версии 8.3.10.2620 (для тестирования).

Как настроить методы проверки подлинности в программе IIS

Мы работаем над автоматизацией развертывания некоторых приложений IIS. Я использовал cscript.exe внутри пакетного файла Windows для создания веб-приложения и т.д. Однако в настоящее время есть несколько настроек, которые мне нужно автоматизировать. А именно, если вы посмотрите на свойства приложения, в разделе Структура каталогов → Аутентификация и контроль доступа → Изменить, мне нужно снять флажок Включить анонимный доступ и проверить встроенную проверку подлинности Windows.

Есть ли простой способ сделать это из пакетного файла Windows?

EDIT: я должен уточнить, что это IIS 6.0, поэтому appcmd недоступен.

authentication windows iis wsh

4 ответа


1 Решение Kev [2009-12-08 17:20:00]

Я ответил на очень похожий вопрос, когда он вернулся. В этом примере используется инструмент asdutil.vbs , который вы можете вызвать из командного файла:

Обновлено:

Поскольку у вас уже есть CScript script для создания веб-сайта, вы можете просто установить AuthFlags в script:

IIS 7.0: краткая инструкция для системного администратора. Часть 1 – пpoверка результатов установки.

Продолжаем говорить об процедуре установки веб сервера под управлением IIS 7.0 на Windows Server 2008, которая была рассмотрена в предыдущем посте.

Теперь перейдем к проверке результатов установки IIS 7.0. Самый простой вариант проверить, работает ли веб сервер, особенно – находясь за локальной консолью, это обратиться из любого веб-браузера по адресу http://localhost/. Далее, проверить с локальной и удаленной машины по IP-адресу.

При установке IIS 7.0 создается веб сайт по умолчанию, сконфигурированный на ответ при любом URL-запросе, поступившем на порт 80 любого сетевого интерфейса сервера, на котором установлен IIS 7.0. Т.е. запрос браузера типа http://localhost/ должен быть обработан как запрос к веб сайту по умолчанию. Содержимое сайта по умолчанию представляет собой 2 файла – iisstart.htm и welcome.png (который отображается в iisstart.htm), которые и будут открыты клиентом. Поэтому результат обращения к localhost будет иметь следующий вид:

Теперь, если все хорошо (если «плохо» – поиск неисправностей и ошибок мы рассмотрим позже, в отдельном разделе), убедимся, что все модули, которые должны быть установлены по умолчанию – подключены и работают, а базовая конфигурация – отвечает нашим требованиям.

1. Основным инструментом управления IIS 7.0 является консоль Internet Information Services (IIS) Manager, которая устанавливается по умолчанию, вместе с ролью Web Server в Windows Server 2008 (IIS Management Console, раздел Management Tools при установки модулей). После соответствующей установки консоль управления IIS 7.0 можно найти, как дочернюю запись внутри раздела Web Server (IIS) в разделе ролей Server Manager, либо как пункт в разделе Administrative Tools меню Start, либо выполнив команду inetmgr (в командной строке или через пункт Run того же меню Start).

Илон Маск рекомендует:  p в HTML

2. При старте консоль Internet Information Services (IIS) Manager открывается с «домашней страницей», на которой в виде панелей находится информация о том, к каким веб серверам и веб сайтам подключался пользователь консоли до этого (если консоль только установлена вместе с ролью Web Server (IIS), то в консоле присутствует запись только о локальном веб сервере), также присутствуют ссылки для выбора подключения к другим серверам, веб сайтам, веб приложениям и папкам, а также ссылки на внешние ресурсы, посвященные IIS.

3. Кроме того, на домашней странице присутствует панель новостей, которые подгружаются как новостная RSS-лента с сайта www.iis.net, если администратор нажимает на ссылку Enable IIS News. Новости, кстати, очень полезные, рекомендуется включать и использовать эту информацию в повседневной работе.

4. При подключении к какому либо веб серверу IIS 7.0 консоль Internet Information Services (IIS) Manager представляет его конфигурацию, как логическую структуру – уровень самого веб сервера, чьи настройки являются глобальными и распространяются по умолчанию на все веб сайты, пулы приложений и, сообственно, веб сайты со своими настройками. Эта конфигурационная иерархия, в виде разворачивающегося дерева, начинающегося с узла с именем (или IP) веб сервера, отображается в левой панели консоли Internet Information Services (IIS) Manager.

5. Если выбрать какой-то узел в дереве конфигурации, то в центральной панель консоли Internet Information Services (IIS) Manager будут отображены в виде отдельных иконок все параметры (а также – модули или списки), соответствующие конфигурации выбранного узла, а в правой панели – набор контекстных задач и операций, которые администратор (или пользователь) может выполнить над данным узлом.

6. Выбираем верхний узел, узел веб сервера, в котором представлены иконки, отвечающие за параметры работы модулей всего веб сервера, эти параметры наследуются по умолчанию для всех веб сайтов. Убеждаемся, что все необходимые модули установлены и отображены. Снимок экрана при установке конфигурации по умолчанию приведен ниже.

7. В правой панели при выборе узла веб сайта отображаются все операции, возможные для выполнения непосредственно с веб сервером (службами IIS в целом) в данном конексте – перезапуск, останов, запуск, переход к пулам приложений и сайтам.

8. Убеждаемся, что пулы приложений (Application Pools) сконфигурированы. Пулы приложений будут рассмотрены позже. Пулы являются дочерним узлом в дереве конфигурации для узла веб сайта. При установке по умолчанию создается только один пул – DefaultAppPool, в котором регистрируется одно приложение – сконфигурированный по умолчанию веб сайт, работу которого мы уже проверили. См. снимок экрана.

9. Ниже узла пулов приложений в дереве конфигурации находится узел веб сайтов (Sites), при выборе которого отображается список работающих на данном веб сервере веб сайтов. По умолчанию создается один веб сайт под названием Default Web Site с внутренним номером (ID) равным 1, «привязанный» на 80 порт всех IP-адресах всех сетевых интерфейсов к любому URL в запросе, и использующий в качестве домашнего каталога своего контента каталог с путем %SystemDrive%\inetpub\wwwroot (что при установленном Windows Server 2008 на диск C: соответствует C: \inetpub\wwwroot).

10. При выборе в левой панели консоли узла веб сайта (Default Web Site), также, как и в случае с выбором узла веб сервера, в центральной панели отображаются иконки для доступа к параметрам конфигурации различных модулей, на этот раз – конкретного веб сайта. Убеждаемся, что также, как и в случае со всем веб сервером, все необходимые модули представлены в центральной панели.

11. В правой панели консоли, аналогично панели для всего веб сервера, отображаются контекстные команды, правда, на этот раз их список серьезно расширен – старт/стоп/перезапуск процесса веб сайта, просмотр его базовых и расширенных настроек (а не параметров модулей), настройки привязки (адрес, порт, доменное имя – по сочетанию которых будет отвечать на запросы данный веб сайт) и т.п.

В принципе, для базовой проверки работоспособности и целостности установки данных шагов вполне достаточно. Но если вы хотите поближе познакомиться с «полным» набором настроек и конфигурацией «по умолчанию» – то можете проделать следующие шаги.

12. Выберите узел веб сервера в дереве конфигурации в левой панели консоли Internet Information Services (IIS) Manager. В центральной панели кликните на иконку Modules. В центральной панели откроется следующий полный список установленных по умолчанию модулей, представляющий из себя перечень .dll файлов.

13. Чтобы убедиться, что веб сервер будет работать только со статическими файлами (по умолчанию) или только с нужными вам расширениями – выберите снова узел веб сервера и в центральной панели кликните на иконку Handler Mappings. Откроется список «привязки» расширений вызываемых на веб сайте пользователем файлов и привязанных к данным расширениям модулям, выполняющим обработку данного вызова. Обратите внимание, что по умолчанию все файлы привязаны к модулю обработки статических файлов (т.е. запрос какого либо скриптового или исполнимого файла из домашнего каталога веб сайта не будет приводить к его исполнению на сервере, а лишь к передаче данного файла пользователю), а также к модулям документа по умолчанию и просмотра каталога. С этими модулями мы познакомимся позже.

14. И, наконец, для того, чтобы убедиться в безопасности веб сайта – проверьте параметры его аутентификации. Для этого выбираем иконку Authentication в той же центральной панели. По умолчанию никаких модулей аутентификации веб сервер (и веб сайты) не поддерживает. Т.е. все подключения для него анонимны. В чем безопасность? Это значит, что пользователям будет доступен только то содержимое домашних каталогов сайтов – файлы и подкаталоги – которые имеют NTFS разрешения для чтения «всем» (Everyone). В случае, если таких разрешений файл не имеет, пользователю будет отказано в доступе с соответствующей ошибкой 401. Если же пользователь попробует каким-то образом аутентифицироваться в процессе HTTP запроса на сервере – то поскольку никаких модулей аутентификации, кроме анонимного, на веб сервере не установлено – он снова получит соответствующую ошибку 401.


Такие настройки безопасности по умолчанию – только анонимные пользователи – позволяют гарантировать защиту данных на сервере, для которых требуются соответствующие разрешения, а также – что механизм аутентификации веб сервера (которого в данном случае просто нет) не будет использован для перебора паролей и прочих попыток «взлома» через учетные записи.

Итак, сервер установлен и его работоспособность проверена. Теперь достаточно поместить какой либо статический контент (файлы HTML, изображения, документы и файлы для выгрузки пользователями) в домашний каталог его сайта по умолчанию (напоминаю, что это в большинстве случаев C:\inetpub\wwwroot) – и веб сайт под управлением IIS 7.0 начнет работать. Ну, и конечно, для внешних сайтов – не забыть прописать их A-record в вашей доменной зоне на публичном DNS сервере.

В следующей части – установка IIS 7.0 в режиме командной строки, особенности работы IIS 7.0 на Server Core.

Проверка подлинности Windows IIS Express

Я пытаюсь использовать IIS Express с VS2010 для размещения приложения silverlight. Я изменил свой applicationhost.конфигурационный файл, позволяющий изменять соответствующие параметры конфигурации. У меня есть следующее В моей сети.config:

Я не прошел проверку подлинности и мой звонок в службу домен возвращает нулевое Запись Как пользователей. Я смог заставить это работать после установки бета-версии VS2010 SP1, но я пытаюсь заставить это работать только с IIS Express.

Как разрешаю ли я проверку подлинности Windows для работы с IIS Express. Есть ли параметр конфигурации, который мне не хватает?

8 ответов:

edit \My Documents\IISExpress\config\applicationhost.config файл и включить windowsAuthentication, т. е.:

разблокировать раздел windowsAuthentication в \My Documents\IISExpress\config\applicationhost.конфигурация следующим образом

изменить настройки переопределения для требуемых типов аутентификации, чтобы «разрешить»

добавить следующее в приложении сеть.конфигурации

после установки VS 2010 SP1 применение опции 1 + 2 может потребоваться для работы проверки подлинности windows. Кроме того, в IIS Express applicationhost может потребоваться установить для анонимной проверки подлинности значение false.config:

для VS2015 может быть расположен файл конфигурации IIS Express applicationhost здесь:

Илон Маск рекомендует:  Insert - Процедура Delphi

и параметр в файле проекта выбирает файл конфигурации по умолчанию или для конкретного решения.

Visual Studio 2010 SP1 и 2012 добавили поддержку IIS Express, исключив необходимость редактирования угловых скобок.

  1. Если вы еще этого не сделали, щелкните правой кнопкой мыши веб-проект и выберите «Использовать IIS Express. «.
  2. после завершения выберите веб-проект и нажмите F4 для фокусировки панели свойств.
  3. установите для свойства «проверка подлинности Windows» значение Включено, а для свойства » анонимная проверка подлинности Нетрудоспособный.

Я считаю, что это решение превосходит варианты vikomall.

  • Параметр #1 является глобальным изменением для всех сайтов IIS Express.
  • Вариант №2 оставляет развитие крафт в интернете.конфиг.
    • кроме того, это, вероятно, приведет к ошибке при развертывании в IIS 7.5, если вы не выполните процедуру «разблокировать» на applicationHost вашего сервера IIS.конфиг.

решение на основе пользовательского интерфейса выше использует элементы расположения для конкретного сайта в applicationHost IIS Express.конфигурация оставляя приложение нетронутым.


основываясь на ответе от booij boy, проверьте, проверили ли вы функцию «аутентификация windows» в Панель управления -> Программы -> включение компонентов Windows или из интернета -> информационные услуги -> Услуги во всемирной сети -> безопасность

кроме того, кажется, что есть большая разница при использовании firefox или internet explorer. После включения «проверки подлинности windows» он работает для меня, но только в IE.

в дополнение к этим замечательным ответам, в контексте среды разработки IISExpress и для того, чтобы помешать печально известной «системе.ошибка «web / identity@impersonate», вы можете просто убедиться, что в вашем applicationhost установлен следующий параметр.конфигурационный файл.

Это позволит вам больше гибкости в процессе разработки и тестирования, но убедитесь, что вы понимаете последствия использования этого параметра в рабочей среде, прежде чем делать так.

в Диспетчере IIS нажмите на свой сайт. Вы должны быть «в представлении функций «(а не «просмотр содержимого»)

в разделе IIS «представление функций» выберите так называемую функцию » аутентификация» и doulbe нажмите на нее. Здесь можно включить проверку подлинности Windows. Это также возможно (по моему в одном из предложенных в теме) в интернете.config ( . )

но, может быть, у вас есть веб.конфигурация вы не хотите, чтобы scrue слишком много вокруг С. После этого поток не будет слишком много помощи, поэтому я добавил этот ответ.

этот ответ может помочь, если: 1) Ваш сайт работал с проверкой подлинности Windows перед обновлением до версии Visual Studio 2015 и 2) и ваш сайт пытается загрузить /login.aspx (хотя на вашем сайте такого файла нет).

добавьте следующие две строки в appSettings раздел вашего сайта Web.config .

на той же ноте-VS 2015,.vs\config\applicationhost.конфигурация не видна или недоступна.

по умолчанию .папки vs скрывается (по крайней мере в моем случае).

если вы не можете найти .vs folder, выполните следующие действия.

  1. щелкните правой кнопкой мыши на папке решения
  2. выберите ‘Свойства’
  3. на , нажмите кнопку Hidden флажок(по умолчанию снят),
  4. нажмите кнопку «Применить» кнопка
  5. появится окно подтверждения «применить изменения к этой папке, подпапке и файлам», выбранная опция, нажмите «ОК».

Повторите шаги с 1 по 5, за исключением step 3 , на этот раз вам нужно uncheck параметр «скрытый», который вы проверили ранее.

теперь должен быть в состоянии видеть .папка против.

после выполнения всех вышеприведенных ответов я понял, что не запускаю Visual Studio в качестве администратора. После запуска от имени администратора, проблема решена.

Вопрос по c#-4.0, asp.net-mvc-3, iis, iis-7.5 &#8211 Проверка подлинности Windows не работает в IIS 7.5

У меня проблема с получением проверки подлинности Windows для работы на IIS 7.5. Приложение является внутренним сайтом, встроенным в asp.net MVC 3. Пул приложений использует пользователя определенного домена, а сайт использует проверку подлинности Windows. Каждый раз, когда я пытаюсь запустить сайт, IE запрашивает у меня логин.

Если я отменяю достаточно, сайт появляется, испорченный взгляд, но мое имя, связанное с моим входом в Windows, отображается вверху. Это говорит мне о том, что сайт правильно принимает мои учетные данные Windows.

Я добавил локального пользователя сети, чтобы иметь доступ на чтение к папке inetpub на сервере, и теперь он нене запрашивать логин с IE 8. Но в Chrome я получаю эту ошибку «Ошибка 338 (net :: ERR_INVALID_AUTH_CREDENTIALS): неизвестная ошибка. «.

Он находится в зоне наших интранет-сайтов. Я должен был это заявить, но я забыл. Сайт раньше работал на нашем старом сервере разработки, но когда я обновился до Win 2008 R2 с IIS 7.5, он перестал работать. Раньше был на 2003 с IIS 6.0.

Мне интересно, если у кого-нибудь есть идеи, что еще я могу попробовать. На данный момент я в основном крутлю свои колеса.


Я попробовал все решения в ссылках ниже, и ни одно из них не устранило проблему

Что такое «сквозная проверка подлинности» в IIS 7? [закрытый]

в IIS 7, после того, как я укажу физический путь для моего сайта и нажмите кнопку» Параметры тестирования», я получаю следующее предупреждение:

сервер настроен на использование сквозной проверки подлинности со встроенной учетной записью для доступа к указанному физическому пути. Однако диспетчер IIS не может проверить, имеет ли встроенная учетная запись доступ. Убедитесь, что удостоверение пула приложений имеет доступ для чтения к физическому пути. Если этот сервер присоединен к домену, и идентификатор пула приложений-это NetworkService или LocalSystem, убедитесь, что \ $ имеет доступ для чтения к физическому пути. Затем проверьте эти параметры еще раз.

Так что же такое сквозная аутентификация? В буквальном смысле, следует пройти некоторых в через Б? Так что же такое А и Б?

кроме того, я на самом деле использую встроенный ApplicationPoolIdentity. Почему IIS не может проверить, что эта учетная запись имеет соответствующие права доступа к физическому пути? Зачем мне это нужно проверить самому?

1 ответ:

обычно IIS использует идентификатор процесса (учетную запись Пользователя, с которой он запускает рабочий процесс) для доступа к защищенным ресурсам, таким как файловая система или сеть.

при сквозной проверке подлинности IIS будет пытаться использовать фактическое удостоверение пользователя при доступе к защищенным ресурсам.

если пользователь не прошел проверку подлинности, IIS будет использовать идентификатор пула приложений вместо этого. Если идентификатор пула установлен в NetworkService или LocalSystem, фактическая учетная запись Windows используется учетная запись компьютера.

предупреждение IIS, которое вы видите, не является ошибкой, это просто предупреждение. Фактическая проверка будет выполнена во время выполнения, и если она не будет выполнена, она появится в журнале.

Iis о проверке подлинности

Самая актуальная документация по Visual Studio 2020: Документация по Visual Studio 2020.

Проверка подлинности пользователя, запросившего отладку, была прервана ошибкой проверки подлинности. Это может произойти при попытке выполнить пошаговую отладку веб-приложения или веб-службы XML. Одна из причин этой ошибки в том, что встроенная проверка подлинности Windows не включена. Чтобы включить ее, следуйте шагам в разделе «Включение встроенной проверки подлинности Windows».

Если эта ошибка появляется при включенной встроенной проверке подлинности Windows, возможно, данная ошибка возникает, поскольку включена Дайджест-проверка подлинности для серверов доменов Windows. В этом случае следует обратиться к администратору сети.

Включение встроенной проверки подлинности Windows

Войдите на веб-сервер, используя учетную запись администратора.

Нажмите кнопку Пуск, затем щелкните пункт Панель управления.

В окне Панель управления дважды щелкните пункт Администрирование.

Дважды щелкните пункт Службы IIS.

Щелкните узел «Веб-сервер».

Под именем сервера откроется папка Веб-узлы.

Проверку подлинности можно настроить для всех или только для определенных веб-узлов. Чтобы настроить проверку подлинности для всех веб-узлов, щелкните правой кнопкой мыши папку Веб-узлы и выберите Свойства. Чтобы настроить проверку подлинности для определенного веб-узла, откройте папку Веб-узлы, щелкните правой кнопкой мыши выбранный веб-узел, затем выберите пункт Свойства.

Откроется диалоговое окно Свойства.


Перейдите на вкладку Безопасность каталога.

В группе Анонимный доступ и проверка подлинности щелкните пункт Правка.

Откроется диалоговое окно Методы проверки подлинности.

В пункте Доступ с проверкой подлинности выберите Встроенная проверка подлинности Windows.

Нажмите кнопку OK, чтобы закрыть диалоговое окно Методы проверки подлинности.

Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.

Закройте окно Службы IIS.

Включение встроенной поддержки подлинности Windows в Windows Vista/IIS 7

Войдите на веб-сервер, используя учетную запись администратора.

Включите проверку подлинности Windows и совместимость управления IIS6, если раньше это не было выполнено, используя следующие шаги:

Нажмите кнопку Пуск, выберите пункт Панель управления, затем пункт Программы.

В группе Программы и компоненты выберите команду Включение или отключение компонентов Windows.

Открывается диалоговое окно «Управление доступом на уровне пользователей» и запрашиваются разрешения, чтобы продолжить.

Нажмите кнопку Продолжить.

Откроется диалоговое окно Компоненты Windows.

В списке компонентов раскройте узел Службы IIS.

В узле Службы IIS раскройте узел Службы Интернета.

В узле Службы Интернета щелкните пункт Безопасность.

Щелкните пункт Использовать проверку подлинности Windows.

В узле Службы IIS разверните узел Средства управления веб-узлом.

В узле Средства управления веб-узлом разверните Совместимость управления IIS6, а затем установите флажок Метабазы IIS 6 и конфигурация совместимости IIS 6.

В узле Средства управления веб-узлом выберите Консоль управления IIS и нажмите кнопку OK.

Перезагрузите компьютер, чтобы изменения вступили в силу.

Нажмите кнопку Пуск, затем щелкните пункт Панель управления.


Выберите пункт Классический вид, затем дважды щелкните пункт Администрирование.

В столбце Имя дважды щелкните пункт Диспетчер служб IIS.

В столбце Подключения разверните узел для данного сервера.

Под именем сервера откроется папка Веб-узлы.

Раскройте узел Веб-узлы и щелкните веб-узел, для которого необходимо включить встроенную проверку подлинности Windows.

Название центральной области заменяется названием выбранного веб-узла. В этой области под заголовком Службы IIS дважды щелкните Проверка подлинности.

Название области заменяется названием Проверка подлинности.

В области Проверка подлинности в столбце Имя щелкните правой кнопкой мыши пункт Проверка подлинности Windows, затем выберите пункт Включить.

Закройте окно Диспетчер служб IIS.

Большинство поведение странно IIS проверку подлинности Windows

У меня есть веб-сайт ASP.NET работает на Windows Server R2 в корпоративной сети, с помощью проверки подлинности Windows.

  • Приложение пул веб-сайта с помощью учетной записи домена и в интегрированном режиме конвейера.
  • Аутентификация установлена ​​проверка подлинности Windows, все остальные режимы аутентификации отключены.

Однако, это не работает. Каждый раз, когда я получить доступ к веб-сайт, он всплывает диалоговое окно, имя пользователя и пароль. Я ввожу правильно доменное имя пользователя и пароль, но не продолжается — окна всплывают снова. После того, как три раза, это не удается, и отображает белую страницу. Я попытался с различными браузерами, бушель все они терпят неудачу. Я спросил некоторых коллег, чтобы попробовать, и все они получили отказ, тоже.

Я не могу понять, почему эта ошибка происходит, и перепробовал много способов, чтобы исправить это, не повезло. Я думаю, что это очень странно. Однако, в конце концов я нашел способ решить эту проблему, это самая странная часть проблемы: я редактирую «Физический путь» в разделе «Основные настройки» веб-сайта, я просто указать его на другой здоровый сайт, например, % SystemDrive% \ Inetpub \ Wwwroot, то я стараюсь, чтобы просмотреть веб-сайт, очень хороший, он хорошо работает и отображает страницу по умолчанию (iisstart.htm). Похоже, что это не очень полезно, но изменить физический путь обратно на мой сайт; вдруг все идет хорошо — работа аутентификации окна! Я не знаю, почему это помогает, но я доволен этим результатом — он фиксирует мою проблему, хотя я не знаю, что за чертовщина происходит.

Счастливое время всегда не хватает, несколько дней спустя, сервер получил несколько исправлений и перезагрузки веб-сайт не может работать снова. И опять же, я могу решить эту проблему, используя трюк выше.

Мне это не нравится! Я не люблю эту глупую выходку каждый раз, когда IIS сбросов или перезапуск сервера.

Есть ли у кого есть какие-то идеи о том, почему проверке подлинности Windows не удается, и поэтому вышеупомянутый трюк может исправить это, и почему после перезагрузки МОГО он не раз?

Во-первых, спасибо вам за создание этого поста. У меня точно такой же вопрос и не мог найти кого-либо еще, не отправляя очевидные исправления, которые были не помог мне. Я работал над этим в течение почти двух недель

Для того, чтобы помочь следующему бедняге, что встречает этот вопрос и пост, я надеюсь, что мой дополнительные лакомые помочь.

Ваше первоначальное решение не исправить мою проблему в моем случае, но это не доказывает, что это был обычай страница ошибки, связанные с. После вставки в код в web.config моя проблема еще хуже, и я не был в состоянии отладки или открыть страницу (было 500 внутренняя ошибка сервера, связанные с web.config)

Но в конце концов , что я сделал , было идти в консоль IIS и удалить все мои пользовательские страницы ошибок. Он по- прежнему не работает , как надеялся. НО, я также нашел запись для ASP.NET «.NET пользовательских ошибок» в верхней части консоли сайта (и „пользовательские ошибки“ тег в web.config). Я имел старые записи там и удалить их с помощью консоли, и YESSSS, мой сайт вернулся к нормальной жизни с проверкой подлинности Windows.

С тех пор я воссоздал IIS пользовательских ошибок, и я до сих пор и работает, как задумано.

Настройка Kerberos авторизации на сайте IIS


Пошаговая инструкция по настройке на веб-сайте IIS на Windows Server 2012 R2 прозрачной авторизации доменных пользователей в режиме SSO (Single Sign-On) по протоколу Kerberos.

На веб сервере запустите консоль IIS Manager, выберите нужный сайт и откройте раздел Authentication. Как вы видите, по умолчанию разрешена только анонимная аутентификация (Anonymous Authentication). Отключаем ее и включаем Windows Authentication (IIS всегда сначала пытается выполнить анонимную аутентификацию).

Открываем список провайдеров, доступных для Windows аутентификации (Providers). По умолчанию доступны два провайдера: Negotiate и NTLM. Negotiate – это контейнер, который в качестве первого метода проверки подлинности использует Kerberos, если эта аутентификация не удается, используется NTLM. Необходимо, чтобы в списке провайдеров метод Negotiate стоял первым.

Следующий этап – регистрация Service Principal Name (SPN) записей для имени сайта, к которому будут обращаться пользователи. В том случае, если сайт IIS должен быть доступен только по имени сервера, на котором он расположен (http://server-name или http://server-name.contoso.com), создавать дополнительные SPN записи не нужно (SPN записи уже имеются в учетной записи сервера в AD). При использовании адреса сайта, отличного от имени хоста, или при построении веб-фермы с балансировкой, придется привязывать дополнительные записи SPN к учётной записи сервера или пользователя.

Предположим, у нас имеется ферма IIS серверов. В этом случае оптимально создать отдельную учетную запись в AD и привязать SPN записи к ней. Из-под этой же учетной записи будут запускать целевой Application Pool нашего сайта.

Создадим доменную учетную запись iis_service. Убедимся, что SPN записи для этого объекта не назначены (атрибут servicePrincipalName пустой).

Предположим, что сайт должен отвечать по адресам _http://webportal and _http://webportal.contoso.loc. Мы должны прописать эти адреса в SPN атрибут служебной учетной записи

Setspn /s HTTP/webportal contoso\iis_service
Setspn /s HTTP/webportal.contoso.loc contoso\iis_service

Таким образом, мы разрешим этой учетной записи расшифровывать тикеты Kerberos при обращении пользователей к данным адресам и аутентифицировать сессии.

Проверить настройки SPN у учетной записи можно так:

setspn /l iis_service

Следующий этап – настройка в IIS Application Pool для запуска из-под созданной сервисной учетной записи.

Выберите Application Pool сайта (в нашем примере это DefaultAppPool).

Откройте раздел настроек Advanced Settings и перейдите к параметру Identity.

Измените его с ApplicationPoolIdentity на contoso\iis_service.

Затем в консоли IIS Manager перейдите на свой сайт и выберите секцию Configuration Editor.

В выпадающем меню перейдите в раздел system.webServer > security > authentication > windowsAuthentication

Измените useAppPoolCredentials на True.

Тем самым мы разрешим IIS использовать доменную учетку для расшифровки билетов Kerberos от клиентов.

Перезапустим IIS командой:

Аналогичную настройку нужно выполнить на всех серверах веб-фермы.

Протестируем работу Kerberos авторизации, открыв в браузере клиента (браузер нужно предварительно настроить для использования Kerberos) адрес _http://webportal.contoso.loc

Убедится, что для авторизации на сайте используется Kerberos можно с помощью инспектирования HTTP трафика утилитой Fiddler (ранее мы уже упоминали эту утилиту).

Запускаем Fiddler, в браузере открываем целевой сайт. В левом окне находим строку обращения к сайте. Справа переходим на вкладку Inspectors. Строка Authorization Header (Negotiate) appears to contain a Kerberos ticket, говорит о том, что для авторизации на IIS сайте использовался протокол Kerberos.

Илон Маск рекомендует:  Что такое код hw_pconnect
Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL