ケース1.JOHNXP(http:// localhost / WebClientなど)と呼ばれる自分のPCから小さなテストサイトを参照すると、.aspxページがASMX Webサービスを呼び出し、資格情報を取得して別のマシン上の別のWebサービスに渡します(同じドメイン内のSERVERTRIM)。要求の結果、資格情報を使用してSERVERTRIMマシンにセキュリティログエントリが表示されます。
ケース2.同じドメイン内の別のPCに移動し、個人のデスクトップで使用したのと同じ資格情報でログオンします。上記の同じテストサイト(今回はhttp:// johnxp / WebClient)を参照すると、これが.aspxページに浸透します。
System.Web.Services.Protocols.SoapException:サーバーはリクエストを処理できませんでした。---> System.Net.WebException:リクエストがHTTPステータス401:Unauthorizedで失敗しました
SERVERTRIMのセキュリティログを見ると、ケース2のアクセスにより、401/Unauthorizedを説明しているように見えるANONYMOUSLOGONが発生したことがわかります。
WSが別のサーバー上のベンダーのWebサービスを呼び出すときに、ログインしたDOMAINユーザーの資格情報を使用するようにWebサービスを取得しようとしています。
ASMX Webサービスはデスクトップで実行されます(IIS 5.1 WinXP Pro-マシン名はJOHNXPです)。関係するすべてのサーバーで匿名のUNCHECKEDを有効にし、シナリオに関係するすべてのweb.configでこれを使用しています。
ベンダーのWebサービスはSERVERTRIM(Win 2003 Server)で実行され、ASMXでもあり、WSE3.0を使用します。
WiresharkとNetmonは、今のところ私にとってツールとしては手ごわいように見えます。「リモート」サーバー(SERVERTRIM)で結果として得られるさまざまなLOGONは、十分な「証拠」であると考えています。上記のすべてのマシンは同じドメインにありますが、可能な場合は、「リモート」WebサービスをSERVERTRIMに、中間Webサービスを同じドメインの別のサーバーに保持したいと思います。このシナリオでは、「委任」を掘り下げる必要がありますか?ドメイン内の別のマシンでWeb要求が開始されたときに、同じクレデンシャルがANONYMOUS LOGONになる理由を監視するための最も簡単なツールは何でしょうか?