DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 324274 - Geändert am: Montag, 3. Dezember 2007 - Version: 5.4

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
324274  (http://support.microsoft.com/kb/324274/EN-US/ ) HOW TO: Configure IIS Web Site Authentication in Windows Server 2003
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie Sie die Microsoft Internet Information Services (IIS)-Websiteauthentifizierung in Windows Server 2003 konfigurieren. Sie können IIS so konfigurieren, dass Benutzer authentifiziert werden, bevor ihnen Zugriff auf die Website, einen Ordner auf der Site oder sogar nur ein bestimmtes Dokument in einem Ordner auf der Site gewährt wird. Durch die IIS-Authentifizierung kann der Grad der Sicherheit für Sites, Ordner und Dokumente erhöht werden, die nur für einen begrenzten Personenkreis zugänglich sein sollen.

Die IIS-Authentifizierung ist von besonderer Bedeutung, wenn die Ressourcen nicht für anonyme Benutzer bzw. nicht für alle Benutzer zugänglich sein sollen, der Zugriff auf den Webserver über das Internet jedoch für autorisierte Benutzer möglich sein soll. Websiteanwendungen, bei denen die Zugriffskontrolle mittels Authentifizierung erforderlich ist, sind z. B. Microsoft Outlook Web Access (OWA) und Microsoft Terminal Services Advanced Client (TSAC).


Konfigurieren der Authentifizierung in IIS

  1. Starten Sie den IIS-Manager, oder öffnen Sie das IIS-Snap-In.
  2. Erweitern Sie Servername, wobei Servername für den Namen des betreffenden Servers steht, und erweitern Sie dann den Knoten Websites.
  3. Klicken Sie mit der rechten Maustaste auf die Website, das virtuelle Verzeichnis, den Ordner oder die Datei, für die Sie die Authentifizierung konfigurieren möchten, und klicken Sie anschließend auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Verzeichnissicherheit bzw. die Registerkarte Dateisicherheit (je nach Situation), und klicken Sie anschließend unter Anonyme Anmeldung und Zugriffskontrolle auf Bearbeiten.
  5. Aktivieren Sie das Kontrollkästchen neben der gewünschten Authentifizierungsmethode bzw. den Authentifizierungsmethoden, und klicken Sie anschließend auf OK.

    Die Authentifizierungsmethoden Anonyme Anmeldung und Integrierte Windows-Authentifizierung sind standardmäßig aktiviert:
    • Anonyme Anmeldung: Wenn die anonyme Anmeldung aktiviert ist, muss kein Benutzername/Kennwort eingegeben werden, um auf die Site zuzugreifen. Die Verwendung dieser Option empfiehlt sich, wenn Sie Informationen öffentlich zugänglich machen möchten, die keinen Schutz erfordern. Wenn ein Benutzer versucht, auf Ihre Website zuzugreifen, weist IIS die Verbindung dem Konto IUSER_Computername zu, wobei Computername für den Namen des Servers steht, auf dem IIS ausgeführt wird. Das Konto IUSER_Computername ist standardmäßig Mitglied der Gruppe "Gäste". Diese Gruppe unterliegt Sicherheitseinschränkungen, die auf NTFS-Dateisystemberechtigungen basieren. Diese bestimmen die Zugriffsstufe und den Inhaltstyp, der öffentlichen Benutzern zugänglich ist. Um das für den anonymen Zugriff verwendete Windows-Konto zu bearbeiten, klicken Sie unter Anonyme Anmeldung auf Bearbeiten.

      Wichtig: Wenn Sie die anonyme Anmeldung aktivieren, versucht IIS, die Benutzer stets mithilfe der anonymen Authentifizierung anzumelden, selbst wenn Sie zusätzliche Authentifizierungsmethoden festgelegt haben.
    • Integrierte Windows-Authentifizierung: Diese Methode wurde früher als NTLM- oder Windows NT-Herausforderung/Rückmeldung-Authentifizierung bezeichnet. Sie sendet die Benutzerauthentifizierungsinformationen als Kerberos-Ticket über das Netzwerk und bietet eine hohe Sicherheitsstufe. Die integrierte Windows-Authentifizierung verwendet Kerberos Version 5 und die NTLM-Authentifizierung. Damit diese Methode genutzt werden kann, müssen die Clients Microsoft Internet Explorer 2.0 oder höher verwenden. Die integrierte Windows-Authentifizierung über HTTP-Proxyverbindungen wird nicht unterstützt. Diese Option eignet sich am besten in Intranets. Hier befinden sich sowohl die Benutzer- als auch die Webservercomputer in derselben Domäne, und die Administratoren können sicherstellen, dass alle Benutzer Internet Explorer 2.0 oder höher verwenden.

      Hinweis: Wenn mehrere Authentifizierungsoptionen ausgewählt sind, versucht IIS zunächst, die sicherste Methode auszuhandeln. Anschließend wird ggf. die Liste der verfügbaren Authentifizierungsprotokolle abgearbeitet, bis ein Authentifizierungsprotokoll sowohl vom Server als auch vom Client unterstützt wird.
    • Digest-Authentifizierung für Windows-Domänenserver: Die Digest-Authentifizierung erfordert eine Benutzerkennung und ein Kennwort, bietet eine mittlere Sicherheitsstufe und kann verwendet werden, wenn Sie Zugriff auf sichere Informationen von öffentlichen Netzwerken aus gewähren möchten. Diese Methode bietet die gleiche Funktionalität wie die Standardauthentifizierung. Diese Methode überträgt jedoch die Benutzeranmeldeinformationen als MD5-Hashwert oder Message Digest über das Netzwerk. Aus dem Hashwert können der ursprüngliche Benutzername und das Kennwort nicht entschlüsselt werden. Damit diese Methode eingesetzt werden kann, müssen die Benutzer Microsoft Internet Explorer 5.0 oder höher verwenden, und die Webclients und Webserver müssen Mitglieder einer vertrauenswürdigen bzw. derselben Domäne sein.

      Wenn Sie die Digest-Authentifizierung aktivieren, geben Sie den Bereichsnamen im Feld Bereich ein.
    • Standardauthentifizierung (Kennwort wird als Klartext gesendet): Die Standardauthentifizierung erfordert einen Benutzernamen und ein Kennwort. Sie bietet eine niedrige Sicherheitsstufe. Die Benutzeranmeldeinformationen werden als Klartext über das Netzwerk gesendet. Dieses Format bietet ein geringes Maß an Sicherheit, da das Kennwort von nahezu allen Protokollanalyseprogrammen gelesen werden kann. Es ist jedoch mit der Mehrzahl der Webclients kompatibel. Die Verwendung dieser Option empfiehlt sich, wenn Sie Zugriff auf Informationen mit geringem oder ohne Sicherheitsinteresse gewähren möchten.

      Wenn Sie die Standardauthentifizierung aktivieren, geben Sie den zu verwendenden Domänennamen im Feld Standarddomäne ein. Optional können Sie auch einen Wert im Feld Bereich eingeben.
    • Microsoft .NET-Passport-Authentifizierung: Die .NET-Passport-Authentifizierung bietet Sicherheit durch eine einmalige Anmeldung, die Benutzern den Zugang zu verschiedenen Diensten im Internet ermöglicht. Wenn Sie sich für diese Option entscheiden, müssen an IIS übermittelte Anfragen gültige .NET Passport-Anmeldeinformationen enthalten (entweder im Cookie oder in der Abfragezeichenfolge). Kann IIS keine .NET-Passport-Anmeldeinformationen erkennen, werden Anfragen an die .NET-Passport-Anmeldeseite weitergeleitet.

      Hinweis: Die anderen Authentifizierungsmethoden sind nicht verfügbar (abgeblendet), wenn Sie sich für diese Option entscheiden.
  6. Ein weiterer Authentifizierungstyp basiert nicht auf den Benutzeranmeldeinformationen, sondern auf dem anfordernden Host. Sie können den Zugriff auf Grundlage der Quell-IP-Adresse, der Quellnetzwerk-ID oder des Quelldomänennamens beschränken. Gehen Sie folgendermaßen vor, um diese Authentifizierungsmethode zu konfigurieren:
    1. Klicken Sie unter Beschränkungen für IP-Adressen und Domänennamen auf Bearbeiten.
    2. Führen Sie einen der folgenden Schritte aus:
      • Klicken Sie zum Verweigern des Zugriffs auf Zugriff gewährt und dann auf Hinzufügen. Wählen Sie im Dialogfeld Zugriff verweigern für die gewünschte Option aus, und klicken Sie anschließend auf OK.

        Der ausgewählte Computer, die Computergruppe oder Domäne wird der Liste hinzugefügt.

        -oder-
      • Klicken Sie zum Gewähren des Zugriffs auf Zugriff verweigert und dann auf Hinzufügen. Wählen Sie im Dialogfeld Zugriff gewähren für die gewünschte Option aus, und klicken Sie anschließend auf OK.

        Der ausgewählte Computer, die Computergruppe oder Domäne wird der Liste hinzugefügt.
    3. Klicken Sie auf OK.
  7. Klicken Sie auf OK, und beenden Sie anschließend den Internetdienste-Manager oder das IIS-Snap-In.

Problembehandlung

  • Unter Umständen werden Sie aufgefordert, die Änderungen zu übernehmen, die Sie an vorhandenen Sites vorgenommen haben. Wenn die Authentifizierungsänderungen auf andere Inhalte angewendet werden sollen, klicken Sie in der Liste der untergeordneten Knoten auf den betreffenden Inhalt und anschließend auf OK. Wenn die Änderungen nicht auf untergeordnete Knoten angewendet werden sollen, treffen Sie keine Auswahl, und klicken Sie auf OK.
  • In IIS können Sie Authentifizierungsoptionen auf Website-, Verzeichnis- oder Dateiebene festlegen. Dabei gelten jeweils die im vorliegenden Artikel erläuterten Grundsätze.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Information Services 6.0
Keywords: 
kbhowto kbhowtomaster kbwebservices kbappservices KB324274
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store