Verhaltensmatrix für die Fernadministration
Einführung
Dieses Dokument enthält die Matrix von Szenarien für die Fernadministration für IIS-Manager und das Runtimeverhalten für jede. Es hilft, die verschiedenen Verwaltungsszenarien zu verstehen und Probleme zu beheben (401s).
Eine Voraussetzung für die Fernadministration über die IIS-Benutzeroberfläche ist das Starten des Fernadministrationsdiensts (WMSVC) auf dem Servercomputer. Ein guter Artikel für diese Informationen ist die Fernadministration für IIS-Manager.
Allgemeine Faustregeln, die für jedes Element in der Matrix gültig sind:
Redirection.config, applicationHost.config und administration.config werden immer gelesen (auch für Website- und App-Verbindungen).
Redirection.config wird immer mit der Identität gelesen, in der der Dienst WMSVC ausgeführt wird (standardmäßig: NT Service\WMSVC).
Wenn configurationRedirection in Redirection.config aktiviert ist, dann:
- Server Config-Dateien (applicationHost.config, administration.config) werden immer mit dem Benutzernamen und Kennwort gelesen, die in redirection.config angegeben sind
Wenn configurationRedirection deaktiviert ist, dann:
- Server Config-Dateien (applicationHost.config, administration.config) werden immer mit der Identität gelesen, in der WMSVC ausgeführt wird (NT Service\WMSVC standardmäßig)
Die Benutzeroberfläche macht nichts Besonderes, wenn sie versucht, Root web.config, das ASP.NET Gegenstück von applicationHost.config, zu lesen
Verhaltensmatrix für die Fernadministration
| Verbinden Als: | Windows-Administrator | Windows-Benutzer | IIS-Manager-Benutzer |
|---|---|---|---|
| Standardbenutzerfreundlichkeit | Serververbindung: – UI-Identitätswechsel als Windows-Administrator beim Schreiben in die Serverkonfigurationsdateien (applicationHost.config, administration.config und root web.config) | Serververbindung: – n/v* | Serververbindung: – n/v* |
| Websiteverbindung: – UI-Identitätswechsel als Windows-Administrator beim Lesen und Schreiben in das Web.config der Website | Websiteverbindung: – UI-Identitätswechsel als Windows-Nutzer beim Lesen und Schreiben in web.config der Site | Websiteverbindung: – Die Datei web.config der Website wird aus der Identität gelesen und geschrieben, in die WMSVC ausgeführt wird (NT Service\WMSVC) | |
| App-Verbindung: – Identisch mit der Siteverbindung | App-Verbindung: – Identisch mit der Siteverbindung | App-Verbindung: – Identisch mit der Siteverbindung | |
| Website oder App auf UNC | Serververbindung: – UI-Identitätswechsel als Windows-Administrator beim Schreiben in die Serverkonfigurationsdateien (applicationHost.config, administration.config und root web.config) | Serververbindung: – n/v* | Serververbindung: – n/v* |
| Websiteverbindung: – Wenn UNC-Anmeldeinformationen für die UNC-Freigabe angegeben sind, liest die Benutzeroberfläche die Datei "web.config" der Website mithilfe dieser UNC-Anmeldeinformationen und schreibt sie als Windows-Administrator – Wenn UNC-Anmeldeinformationen für die UNC-Freigabe nicht angegeben sind, liest die Benutzeroberfläche aus der Web.config-Datei der Website als Windows-Administrator aus und schreibt sie in die Datei "web.config" der Website | Websiteverbindung: – Wenn UNC-Anmeldeinformationen für die UNC-Freigabe angegeben werden, liest die Benutzeroberfläche die Datei "web.config" der Website mithilfe dieser UNC-Anmeldeinformationen und schreibt sie als Windows-Nutzer – Wenn UNC-Anmeldeinformationen für die UNC-Freigabe nicht angegeben sind, liest die Benutzeroberfläche die Datei "web.config" der Website als Windows-Nutzer aus und schreibt sie in die Datei "web.config" der Website | Websiteverbindung: – Wenn UNC-Anmeldeinformationen für die UNC-Freigabe angegeben werden, liest die Benutzeroberfläche die Datei "web.config" der Website mithilfe dieser UNC-Anmeldeinformationen und schreibt mithilfe der Identität, in der WMSVC ausgeführt wird (NT Service\WMSVC) – Wenn UNC-Anmeldeinformationen für die UNC-Freigabe nicht angegeben sind, liest die Benutzeroberfläche mithilfe der Identität, in der WMSVC ausgeführt wird (NT Service\WMSVC) *siehe unten | |
| App-Verbindung: – Identisch mit der Siteverbindung | App-Verbindung: – Identisch mit der Siteverbindung | App-Verbindung: – Identisch mit der Siteverbindung * siehe Hinweis unten | |
| Die Konfigurationsumleitung ist in Redirection.Config Config-Dateien aktiviert: applicationHost.config administration.config | Serververbindung: Serverdateien werden mithilfe des Benutzernamens und des Kennworts gelesen, der in redirection.config angegeben ist. Die Benutzeroberfläche wird beim Schreiben in die Serverkonfigurationsdateien (applicationHost.config, administration.config und root web.config) als Windows-Administrator imitiert | Serververbindung: – n/v* | Serververbindung: – n/v* |
| Websiteverbindung: – UI-Identitätswechsel als Windows-Administrator beim Lesen und Schreiben in das Web.config der Website | Websiteverbindung: – UI-Identitätswechsel als Windows-Nutzer beim Lesen und Schreiben in web.config der Site | Siteverbindung: – Die Konfiguration der Website wird ausgelesen und in die Identität geschrieben, in die WMSVC ausgeführt wird (NT Service\WMSVC) | |
| App-Verbindung: – Identisch mit der Siteverbindung | App-Verbindung: – Identisch mit der Siteverbindung | App-Verbindung: – Identisch mit der Siteverbindung |
Hinweis
Wenn NT Service\WMSVC nicht über Berechtigungen für die UNC-Freigabe verfügt – was für UNC-Freigaben auf einem anderen Computer der Fall ist – (WMSVC bedeutet nichts außerhalb des Bereichs eines lokalen Computers), aktualisieren Sie die Identität des Webdiensts (services.msc) auf einen Domänennutzer, der Zugriff auf den Server hat, sowie die UNC-Freigabe.
Wichtig
Verwenden Sie keine Netzwerkdienstidentität – es ist ein mögliches Sicherheitsrisiko, da dies die Identität ist, unter der ASP.NET Anwendungen ausgeführt werden. Wenn Sie ACLs für dieses Konto verwenden, öffnen Sie Ihre Inhalte/Konfiguration für alle Nutzer, die über eine ASPX-Seite darauf zugreifen können.