1

あなたの建設的な提案と助けが必要です。企業イントラネット用にWindowsServer2008 R2のIIS7.5で新しいWebサイトを作成しています(既存の既定のWebサイトのアプリケーションではありません!)。Windows認証の認証の問題で取得できないようです。StackOverflowや他のサイトでここにあるすべての記事と投稿を確認しましたが、まだ実用的な解決策を見つけることができません。

IIS7.5でこの新しいサイトを作成および構成するために実行した手順:

  1. RDCをVMに接続し、IIS7.5で新しいWebサイトを作成します。IISマネージャーを開きます。
  2. ホスト名なし、すべての未割り当てIPアドレス、ポート80にバインドされているデフォルトのWebサイトを変更しませんでした。まだそこにあります。
  3. 「サイト」、「Webサイトの追加...」を右クリックし、サイト名「sit」を指定します。アプリケーションプール:DefaultAppPool、物理パスは、Dev Server(VS2010)で動作するアプリを指します。
  4. [テスト設定...]をクリックすると、認証グリッドアイコン、認証の黄色の感嘆符が表示されます:「パスへのアクセスを確認できません」。
  5. 物理パスディレクトリでWindowsセキュリティアクセス(Windowsエクスプローラー)を確認していますが、NTセキュリティアクセス権に追加するDefaultAppPoolアカウントが見つかりません。とりあえずこんな感じにします。
  6. 上記のように使用される「Webサイトの追加」フォームの「バインド」セクションでは、タイプ:HTTP、IPアドレス:すべて未割り当て、ポート:80のままにします。ホスト名:サイト名と同じ「sit」を指定しますその上。
  7. [OK]をクリックします。サイトが作成され、右側のペインの[サイト]ウィンドウに表示されます。右端の垂直の[アクション]パネルにある[参照][*:80(http)]ハイパーリンクをクリックします。ブラウザIE8が起動し、DNSルックアップで「座る」が見つからないというエラーが表示されます。これは手順5で説明した私のホスト名です。
  8. System32 \ drivers \ etcディレクトリの「hosts」ファイルに移動し、エントリを追加します:{MachineIP}座って、保存します。
  9. ブラウザをリロードすると、Windowsのクレデンシャルを要求されます。ボックスに管理者の資格情報を3回入力すると、ブラウザから次のメッセージが表示されます。

"HTTPエラー401.1-無許可指定した資格情報を使用してこのディレクトリまたはページを表示する権限がありません。

ログオン方法はまだ決定されていません

ログオンユーザーはまだ決定されていません

10.IIS7.5で認証を確認します。Web設定から正しく解読されます:Windwos認証が有効、応答タイプはHTTP401チャレンジ。匿名認証が無効になっています。これが私のweb.configセキュリティ設定です:

    <system.webServer>
    <security>
    <authentication>
  <anonymousAuthentication enabled="false" userName="" />
  <windowsAuthentication enabled="true" useKernelMode="false" useAppPoolCredentials="true"> 
                <providers>
                    <clear />
                    <add value="NTLM" />
                    <add value="Negotiate" />
                </providers>
                <extendedProtection tokenChecking="Allow" />
            </windowsAuthentication>
        </authentication>
    </security>
<validation validateIntegratedModeConfiguration="false" />
<modules runAllManagedModulesForAllRequests="true" />
    </system.webServer>
    <system.web>
    <authentication mode="Windows" />
    <identity impersonate="false" />

私のWindowsAthenticationモジュールは、IISにインストールされ、参照されています。

これは私がこれ以上先に進むことができないところです、そして私はあなたの助けを必要としています。何かが足りないのですが、それが何なのかわかりません。サイトに戻って[基本設定]を開くと、[接続のテスト]ポップアップの[認証]に黄色い感嘆符が表示されますが、解決方法がわからないようです。ログに記録されています。管理者としてVMに、アプリの物理的な場所にフルアクセスを許可し、サイトとアプリケーションプールで管理者アカウントを使用してみました。物理的なアプリディレクトリにEverybodyアカウントをread-executeで追加しました。権限、IUSR、IIS_IUSRS、NETWROK SERVICEなどを権限とともに追加しましたが、まだ役に立ちません。私は特に理解していません:

  1. ブラウザの設定に「現在のユーザー名とパスワードを使用した自動ログオン」と表示されていて、サイトのホスト名が「ローカルイントラネット」リストに追加されている場合でも、ブラウザから資格情報の入力を求められるのはなぜですか。

  2. 有効な資格情報を(3回)提供した後も、「ログオン方法:まだ決定されていません」と「ログオンユーザー:まだ決定されていません」が表示されるのはなぜですか?

これが私のリクエストです。Fiddlerでキャッチされました。

-[NTLMタイプ3:認証] ------------------------------プロバイダー:NTLMSSPタイプ:3 OSバージョン:6.1:7601フラグ:0xa2888205セキュリティバッファでサポートされているUnicode。Type2応答に含まれる要求サーバーの認証レルム。NTLM認証。常に署名を交渉します。NTLM2キーをネゴシエートします。NTLMv2応答の計算に使用するために提供されるターゲット情報ブロック。56ビット暗号化をサポートします。128ビット暗号化をサポートします。lmresp_Offset:160; lmresp_Length:24; lmresp_Length2:24 ntresp_Offset:184; ntresp_Length:24; ntresp_Length2:24 Domain_Offset:88; Domain_Length:12; Domain_Length2:12 User_Offset:100; User_Length:36; User_Length2:36 Host_Offset:136; Host_Length:24; Host_Length2:24 msg_len:208ドメイン:BLAHBLAHユーザー:sergey ivanchenkovホスト:LLLBBBAAA001 lm_resp:

この問題を解決するための良い提案はありますか?助けに心から感謝します。

4

1 に答える 1

0

少し遅れていることはわかっていますが、同じ問題がありました 。 -7-5-サーバー上のディレクトリ

フィーバスはそこに書いた:

ほとんどの場合、IIS 5.1 で導入された Windows ループバック チェックを実行しています。これは、システムに対する特定のタイプのリフレクション攻撃を回避するためのセキュリティ機能です。

Microsoft には、回避策を説明する KB 記事があります。基本的には、レジストリを変更してループバック チェックを無効にするか、特定のホスト名 (ローカル ホスト名やサイト名など) がバック接続できるようにすることです。

PowerShell を使用してチェックをすばやく無効にすることができます。

以下はマイクロソフトの公式の指示です。以下の手順は再起動を示していますが、IE は通常、変更をすぐに反映することがわかりました。

方法 1: ホスト名を指定する (NTLM 認証が必要な場合に推奨される方法)

  1. DisableStrictNameChecking レジストリ エントリを 1 に設定します。
    1. [スタート]、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、[OK] をクリックします。
    2. レジストリ エディターで、次のレジストリ キーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
    3. MSV1_0 を右クリックし、[新規作成] をポイントして、[複数文字列値] をクリックします。
    4. BackConnectionHostNames と入力し、Enter キーを押します。
    5. BackConnectionHostNames を右クリックし、[変更] をクリックします。
    6. [値のデータ] ボックスにホスト名またはローカル コンピューター上のサイトのホスト名を入力し、[OK] をクリックします。
    7. レジストリ エディターを終了し、IISAdmin サービスを再起動します。

方法 2: ループバック チェックを無効にする (あまり推奨されない方法)

  1. DisableStrictNameChecking レジストリ エントリを 1 に設定します。
    1. [スタート]、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、[OK] をクリックします。
    2. レジストリ エディターで、次のレジストリ キーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. [Lsa] を右クリックし、[新規] をポイントして、[DWORD 値] をクリックします。
    4. DisableLoopbackCheck と入力し、Enter キーを押します。
    5. [DisableLoopbackCheck] を右クリックし、[変更] をクリックします。
    6. [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
    7. レジストリ エディターを終了し、コンピューターを再起動します。

補遺:

DisableStrictNameChecking レジストリ エントリを 1 に設定するには:

  1. [スタート]、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、[OK] をクリックします。
    1. レジストリ エディターで、次のレジストリ キーを見つけてクリックします。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    2. [パラメーター] を右クリックし、[新規] をポイントして、[DWORD 値] をクリックします。
    3. DisableStrictNameChecking と入力し、Enter キーを押します。
    4. DisableStrictNameChecking を右クリックし、[変更] をクリックします。
    5. [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
    6. レジストリ エディターを終了し、コンピューターを再起動します。
于 2013-07-09T15:11:36.983 に答える