Exemplarische Vorgehensweise: Erstellen einer Sicherheitszone, Teil 2
Aktualisiert: November 2007
Diese exemplarische Vorgehensweise baut Exemplarische Vorgehensweise: Erstellen einer Sicherheitszone, Teil 1 auf. In dieser exemplarischen Vorgehensweise wird gezeigt, wie Sie die folgenden Aufgaben ausführen:
Legen Sie Richtlinien für Anwendungen fest, die auf dem HardenedIIS-Webserver gehostet werden.
Importieren Sie Einstellungen aus einem vorhandenen, konfigurierten IIS-Server auf HardenedIIS.
Werten Sie die Bereitstellung eines Webdiensts auf HardenedIIS aus.
So legen Sie Richtlinien für auf einem Webserver gehostete Anwendungen fest
Klicken Sie auf den HardenedIIS-Webserver, um den Einstellungs- und Einschränkungs-Editor anzuzeigen.
Aktivieren Sie unter Anwendungseinschränkungen das Kontrollkästchen ASP.NET-Sicherheit.
Wählen Sie die Überschrift ASP.NET-Sicherheit neben dem Kontrollkästchen aus.
Im rechten Bereich des Einstellungs- und Einschränkungs-Editors wird das Einschränkungsdialogfeld ASP.NET-Sicherheit angezeigt.
Wählen Sie unter Zulässige Sicherheitsmodi die Option Forms aus.
Stellen Sie sicher, dass nur dieser Wert ausgewählt ist.
Wählen Sie Identitätswechsel erforderlich aus.
Hinweis: Je nach der Größe des Einstellungs- und Einschränkungs-Editors müssen Sie eventuell die Bildlaufleisten im rechten Bereich des Editors verwenden, um diese Option anzuzeigen.
Aktivieren Sie im linken Bereich des Einstellungs- und Einschränkungs-Editors das Kontrollkästchen ASP.NET-Sitzungszustand.
Wählen Sie die Überschrift ASP.NET-Sitzungszustand neben dem Kontrollkästchen aus.
Stellen Sie sicher, dass im rechten Bereich des Editors unter Sitzungszustandsmodus als einziger Wert SQLServer ausgewählt ist.
Diese beiden Einschränkungen erfordern, dass jede auf diesem Server gehostete Webanwendung Formularauthentifizierung mit Identitätswechsel verwendet und Sitzungsinformationen mithilfe des SQL-Sitzungszustands speichert. Diese zwei Einschränkungsdialogfelder sind Beispiele für vordefinierte Einschränkungen. Die Einschränkungen, die Sie zuvor für Skriptzuordnungen und sichere Bindungen erstellt haben, sind Beispiele für benutzerdefinierte Einschränkungen. Weitere Informationen über die verfügbaren Typen von Einschränkungen und ihre Erstellung finden Sie unter Einschränken von Anwendungsbeziehungen und Anwendungshostbeziehungen und Konfigurationsaufgaben für allgemeine Anwendungen, das System und logische Server.
Im nächsten Schritt werden Einstellungen von einem vorhandenen IIS-Webserver auf HardenedIIS importiert. Dieser Schritt ist optional. Wenn Sie über keinen IIS-Webserver verfügen, fahren Sie mit dem nächsten Vorgang fort.
So importieren Sie Einstellungen von einem vorhandenen IIS-Webserver
Klicken Sie mit der rechten Maustaste auf HardenedIIS, und wählen Sie Einstellungen importieren aus.
Der Assistent zum Importieren von IIS-Einstellungen wird angezeigt. Importieren Sie mit dem in Gewusst wie: Importieren von Einstellungen von einem IIS-Server angegebenen Verfahren Einstellungen von dem gewünschten Webserver. Wenn der Import der Einstellungen fehlschlägt, wird eine Fehlermeldung angezeigt, in der die Ursache angegeben wird. Weitere Informationen finden Sie unter Problembehandlung beim Importieren von IIS- und ASP.NET-Einstellungen.
Mit dem Assistenten zum Importieren von IIS-Einstellungen können Sie globale Einstellungen, alle Websites oder Anwendungspools importieren, wenn der Import aus Windows Server 2003 erfolgt. Anwendungspools werden unter Windows XP und in älteren Versionen als IIS 6.0 nicht unterstützt.
Nachdem Sie die Einstellungen importiert haben, zeigen Sie sie im Einstellungs- und Einschränkungs-Editor an, indem Sie HardenedIIS auswählen und anschließend zum Knoten Einstellungen für den logischen Server navigieren. Um Einstellungen leichter zu finden, verwenden Sie das Feature Suchen. Weitere Informationen finden Sie unter Gewusst wie: Suchen nach Einstellungen.
Im nächsten Schritt wird ein Webdienst erstellt und seine Bereitstellung in dieser Zone evaluiert.
So erstellen Sie einen Webdienst
Klicken Sie im Projektmappen-Explorer mit der rechten Maustaste auf den Projektmappenknoten, klicken Sie auf Hinzufügen und anschließend auf Neues verteiltes Systemdiagramm.
Das Dialogfeld Neue Elemente/Projektmappenelemente hinzufügen wird angezeigt.
Klicken Sie unter Vorlagen auf Anwendungsdiagramm und anschließend auf Hinzufügen.
Das neue Anwendungsdiagramm wird im Anwendungs-Designer geöffnet.
Ziehen Sie einen ASP.NETWebService aus der Toolbox in das Diagramm, und nennen Sie ihn MyWebService.
Hinweis: Beim Erstellen des Anwendungsdiagramms wird das Fenster Webdienstdetails angezeigt. Weitere Informationen über die Verwendung dieses Fensters zum Anzeigen und Erstellen von Webdienstoperationen finden Sie unter Definieren von Operationen für ASP.NET-Webdienste.
Klicken Sie mit der rechten Maustaste auf MyWebService, und wählen Sie Bereitstellung definieren aus.
Das Dialogfeld Bereitstellung definieren wird angezeigt, in dem das vorhandene Diagramm für ein logisches Datencenter ausgewählt ist.
Klicken Sie auf OK.
Das Bereitstellungsdiagramm wird im Bereitstellungs-Designer geöffnet. Das Bereitstellungsdiagramm ist ein Replikat des Diagramms für ein logisches Datencenter, auf das verwiesen wird, und wird zum Evaluieren der Bereitstellung von Anwendungen im Datencenter verwendet.
Ziehen Sie MyWebService aus dem Fenster Systemansicht auf HardenedIIS.
Hiermit wird angegeben, dass MyWebService auf dem HardenedIIS-Webserver im Datencenter bereitgestellt werden soll. Mithilfe des Bereitstellungsdiagramms evaluieren Sie den Erfolg dieser Bereitstellung anhand Ihrer Informationen über den Typ und die Konfiguration der logischen Server und Zonen im Datencenter sowie über den Typ und die Konfiguration der zu hostenden Anwendungen.
Klicken Sie mit der rechten Maustaste auf das Bereitstellungsdiagramm, und wählen Sie Diagramm validieren aus.
Die folgenden Validierungswarnungen werden im Fenster Fehlerliste angezeigt:
"Der Einschränkungsparameter "Zulässige Sicherheitsmodi" erfordert, dass die Einstellung "Modus" auf "Forms" festgelegt ist. Sie ist jedoch auf "Windows" festgelegt."
"Der Einschränkungsparameter "Identitätswechsel erforderlich" erfordert, dass die Einstellung "Identitätswechsel" auf "True" festgelegt ist. Sie ist jedoch auf "False" festgelegt."
"Der Einschränkungsparameter "Sitzungszustandsmodus" erfordert, dass die Einstellung "Modus" auf "SQLServer" festgelegt ist. Sie ist jedoch auf "InProc" festgelegt."
"Für die Einstellung muss mindestens einer der folgenden Werte festgelegt sein: "{IPAddress="", Port="443"}". Der aktuelle Wert ist "<NULL>"."
"Für die Einstellung können folgende Werte nicht festgelegt werden: "{FileExtension=".asmx", ScriptProcessor="%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll"…."
Diese Warnungen treten auf, weil Einstellungsanforderungen, die für auf HardenedIIS oder in der PerimeterNetwork-Zone gehostete Anwendungen angegeben wurden, einen Konflikt mit den tatsächlichen Einstellungen der gehosteten Anwendung MyWebService verursachen. Sie legen diese Anforderungen fest, wenn Sie mit dem Einstellungs- und Einschränkungs-Editor die Einschränkungen in Bezug auf ASP.NET-Sicherheit und ASP.NET-Sitzungszustand für HardenedIIS festlegen.
Im nächsten Schritt werden die in diesen Warnungen angegebenen Probleme behoben.
So beheben Sie in Validierungswarnungen angegebene Probleme
Klicken Sie mit der rechten Maustaste auf die erste Warnung im Fenster Fehlerliste, zeigen Sie auf Gehe zu, und wählen Sie anschließend Moduseinstellung für MyWebService (Anwendungsdiagramm) aus.
Hierdurch wird im Einstellungs- und Einschränkungs-Editor die Modus-Einstellung für MyWebService ausgewählt.
Ändern Sie die Einstellung von "Windows" in "Forms".
Klicken Sie im Projektmappen-Explorer mit der rechten Maustaste auf die Datei DefaultSystem1.dd, und wählen Sie Öffnen aus, um das Bereitstellungsdiagramm anzuzeigen.
Beheben Sie die in der zweiten und dritten Warnung angegebenen Probleme auf die gleiche Weise.
In der vierten Warnung wird angegeben, dass das Datencenter eine Kommunikationseinschränkung aufweist, die erfordert, dass Datenverkehr über Anschluss 443 geleitet wird. Wenn Sie der Verfasser des Diagramms für ein logisches Datencenter sind, kennen Sie den Grund für diese Einschränkung. Wenn Sie ein Benutzer des Diagramms für ein logisches Datencenter sind, bestimmen Sie die Ursache dieser Warnung mit dem gleichen Verfahren, mit dem die in den anderen Warnmeldungen angegebenen Probleme behoben wurden.
Der letzte Fehler wird durch die Skriptzuordnungseinschränkung für ASMX-Dateien verursacht. Diese Einschränkung verhindert das Hosten von Webdiensten in der PerimeterNetwork-Zone, unabhängig davon, ob Webserver in der Zone das Hosten von Webdiensten zulassen.
Überprüfen Sie das Bereitstellungsdiagramm erneut.
Korrigieren Sie ggf. in weiteren Warnungen angegebene Probleme.
Siehe auch
Weitere Ressourcen
Exemplarische Vorgehensweisen zum Entwerfen und Konfigurieren eines logischen Datencenters