DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 308160 - Geändert am: Freitag, 26. September 2003 - Version: 2.1

Dieser Artikel wurde zuvor veröffentlicht unter D308160
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
308160  (http://support.microsoft.com/kb/308160/en-us/ ) HOW TO: Configure Internet Information Services Web Authentication in Windows 2000
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

In diesem Artikel wird Schritt für Schritt das Konfigurieren der Authentifizierung für Webanforderungen in Microsoft Internet-Informationsdienste (IIS) 5.0 beschrieben.

Funktionsweise der Webauthentifizierung

Webauthentifizierung erfolgt durch Kommunikation zwischen dem Webbrowser und dem Webserver. Hierzu sind einige HTTP-Header (Hyper Text Transfer Protocol) und Fehlermeldungen erforderlich.

Die Kommunikation läuft folgendermaßen ab:
  1. Der Webbrowser stellt eine Anforderung, z. B. HTTP-GET.
  2. Der Webserver führt eine Authentifizierungsprüfung durch. Falls diese Prüfung fehlschlägt, da eine Authentifizierung erforderlich ist, sendet der Server eine Fehlermeldung zurück, die der folgenden ähnlich ist:
    Sie dürfen nicht auf diese Seite zugreifen.

    Die angegebenen Anmeldeinformationen berechtigen Sie nicht zum Zugriff auf dieses Verzeichnis bzw. diese Seite.
    Diese Meldung enthält Informationen, mit denen der Webbrowser die Anforderung erneut als authentifizierte Anforderung senden kann.
  3. Aus der Antwort des Servers erstellt der Webbrowser eine neue Anforderung mit Authentifizierungsinformationen.
  4. Der Webserver führt eine Authentifizierungsprüfung durch. Bei erfolgreicher Prüfung sendet der Webserver die ursprünglich angeforderten Daten an den Webbrowser.

Authentifizierungsmethoden

HINWEIS: Bei einigen der folgenden Authentifizierungsmethoden müssen Sie NTFS-Laufwerke verwenden, um den höchsten Grad an Sicherheit zu gewährleisten.

IIS unterstützt folgende fünf Webauthentifizierungsmethoden:

Anonyme Authentifizierung

IIS erstellt das IUSR_Computername-Konto (wobei Computername der Name des Computers ist), um anonyme Benutzer beim Anfordern von Webinhalten authentifizieren zu können. Das Konto berechtigt den Benutzer zur lokalen Anmeldung. Sie können die Zugriffsrechte anonymer Benutzer auf die Verwendung eines gültigen Windows-Kontos zurücksetzen.

HINWEIS: Sie können unterschiedliche anonyme Konten für verschiedene Websites, virtuelle Verzeichnisse oder physische Verzeichnisse und Dateien einrichten.

Wenn der Computer unter Windows 2000 als eigenständiger Server betrieben wird, befindet sich das IUSR_Computername-Konto auf dem lokalen Server. Wird der Server als Domänencontroller betrieben, ist das IUSR_Computername-Konto für die Domäne definiert.

Standardauthentifizierung

Mit der Standardauthentifizierung können Sie den Zugriff auf Dateien auf einem NTFS-Webserver einschränken. Bei der Standardauthentifizierung muss der Benutzer Anmeldeinformationen eingeben, und Zugriffsberechtigungen sind von der Benutzer-ID abhängig.

Bei Verwendung der Standardauthentifizierung benötigen alle Benutzer die Berechtigung für die lokale Anmeldung. Sie können die Verwaltung vereinfachen, indem Sie alle Benutzer einer Gruppe hinzufügen, die auf die benötigten Dateien zugreifen darf.

HINWEIS: Die Standardauthentifizierung wird als unsichere Authentifizierungsform betrachtet, da Anmeldeinformationen zwar in Base64 codiert, aber bei ihrer Übertragung über ein Netzwerk nicht verschlüsselt werden.

Integrierte Windows-Authentifizierung

Die integrierte Windows-Authentifizierung ist sicherer als die Standardauthentifizierung und eignet sich insbesondere für Intranetumgebungen, in denen die Benutzer Windows-Domänenkonten besitzen. Der Browser verwendet die Anmeldeinformationen des jeweiligen Benutzers aus einer Domänenanmeldung. Erst wenn dies fehlschlägt, wird der Benutzer zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Bei der integrierten Windows-Authentifizierung wird das Kennwort des Benutzers nicht zum Server übertragen. Wenn sich der Benutzer am lokalen Computer als Domänenbenutzer angemeldet hat, ist bei einem Zugriff auf einen Netzwerkcomputer in dieser Domäne keine erneute Authentifizierung erforderlich.

HINWEIS: Die integrierte Windows-Authentifizierung kann nicht über einen Proxyserver betrieben werden.

Digestauthentifizierung

Viele Schwachpunkte der Standardauthentifizierung sind bei der Digestauthentifizierung beseitigt. Bei der Digestauthentifizierung wird das Kennwort nicht als Klartext übertragen. Außerdem kann ein Proxyserver verwendet werden. Bei der Digestauthentifizierung wird ein Abfrage-/Rückmeldungsmechanismus (der aus der integrierten Windows-Authentifizierung bekannt ist) verwendet, bei dem das Kennwort verschlüsselt übertragen wird. So verwenden Sie die Digestauthentifizierung:
  • Der Windows 2000-Server muss Teil einer Domäne sein.
  • Auf dem Domänencontroller muss die Datei IISSuba.dll installiert sein. Diese Datei wird beim Setup für Windows 2000 Server automatisch kopiert.
  • Beim Konfigurieren der Benutzerkonten muss die Option Kennwort mit reversibler Verschlüsselung speichern aktiviert werden. Beim Aktivieren dieser Option muss das Kennwort zurückgesetzt oder erneut eingegeben werden.
HINWEIS: Bei der Digestauthentifizierung müssen Sie Microsoft Internet Explorer 5.0 oder höher als Webbrowser verwenden.

Zuordnung von Clientzertifikaten

Die Zuordnung von Clientzertifikaten ist ein Verfahren, bei dem eine "Zuordnung" zwischen einem Zertifikat und einem Benutzerkonto erstellt wird. In diesem Modell legt der Benutzer ein Zertifikat vor, woraufhin das System auf der Grundlage der Zuordnung das anzumeldende Benutzerkonto ermittelt. Es gibt zwei Möglichkeiten, um ein Zertifikat einem Windows-Benutzerkonto zuzuordnen:
  • Verwendung von Active Directory.

    - oder -
  • Verwendung von in IIS definierten Regeln.
Weitere Informationen über das Zuordnen von Clientzertifikaten zu Benutzerkonten finden Sie, wenn Sie in der IIS-Dokumentation nach "Zuordnung von Clientzertifikaten" suchen. Wenn IIS installiert ist, können Sie die IIS-Dokumentation öffnen, indem Sie den folgenden URL in die Adressleiste des Webbrowsers eingeben, wobei localhost der Name des lokalen Hosts ist:
http://localhost/iisHelp/iis/misc/default.asp
Weitere Informationen über das Verwenden von Zertifikaten finden Sie, wenn Sie auf die nachstehende Artikelnummer klicken, um den entsprechenden Artikel in der Microsoft Knowledge Base anzuzeigen:
290625  (http://support.microsoft.com/kb/290625/EN-US/ ) How to Configure SSL in a Windows 2000 IIS 5 Test Environment Using Certificate Server 2.0
Bei allen Authentifizierungsmethoden können Sie den Zugriff auf die folgenden Elemente auf dem IIS-Server konfigurieren:
  • Alle Webinhalte, für die der IIS-Server als Host fungiert.
  • Einzelne Websites, für die der IIS-Server als Host fungiert.
  • Einzelne virtuelle Verzeichnisse oder physische Verzeichnisse, die zu einer Website gehören.
  • Einzelne Seiten oder Dateien, die zu einer Website gehören.

Konfigurieren der IIS-Websiteauthentifizierung

  1. Melden Sie sich über ein Administratorkonto am Webservercomputer an.
  2. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetdienste-Manager.

    Das Internet-Informationsdienste-Snap-In wird gestartet.
  3. Klicken Sie in der Konsolenstruktur auf * Computername, wobei Computername der Name des Computers ist.
  4. Klicken Sie mit der rechten Maustaste auf eines der folgenden Elemente, und klicken Sie dann auf Eigenschaften.
    • Zum Konfigurieren der Authentifizierung für alle Webinhalte, für die der IIS-Server als Host fungiert, klicken Sie mit der rechten Maustaste auf * Computername .
    • Zum Konfigurieren der Authentifizierung für eine einzelne Website klicken Sie mit der rechten Maustaste auf die betreffende Website.
    • Zum Konfigurieren der Authentifizierung für ein virtuelles Verzeichnis oder ein physisches Verzeichnis auf einer Website klicken Sie auf die betreffende Website, und klicken Sie dann mit der rechten Maustaste auf das gewünschte Verzeichnis, z. B. _vti_pvt .
    • Zum Konfigurieren der Authentifizierung für eine einzelne Seite oder Datei auf einer Website klicken Sie auf die betreffende Website, klicken Sie auf den Ordner mit der entsprechenden Seite oder Datei, und klicken Sie dann mit der rechten Maustaste auf die Seite oder Datei.
  5. Klicken Sie im Dialogfeld Eigenschaften von Elementname auf die Registerkarte Verzeichnissicherheit, wobei Elementname der Name des ausgewählten Elements ist.

    HINWEIS: Wenn es sich bei dem ausgewählten Element um eine einzelne Datei handelt, klicken Sie auf die Registerkarte Dateisicherheit.
  6. Klicken Sie unter Steuerung des anonymen Zugriffs und der Authentifizierung auf Bearbeiten.
  7. Aktivieren Sie das Kontrollkästchen Anonymer Zugriff , um den anonymen Zugriff zu aktivieren. Zum Deaktivieren des anonymen Zugriffs deaktivieren Sie das Kontrollkästchen.

    HINWEIS: Wenn Sie den anonymen Zugriff deaktivieren, müssen Sie den authentifizierten Zugriff in irgendeiner Form konfigurieren.
    1. Wenn Sie das Konto ändern möchten, das für den anonymen Zugriff auf diese Ressource verwendet wird, klicken Sie auf Bearbeiten neben Verwendetes Konto für anonymen Zugriff .
    2. Klicken Sie im Dialogfeld Anonymes Benutzerkonto auf das Benutzerkonto, das für den anonymen Zugriff verwendet werden soll.
    3. Deaktivieren Sie das Kontrollkästchen Kennwortkontrolle durch IIS zulassen , wenn Sie die LogonUser()-API von Windows für die Benutzerauthentifizierung verwenden möchten.

      HINWEIS: Wenn Sie diese Kennwortkontrolloption deaktivieren, verwendet IIS die normale Authentifizierung und meldet das Konto lokal an. Deaktivieren Sie diese Option, wenn für die Benutzer Probleme beim Zugriff auf Ressourcen wie Dateien oder Microsoft Access-Datenbanken auf einem Netzwerkcomputer auftreten.
    4. Klicken Sie auf OK.
  8. Aktivieren Sie unter Authentifizierter Zugriff das Kontrollkästchen Standardauthentifizierung (Kennwort wird als Klartext gesendet) , um die Standardauthentifizierung zu aktivieren. Wenn die folgende Meldung angezeigt wird, klicken Sie auf Ja:
    Mit der gewählten Authentifizierung werden Kennwörter unverschlüsselt über das Netzwerk gesendet werden. Die Systemsicherheit kann gefährdet werden, wenn ein anderer Benutzer versucht, ein Protokollanalyseprogramm zu verwenden, um Benutzerkennwörter während der Authentifizierung zu ermitteln. Weitere Informationen über Benutzerauthentifizierung finden Sie in der Hilfe. Diese Warnung trifft nicht auf HTTPS- (oder SSL-) Verbindungen zu.

    Möchten Sie den Vorgang wirklich fortsetzen?
    1. Zum Auswählen einer Domäne zum Authentifizieren von Benutzern, die die Standardauthentifizierung verwenden, klicken Sie auf Bearbeiten neben Standarddomäne auswählen .
    2. Geben Sie im Feld Domänenname die gewünschte Domäne ein, und klicken Sie anschließend auf OK.
  9. Aktivieren Sie das Kontrollkästchen Digestauthentifizierung für Windows-Domänenserver , wenn die Digestauthentifizierung verwendet werden soll. Wenn die folgende Meldung angezeigt wird, klicken Sie auf Ja:
    Digestauthentifizierung funktioniert nur mit Domänenkonten von Windows 2000 und erfordert, dass die Konten Kennwörter als verschlüsselten Klartext speichern.

    Möchten Sie den Vorgang wirklich fortsetzen?
    HINWEIS: Beim Konfigurieren der Benutzerkonten muss die Option Kennwort mit reversibler Verschlüsselung speichern aktiviert werden.
  10. Aktivieren Sie das Kontrollkästchen Integrierte Windows-Authentifizierung , wenn die integrierte Windows-Authentifizierung verwendet werden soll.

    HINWEIS: Diese Authentifizierungsmethode war bisher unter der Bezeichnung Microsoft Windows NT Challenge/Response oder NT LAN Manager (NTLM) bekannt.
  11. Klicken Sie auf OK, und klicken Sie dann im Dialogfeld Eigenschaften von Elementname auf OK. Wenn das Dialogfeld Vererbungsüberschreibungen geöffnet wird, fahren Sie wie folgt fort:
    1. Klicken Sie auf Alle auswählen, um die neuen Authentifizierungseinstellungen auf alle Dateien oder Ordner im geänderten Element anzuwenden.
    2. Klicken Sie auf OK.
  12. Beenden Sie die Internet-Informationsdienste.

Verweise

Weitere Informationen erhalten Sie, wenn Sie auf die nachstehenden Artikelnummern klicken, um die Artikel in der Microsoft Knowledge Base anzuzeigen:
297954  (http://support.microsoft.com/kb/297954/EN-US/ ) HOW TO: Troubleshoot the Web Server in Windows 2000
299970  (http://support.microsoft.com/kb/299970/EN-US/ ) HOW TO: Use NTFS Security to Protect a Web Page Running on IIS 4.0 or 5.0
216705  (http://support.microsoft.com/kb/216705/EN-US/ ) How to Set Permissions on a FrontPage Web on IIS
222028  (http://support.microsoft.com/kb/222028/EN-US/ ) Setting Up Digest Authentication for Use with Internet Information Services 5.0
158229  (http://support.microsoft.com/kb/158229/EN-US/ ) INFO: Security Ramifications for IIS Applications

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Small Business Server 2000 Standard Edition
Keywords: 
kbhowto kbhowtomaster KB308160
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store