Linee guida per la risoluzione di problemi relativi alle autorizzazioni IIS

BizTalk Server usa ampiamente Microsoft Internet Information Services (IIS) per il supporto dei servizi Web e per l'uso con le schede HTTP, SOAP e Windows SharePoint Services.

Per risolvere problemi relativi alle autorizzazioni IIS, è importante comprendere il modo in cui IIS consente di implementare l'isolamento delle applicazioni.

IIS fornisce funzionalità per la creazione di applicazioni IIS come processi host distinti che vengono eseguiti nel proprio spazio di memoria. Dopo aver creato un host applicazione IIS, è necessario definire due set di autorizzazioni, l'identità del processo host dell'applicazione IIS e i diritti di accesso utente dell'host dell'applicazione IIS. Quando si tenta di risolvere problemi relativi alle autorizzazioni IIS, è necessario esaminare ognuno di questi set di autorizzazioni.

Nota

I diritti di identità del processo e di accesso utente vengono definiti anche contesto di sicurezza del processo host dell'applicazione IIS.

In questo argomento viene descritto come impostare i diritti di identità e accesso utente per un processo host dell'applicazione IIS e vengono fornite alcune linee guida generali per la risoluzione dei problemi relativi alle autorizzazioni IIS.

Impostazione dell'identità del processo host di un'applicazione IIS

La configurazione del processo host di un'applicazione IIS può variare a seconda del livello di funzionalità servito dal processo host. Ad esempio, il processo host di un'applicazione IIS che serve solo pagine HTML statiche viene in genere configurato in modo diverso da quello di un'applicazione IIS che serve pagine ASP o applicazioni ASP.NET.

La configurazione di tale processo può inoltre variare a seconda della versione del servizio IIS contenente l'applicazione. L'identità di processo host delle applicazioni in esecuzione in Windows Server 2008 (IIS 7.0) è gestita dall'identità del pool di applicazioni associato all'applicazione.

Impostazione dell'identità di processo IIS per IIS 7.0 in Windows Server 2008 o Windows Vista

1. Fare clic su Start, quindi su Tutti i programmi e su Gestione Internet Information Services (IIS) 7.

2. In Gestione Internet Information Services (IIS) espandere <nome> computer(account utente) e fare clic su Pool di applicazioni.

3. Fare clic con il pulsante destro del mouse su un pool di applicazioni e scegliere Visualizza applicazioni per visualizzare le applicazioni associate al pool di applicazioni.

4. Fare clic con il pulsante destro del mouse su un pool di applicazioni e scegliere Impostazioni avanzate per visualizzare la finestra di dialogo Impostazioni avanzate per il pool di applicazioni.

5. Modificare l'identità per il pool di applicazioni facendo clic sul pulsante con i puntini di sospensione (...) accanto a Identità nella sezione Modello di processo della finestra di dialogo Impostazioni avanzate .

Impostazione dei diritti di accesso degli utenti per il server IIS

Mentre l'identità del processo regola il contesto di sicurezza disponibile per il processo host dell'applicazione IIS in esecuzione, le autorizzazioni di accesso utente regolano il contesto di sicurezza per l'account che esegue l'accesso alle pagine Web servite. Per evitare problemi relativi alle autorizzazioni, queste ultime devono essere impostate in modo appropriato per entrambi i contesti di sicurezza.

IIS 7.0 supporta i metodi di autenticazione utente seguenti:

• Accesso anonimo: Consente agli utenti di stabilire una connessione anonima. Il server IIS concede l'accesso all'utente con l'account Guest specificato.

• ASP.NET rappresentazione Consente l'esecuzione di un'applicazione in uno dei due contesti diversi: come utente autenticato da IIS o come account arbitrario configurato.

• Autenticazione di base: Trasmette le password attraverso la rete in testo non crittografato, un formato non crittografato.

• Autenticazione del digest: Funziona solo con gli account Active Directory, inviando un valore hash sulla rete, anziché con una password in testo non crittografato. L'autenticazione digest viene eseguita su server proxy e altri firewall ed è disponibile nelle directory WebDAV (Web Distributed Authoring and Versioning). Per utilizzare l'Autenticazione digest, è necessario innanzitutto disabilitare l'Autenticazione anonima.

• Autenticazione basata su form Supporta l'autenticazione per siti o applicazioni ad alto traffico nei server pubblici. Questa autenticazione consente di gestire la registrazione e l'autenticazione dei client a livello di applicazione, anziché basarsi sui meccanismi di autenticazione forniti dal sistema operativo.

• autenticazione di Windows: usa l'autenticazione nel dominio di Windows per autenticare le connessioni client.

Per impostare i diritti di accesso utente per una directory virtuale in IIS 7.0

1. In Gestione Internet Information Services (IIS) espandere <nome> computer, siti e sito Web predefinito nel riquadro Connessioni.

2. Fare clic per selezionare la directory virtuale e fare clic sulla visualizzazione Funzionalità nella parte inferiore del riquadro Area di lavoro per elencare le funzionalità configurabili per la directory virtuale.

3. Fare doppio clic sulla funzionalità Autenticazione nel riquadro Area di lavoro per elencare i metodi di autenticazione abilitati per la directory virtuale.

4. Fare clic per selezionare il metodo di autenticazione che si desidera abilitare o disabilitare e fare clic su Disabilita o Abilita nel riquadro Azioni di Gestione IIS.

   Nota

   Se l'opzione Abilita accesso anonimo è abilitata, IIS imposterà i diritti di accesso utente come identità utente anonima configurata prima di impostare i diritti di accesso utente con qualsiasi altro metodo di autenticazione abilitato.

   Per configurare l'identità utente anonima, fare clic con il pulsante destro del mouse sul metodo di autenticazione anonima e scegliere Modifica per visualizzare la finestra di dialogo Modifica credenziali di autenticazione anonima .

Linee guida generali per la risoluzione dei problemi relativi alle autorizzazioni IIS

Per risolvere problemi relativi alle autorizzazioni IIS, eseguire la procedura seguente:

1. Verificare l'eventuale presenza di errori nel registro applicazioni del server IIS.

2. Seguire la procedura descritta in IIS 7.0: Configurazione della traccia per le richieste non riuscite in IIS 7.0 per risolvere i problemi di autorizzazioni nei computer IIS 7.0.

3. Verificare l'eventuale presenza di errori HTTP 401 nei file di registro del server IIS.

   Per impostazione predefinita, nei computer in cui è in esecuzione Windows Server 2008 o Windows Vista i file di registro IIS sono contenuti nella seguente directory:

   C:\inetpub\logs\LogFiles\W3SVC1\

   • Se il file di log IIS per un computer IIS 7.0 contiene errori HTTP 401, seguire la procedura descritta nell'articolo della Microsoft Knowledge Base 943891, "Codici di stato HTTP in IIS 7.0" disponibili in per https://support.microsoft.com/kb/943891 determinare il codice di stato secondario e risolvere il problema delle autorizzazioni in base al codice di stato.

   • Controllare il valore del campo cs-username associato all'errore HTTP 401. In questo campo è contenuto il nome dell'utente autenticato che ha eseguito l'accesso al server IIS. L'account utente anonimo in questo campo è rappresentato da un trattino (-). Verificare che questo account disponga di autorizzazioni sulle risorse appropriate.

4. Verificare che le credenziali dell'identità del processo utilizzate dal processo host dell'applicazione IIS siano impostate correttamente e che l'account disponga delle autorizzazioni appropriate. Se l'account utilizzato per l'identità del processo non dispone di autorizzazioni sufficienti, cambiare account o concedere all'account le autorizzazioni appropriate.

5. Usare le utilità RegMon e FileMon descritte in Strumenti e utilità da usare per la risoluzione dei problemi per diagnosticare i problemi di autorizzazioni di accesso ai file o al Registro di sistema.

Vedere anche

Risoluzione dei problemi BizTalk Server autorizzazioniIIS 7.0: Configurazione dell'autenticazione in IIS 7.0