域環境中什麼伺服器不能夠被授權
Ⅰ 在2003server下如何配置dhcp伺服器,有哪些步驟
安裝並啟動DHCP服務以後,您必須創建一個作用域,一個可用來租用給DHCP客戶機的有效IP地址范圍。環境中的每個DHCP伺服器至少都應該有一個,不與環境中其他DHCP伺服器的作用域相重疊的作用域。在Windows 2000中,必須對Active Directory域環境中的DHCP伺服器進行授權,以防惡意DHCP伺服器聯機侵入,並對DHCP伺服器進行授權。 在域控制器上安裝並配置完DHCP服務以後,伺服器通常會在第一次被添加到DHCP控制台時被授權。但是,當您在一個成員伺服器或獨立的伺服器上安裝並配置完DHCP服務以後,您需要授權該DHCP伺服器。 若要授權DHCP伺服器,請按照下列步驟操作: 單擊開始—>單擊程序—>單擊管理工具,然後單擊DHCP。 在DHCP管理單元的控制台樹中,選擇這個新的DHCP伺服器。如果在伺服器對象的右下角有一個紅色箭頭,說明該伺服器尚未被授權。右鍵單擊該伺服器—>單擊授權,過一會,再次右鍵單擊該伺服器,然後單擊刷新,該伺服器將在右下角顯示一個綠色箭頭以表明該伺服器已被授權。 若要新建作用域,請按照下列步驟操作:單擊開始—>單擊程序,指向管理工具,然後單擊DHCP。右鍵單擊該伺服器—>單擊新建作用域。在新建作用域向導中,單擊下一步,然後為該作用域鍵入名稱和說明。這可以是您選擇的任何名稱,但是它應該具有足夠的描述性,以便標識該作用域在網路上的用途。 鍵入這些可作為作用域一部分進行租用的地址范圍,例如起始IP地址為192.168.100.1,結束地址為192.168.100.100。因為這些地址都要提供給客戶機,所以它們對於您的網路來說必須是有效的,並且當前未在使用。如果您想使用不同的子網掩碼,請鍵入新的子網掩碼。單擊下一步。 鍵入要從輸入的范圍中排除的IP地址。這包括已經靜態分配給組織中各計算機的任何地址。單擊下一步。 鍵入從該作用域中租用的IP地址到期前的天數、小時數和分鍾數。這決定了客戶機在不更新的情況下可以保留一個租用的地址多長時間。單擊下一步,選擇是,我想現在配置這些選項,然後繼續使用向導,為最常用的DHCP選項進行設置。單擊下一步。 鍵入從該作用域獲取IP地址的客戶機應使用的默認網關的IP地址,單擊添加將默認網關地址放入列表中,然後單擊下一步。 注意:如果網路中已經存在DNS伺服器,請在父域中鍵入您的組織的域名。鍵入您的DNS伺服器名稱,然後單擊解析,確保DHCP伺服器可以與DNS伺服器聯系,並確定它的地址。然後單擊添加,將該伺服器,包括在分配給DHCP客戶機的DNS伺服器列表中。單擊下一步。單擊是,我想現在激活此作用域,激活該作用域,使得客戶機可以從中獲得租用地址,然後單擊下一步。單擊完成。 三、可能遇到的問題 1、客戶機無法獲得IP地址 如果DHCP客戶機沒有已配置的IP地址,通常表明該客戶機未能與DHCP伺服器取得聯系。這可能是因為網路問題,也可能是因為DHCP伺服器不可用。如果DHCP伺服器已經啟動,其他客戶機已經能夠獲得有效地址,請驗證該客戶機的網路連接是否有效,所有相關的客戶機硬體設備(包括電纜和網路適配器)是否運行正常。 2、DHCP伺服器不可用 如果DHCP伺服器不能向客戶機提供租用地址,通常是因為DHCP服務未能啟動。如果是這種情況,該伺服器可能還未被授權在該網路運行。如果您以前能夠啟動DHCP服務,但是現在一直停止,請使用事件查看器檢查系統日誌中可能找出其原因的所有條目。 注意:若要啟動DHCP服務,單擊啟動—>單擊運行,鍵入cmd,然後按ENTER鍵。鍵入net start dhcpserver,然後按ENTER鍵。
Ⅱ AD域的安裝和配置教程
單擊開始,單擊設置,然後單擊控制面板。
雙擊添加/刪除程序,然後單擊添加/刪除 Windows 組件。
在 Windows 組件向導的組件框中,單擊網路服務,然後單擊詳細信息。
如果沒有選中,請單擊以選中動態主機配置協議 (DHCP) 復選框,然後單擊確定。
在 Windows 組件向導中,單擊下一步以啟動 Windows 2000 安裝程序。得到提示時,將 Windows 2000 Advanced Server 光碟插入光碟機。安裝程序就會將 DHCP 伺服器和工具文件復制到您的計算機中。
安裝完成後,單擊完成。 安裝並啟動 DHCP 服務以後,您必須創建一個作用域(一個可用來租用給 DHCP 客戶機的有效 IP 地址范圍)。環境中的每個 DHCP 伺服器至少都應該有一個不與環境中其他 DHCP 伺服器的作用域相重疊的作用域。在 Windows 2000 中,必須對 Active Directory 域環境中的 DHCP 伺服器進行授權,以防惡意 DHCP 伺服器聯機侵入並對 DHCP 伺服器進行授權。
在域控制器上安裝並配置完 DHCP 服務以後,伺服器通常會在第一次被添加到 DHCP 控制台時被授權。但是,當您在一個成員伺服器或獨立的伺服器上安裝並配置完 DHCP 服務以後,您需要授權該 DHCP 伺服器。
若要授權 DHCP 伺服器,請按照下列步驟操作:
單擊開始,單擊程序,單擊管理工具,然後單擊 DHCP。
Ⅲ 在域環境中兩台伺服器的問題
許可權授權
你要授權A和B可以互訪,也就是說,你要在A上面授權給B能夠訪問A,在B上面授權給A能夠訪問B
或者你只在B上面授權給A能夠訪問B就可以了
具體情況看你自身的問題再做授權
如果不同域的景況下就要做交叉域授權了
希望對你有幫助
Ⅳ 分析DHCP在什麼情況下需要授權,未授權的伺服器會是什麼一種狀況為什麼
DHCP授權是一種安全的預防措施,
這樣就可以確保只有經過授權的DHCP伺服器才能在網路中運行,
未授權的DHCP伺服器不能在網路中運行....
Ⅳ DHCP伺服器提示「DHCP 服務沒看到授權目錄伺服器」錯誤,該怎麼解決,謝謝
windows平台上搭建的DHCP伺服器如果在域環境中的話需要進行授權激活操作才能為客戶端正常提供服務,請你檢查一下是否有設定此項。
Ⅵ 授權給DHCP伺服器
body{
line-height:200%;font-size:14px;
}
授權給DHCP伺服器
1.DHCP授權的原理
由於可以在任何一台安裝Windows
Server
2003的計算機上安裝DHCP服務,這樣如果一些用戶隨意安裝了DHCP服務並且所提供的IP地址是隨意設置的,那麼DHCP客戶端可能從這些非法的DHCP伺服器租約了不正確的IP地址而無法正常訪問網路資源。
為了保證網路的安全,在Windows
Server
2003
域環境中,所有DHCP伺服器安裝完成後,不能立刻向DHCP客戶端提供服務,還必須經過“授權”,沒有被授權的DHCP器將不能為客戶端提供服務。只有是域成員的DHCP伺服器才能被授權,不是域成員的DHCP伺服器(獨立伺服器)是不能被授權的。
一般來說,只有域中Enterprise
Admains組成員用戶才能執行DHCP授權工作,其他用戶沒有授權的許可權。授權以後,被授權的DHCP伺服器的IP地址就被記錄在域控制器內Active
Diretory數
據庫中。此後,每次DHCP伺服器啟動時,就會在Active
Directory中查詢已授權的DHCP伺服器的IP地址,如果獲得的列表中沒有包含自己的IP地址,則此DHCP伺服器停止工作,直到管理員對其進行授權為止。
2.執行DHCP授權
DHCP授權的操作非常簡單,可以通過以下方式對DHCP伺服器進行授權。
①依次單擊【開始】→【程序】→【管理工具】→DHCP命令,打開DHCP控制台,右擊要授權的DHCP伺服器圖標,從彈出的快捷菜單中選擇【授權】命令,如圖4-9所示。
②DHCP伺服器被授權以後,伺服器圖標中紅色朝下的箭頭變為綠色的箭頭(若沒有變化,按F5鍵刷新窗口),同時窗口右側的【狀態】一欄由“**活動**”變為“運行中”,如圖4-10所示。
③若要解除授權,右擊DHCP伺服器圖標,從彈出的快捷菜單中選擇【解除授權】命令。
④用戶還可以在控制台目錄樹中,右擊DHCP根節點,從彈出的快捷菜單中選擇【管理授權的伺服器】命令,如圖4-11所示。
⑤在【管理授權的伺服器】對話框中,用戶可以解除對已授權的DHCP伺服器的授權,同時也可以為新的DHCP伺服器進行授權,如圖4-12所示,單擊【授權】按鈕後,系統將打開【授權DHCP 伺服器】對話框。
⑥在【授權DHCP伺服器】對話框中,用戶需要在【名稱或IP地址】文本框中輸入剛剛添加的DHCP伺服器的名稱或IP地址,也可以輸入本機的計算機名稱,單擊【確定】按鈕,如圖4-13所示。
⑦在【確認授權】對話框中,系統將顯示出用戶指定的主機的名稱及該主機的IP地址信息,以便用戶確認將要授權的DHCP伺服器的正確性,如圖4-14所示。單擊【確定】按鈕系統將返回到【管理授權的伺服器】對話框,授權的DHCP伺服器已經被加入到了【授權的DHCP伺服器】列表框中,單擊【關閉】按鈕關閉對話框。
Ⅶ 域環境中,文件伺服器部分文件夾僅創建者有許可權,本地及域管理員無許可權訪問,求批處理或其他 解決方式
用了桌面漫遊的話,用戶的桌面會同步到文件伺服器上的
這個產生的文件,許可權是CREATER的許可權,就是只有創建者可以打開,所以會出現你說的現象.
如果你想看這個文件的話,你可以直接用域帳號進去,不需要用域管理員.
或者你把文件伺服器上的共享文件夾的許可權做修改
Ⅷ 域控制器上安裝DHCP伺服器的錯誤提示求助
了解dhcp服務
DHCP(動態主機配置協議)是由IETF設計開發的,專門用於為TCP/IP網路中的計算機自動分配TCP/IP參數的協議,DHCP服務避免了因手工設置IP地址所產生的錯誤,同時也避免了把一個IP地址分配給多台工作站所造成的地址沖突,dhcp提供了安全,可靠且簡單的tcp/ip網路設置,降低了配置ip地址的負擔,dhcp的網路結構如圖所示。
1.1使用DHCP的好處
Internet是目前世界上用戶最多的服務之一,有超過幾億人在使用internet,我國ADSL用戶的數量已經超過5000萬,由於上網時間的不確定性以及使用人員的技術水平,為每位用戶分一個固定的ip地址,不僅造成ip地址浪費,也會為ISP服務商帶來高額的維護成本,而使用DHCP服務則有一下好處。
減少管理員的工作量。
避免輸入錯誤的可能。
避免ip沖突。
當網路更改ip地址段時,不需要再重新配置每個用戶的ip地址。
提高了ip地址的利用率。
方便客戶端的配置。
DHCP的工作原理
2.1.DHCP的分配方式
在DHCP的工作原理中,dhcp伺服器提供了三種ip分配方式:自動分配,手動分配和動態分配。
自動分配是當dhcp客戶機第一次成功的從dhcp伺服器獲取到一個ip地址後,就永久地使用這個ip地址。
手動分配是有dhcp伺服器管理員專門指定ip地址。
動態分配是當dhcp客戶機第一次從dhcp伺服器獲取到ip地址後,並非永久地使用該地址,每次使用完後,dhcp客戶機就需要釋放這個ip地址,供其他客戶機使用。
2.2. DHCP的租約過程
客戶機從dhcp伺服器獲得ip地址的過程稱為dhcp的租約過程,租約過程分為四個步驟,分別為:客戶機請求ip(客戶機發dhcp Discover廣播包),伺服器響應(伺服器發dhcp Offer廣播包),客戶機選擇ip(客戶機發dhcp Request廣播包),伺服器確定租約(伺服器發dhcp ACK廣播包)。如圖所示介紹了dhcp的租約過程。
2.2.1 客戶機請求IP
當一個DHCP客戶機啟動時,客戶機還沒有ip地址,所以客戶機要通過dhcp獲取一個合法的地址,此時dhcp客戶機以廣播方式(因為dhcp伺服器的ip地址對客戶機來說是未知的)發送dhcp Discover發現信息來尋找dhcp伺服器,廣播信息中包含dhcp客戶機的MAC地址和計算機名,以便dhcp伺服器確定是哪個客戶機發送的請求,客戶機請求ip過程如圖
2.2.2 伺服器響應
當dhcp伺服器接收到來自客戶機請求ip地址的信息時,它就在自己的ip地址池中查找是否有合法的ip地址提供給客戶機,如果有,dhcp伺服器就將此ip地址做上標記,加入到dhcp Offer的信息中,然後dhcp伺服器就廣播一則包含下列信息的dhcp Offer消息。
DHCP客戶機的MAC地址
DHCP伺服器提供的合法IP地址
子網掩碼
默認網關
租約的期限
DHCP伺服器的IP地址
2.2.3 客戶機選擇ip
Dhcp客戶機從接受到的第一個dhcp offer消息中提取ip地址,發出ip地址的dhcp伺服器將該地址保留,這樣該地址就不能提供給另一個dhcp客戶機,當客戶機從第一個dhcp伺服器接收dhcp offer消息並提取ip地址後,客戶機將dhcp Request消息廣播到所有的dhcp伺服器,表明它接受提供的內容,dhcp Request消息包括客戶機提供ip配置的伺服器標示符(伺服器ip地址),dhcp伺服器查看伺服器標示符欄位,以確認提供的ip地址是否被接受,如果dhcp offer被拒絕,則dhcp伺服器將會取消並保留其ip地址以提供給下一個ip租約的請求。如圖所示
2.2.4 伺服器確定租約
Dhcp伺服器接收到dhcp Request消息後,以dhcp ACK消息的形式向客戶機廣播成功確認,該消息包含有ip地址的有效租約和其他可配置的信息,雖然伺服器確認了客戶機的租約請求,但是客戶機還沒有接收到伺服器的dhcp ACK消息,當客戶機收到dhcp ACK消息時,它就配置了ip地址,完成tcp/ip的初始化。如圖所示。
2.2.5 重新登陸
Dhcp客戶機每次重新登陸網路時,不需要再發送dhcp Discover信息,而是直接發送包含前一次分配的ip地址的dhcp Request請求消息,當dhcp伺服器接收到這一信息後,它會嘗試讓dhcp客戶機繼續使用原來的ip地址,並回答一個dhcp ACK確認信息,如果此ip地址已無法再分配給原來的dhcp客戶機使用時(比如ip地址已經分配給其他的dhcp客戶機使用),dhcp伺服器給dhcp客戶機回答一個dhcp Nack否認信息。當原來的dhcp 客戶機收到此dhcp Nack否認消息後,它就必須重新發送dhcp Dsicover發信信息來請求新的ip地址,如圖所示。
2.2.6 更新租約
當dhcp伺服器向客戶機出租的ip地址租期達到50%時,就需要重新更新租約,客戶機直接向提供租約的伺服器發送dhco Request包,要求更新現有的地址租約。
注意:如果DHCP客戶機無法找到dhcp伺服器,它將從tacp/ip的B類網段169.254.0.0中挑選一個ip地址作為自己的ip地址,繼續每隔5分鍾嘗試與dhcp伺服器進行通信,一旦與dhcp伺服器通信,客戶機將放棄自動配置的ip地址,使用dhcp伺服器分配的ip地址。
配置DHCP伺服器
案例:某公司原來的區域網規模很小,均由管理員通過手工的方式配置ip地址,隨著公司計算機的曾多,管理員經常需要手工為員工修改ip地址的配置,工作量較大,而且常發生ip沖突,管理ip地址非常麻煩,如何改變這種狀況呢?我們可以通過配置dhcp服務來解決中國問題。
3.1 DHCP的安裝要求
Dhcp可以安裝在windows操作系統的所有伺服器版本上,本章主要介紹在windows server 2008操作系統上安裝和配置dhcp服務。
安裝DHCP伺服器需要滿足如下要求:
伺服器用具有靜態的ip地址。
在域環境下需要使用活動目錄伺服器授權dhcp服務。
建立作用域並激活(作用域實際上就是一段ip地址的范圍)。
注意:授權是一種安全措施,可防止未經授權的dhcp伺服器在網路中分配ip地址,已授權的伺服器會每隔60分鍾(默認值)重復一次檢查過程,未經授權的伺服器會每隔10分鍾(默認值)重復一次檢查過程
在安裝DHCP服務之前,需要規劃以下信息。
確定DHCP伺服器應分給客戶機的ip地址范圍。
為客戶機確定正確的子網掩碼
確定dhcp伺服器不應向客戶機分發的所有ip地址,應保留一些固定ip地址給列印機伺服器等使用。
決定ip地址的租期期限,默認值為8天,通常,租用期限應等於該子網上客戶端的平均活動時間,例如,如果客戶端是很少關閉的桌面計算機,理想的期限可以比8天長,如果客戶端是經常離開網路或在子網之間移動的移動設備,該期限可以少於8天。
3.2 安裝DHCP服務
使用windows server 2008在工作組環境下搭建DHCP服務步驟如下。
打開"程序和功能"
在"控制面板"中打開"管理工具",單擊"伺服器管理器"。如圖所示
(2)添加角色
在"伺服器管理器"窗口中選擇"角色"選項,然後單擊"添加角色"如圖所示。
(3)添加"DHCP伺服器"角色
在"添加角色向導"窗口中選擇"伺服器角色"選項,然後選擇"dhcp伺服器",單擊"下一步"按鈕,如圖所示。
(4)Dhcp伺服器介紹
在"dhcp伺服器"窗口中直接單擊"下一步"按鈕,如圖所示
(5)選擇"網路連接綁定"
在"選擇網路連接綁定"界面中選擇用於向客戶機提供dhcp服務的網路連接,單擊"下一步"按鈕,如圖所示。
(6)指定"ipv4 DNS設置"
在"指定ipv4 DNS伺服器設置"界面中,不添加父域和DNS伺服器地址,直接單擊"下一步"按鈕,如圖所示。
(7)指定"ipv4 WINS設置"
在"指定ipv4 WINS伺服器設置"界面中,如果網路中沒有WINS伺服器,可以選擇"此網路上的應用程序不需要WINS",然後單擊"下一步"按鈕,如圖所示。
(8)添加"dhcp作用域"
在"添加或編輯dhcp作用域"窗口中單擊"添加"按鈕,在彈出的"添加作用域"界面中,指定分配給客戶機的ip地址范圍,輸入作用域名稱,起始ip地址,結束ip地址,子網掩碼,默認網關,選擇號子網類型,並選擇"激活作用域",如圖所示。
(9)dhcp作用域
添加或編輯作用域完成後,在"添加或編輯dhcp作用域"界面中,可以查看錄入的作用域信息。如圖所示。
(10)配置dhcpv6無狀態模式。
在"配置dhcpv6無狀態模式"界面中,選擇"對此伺服器禁用dhcpv6無狀態模式"如圖所示。
(11)確認安裝選項
在"確認安裝選擇"窗口中,可以查看dhcp伺服器的配置信息,確定無誤後單擊"安裝"按鈕,如圖所示。
(12)安裝結果
完成安裝後會在"安裝結果"窗口顯示安裝是否成功以及相關的提示信息,如圖所示,單擊"關閉"按鈕,完成整個安裝配置過程。
3.3 授權DHCP服務
授權是一種安全預防措施,它可以確保只有經過授權的DHCP伺服器才能在網路中分配ip地址。
在域環境下搭建dhcp伺服器時,可以直接在安裝過程中為dhco伺服器授權,如圖所示,在"授權dhcp伺服器"界面中,選擇"使用當前憑據"或"使用備用憑據",可以在安裝時直接為dhcp伺服器授權。
如果在"授權dhcp伺服器"界面中"跳過AD DS中此dhcp伺服器的授權",則可以在安裝完成後使用DHCP控制台為該伺服器授權,授權方法是打開dhcp控制台,右擊伺服器名稱,在彈出的快捷菜單中選擇"授權",如圖所示,在彈出的窗口中輸入要授權的伺服器地址,需要注意的是為dhcp伺服器授權需要有企業管理員許可權。
3.3 管理作用域
Dhcp作用域實際上就是一段ip地址范圍,作用域具有下列屬性。
Ip地址的范圍,可在其中包含或排除用於提供dhcp伺服器租用地址。
子網掩碼,用來確定給定ip地址的子網。
作用域名稱,在創建作用域時指定該名稱。
租用期限值,這些值限制了自動獲取的ip地址使用的有效許可權。
為特定伺服器保留配置的ip地址,例如DNS伺服器,路由器ip地址和WINS伺服器地址。
保留,可以用於確保dhcp客戶機始終獲取相同的ip地址。
在windows server 2008上安裝dhcp服務時,默認情況下會創建一個作用域,在安裝完成的dhcp控制台中可以創建多個dhcp作用域。
3.3.1 新建作用域
創建一個作用域的步驟如下。
新建作用域
打開"dhcp控制台",展開左側的節點樹,右擊"ipv4",在彈出的快捷菜單中,選擇"新建作用域",如圖所示。
輸入作用域名稱
在向導頁面中單擊"下一步"按鈕,在"作用域名稱"界面中,輸入"名稱"。單擊"下一步",如圖所示。
輸入ip地址范圍
在"ip地址范圍"界面中輸入"起始ip地址"和"結束ip地址",單擊"下一步"按鈕,如圖所示。
添加排除
在"添加排除"窗口,輸入需要排除分配的ip地址范圍,如圖所示。
指定租用期限
在"租用期限"窗口中輸入dhcp分配的ip地址的租用期限,默認為8天,單擊"下一步"按鈕,如圖所示。
配置DHCP選項
在"配置dhcp選項"窗口,選擇"否,我想稍後配置這些選項",單擊"下一步"按鈕,如圖所示。
完成新建作用域
在"完成新建作用域向導"窗口,單擊"完成"按鈕,完成作用域的創建。
激活作用域
新建作用域在dhcp控制台中此時顯示為不可用,需要激活作用域,才能提供ip地址分配功能,右擊作用域,在彈出的快捷菜單中,選擇"激活"選項,可以激活作用域,如圖所示。
3.3.2 配置客戶端保留
Dhcp作用域中的保留可以選擇保留某些ip地址,用於給網路中指定計算機或設備永久租用分配,只有對網路上啟用了dhcp且必須為特定目的而保留的設備(例如:列印伺服器),才應創建保留,創建一個作用域保留的具體步驟如下。
查看目標MAC地址
打開列印伺服器的"網路連接詳細信息",查看並記錄該伺服器的MAC地址,如圖所示
新建保留
在管理工具中單擊"dhcp",展開dhcp管理控制台左邊窗口中的節點樹,選擇"ipv4",展開ipv4節點,右擊"保留",在彈出的快捷菜單中,選擇"新建保留",如圖所示。
輸入保留信息
在"新建保留"界面中輸入為客戶機保留的ip地址和客戶機的MAC地址,單擊"添加"按鈕,如圖所示。
驗證目標機獲取的ip地址
打開列印伺服器的"網路連接詳細信息",查看該機獲取的ip地址,如圖所示。(列印伺服器必須是自動獲取ip模式)
3.3.3 配置伺服器選項
通過作用域選項的配置可知,當有多個作用域時,需要在各個作用域下分別配置作用域選項,如果有些作用域的選項一樣,如公司網路中不同網段所配置的DNS伺服器地址相同,那麼就可以直接在伺服器選項中配置,而不需要為每個作用域單獨配置作用域選項。
伺服器選項中配置DNS伺服器地址步驟如下:
在dhcp控制台的左側窗口展開節點樹,右擊ipv4的"伺服器選項",但彈出的快捷菜單中選擇"配置選項"。
在"伺服器選項"中,選擇"006DNS伺服器",輸入DNS伺服器的ip地址,單擊"添加"按鈕,然後單擊"確定"按鈕,完成配置,如圖所示。
通過配置伺服器選項,作用域選項和保留選項可知,各選項的功能都是配置客戶機的tcp/ip參數的可選項,但是各選項的應用范圍和優先順序不一樣。
伺服器選項對該伺服器上所有的作用域生效。
作用域選項只在該作用域中生效。
保留選項對保留的客戶機生效。
優先順序分別是:保留選項——作用域選項——伺服器選項。
Ⅸ DHCP為什麼配置好了,不能給伺服器授權系統總是提示不能授權
DHCP的授權是要在域環境下才可以的!
你應該不是域環境,所以不能授權!
你補充的問題回答如下:
1:先要確定你的AD是否已經建好!(最好把DC和DNS安在同一台伺服器上)
2:把客戶機的DNS地址指向DC
Ⅹ Windows server2008,IIS設置為windows身份驗證,在域環境中使用,401錯誤
這些問題有些在過去的IIS5裡面就遇到過,有些是新出來的,俺忙活了一下午,做了很多次試驗,結合以前的排錯經驗,做出了這個總結,希望能給大家幫上忙:)
問題1:未啟用父路徑
症狀舉例:
Server.MapPath() 錯誤 'ASP 0175 : 80004005'
不允許的 Path 字元
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
在 MapPath 的 Path 參數中不允許字元 '..'。
原因分析:
許多Web頁面里要用到諸如../格式的語句(即回到上一層的頁面,也就是父路徑),而IIS6.0出於安全考慮,這一選項默認是關閉的。
解決方法:
在IIS中 屬性->主目錄->配置->選項中。把」啟用父路徑「前面打上勾。確認刷新。
問題2:ASP的Web擴展配置不當(同樣適用於ASP.NET、CGI)
症狀舉例:
HTTP 錯誤 404 - 文件或目錄未找到。
原因分析:
在IIS6.0中新增了web程序擴展這一選項,你可以在其中對ASP、ASP.NET、CGI、IDC等程序進行允許或禁止,默認情況下ASP等程序是禁止的。
解決方法:
在IIS中的Web服務擴展中選中Active Server Pages,點擊「允許」。
問題3:身份認證配置不當
症狀舉例:
HTTP 錯誤 401.2 - 未經授權:訪問由於伺服器配置被拒絕。
原因分析:IIS 支持以下幾種 Web 身份驗證方法:
匿名身份驗證
IIS 創建 IUSR_計算機名稱 帳戶(其中 計算機名稱 是正在運行 IIS 的伺服器的名稱),用來在匿名用戶請求 Web 內容時對他們進行身份驗證。此帳戶授予用戶本地登錄許可權。你可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。
基本身份驗證
使用基本身份驗證可限制對 NTFS 格式 Web 伺服器上的文件的訪問。使用基本身份驗證,用戶必須輸入憑據,而且訪問是基於用戶 ID 的。用戶 ID 和密碼都以明文形式在網路間進行發送。
Windows 集成身份驗證
Windows 集成身份驗證比基本身份驗證安全,而且在用戶具有 Windows 域帳戶的內部網環境中能很好地發揮作用。在集成的 Windows 身份驗證中,瀏覽器嘗試使用當前用戶在域登錄過程中使用的憑據,如果嘗試失敗,就會提示該用戶輸入用戶名和密碼。如果你使用集成的 Windows 身份驗證,則用戶的密碼將不傳送到伺服器。如果該用戶作為域用戶登錄到本地計算機,則他在訪問此域中的網路計算機時不必再次進行身份驗證。
摘要身份驗證
摘要身份驗證克服了基本身份驗證的許多缺點。在使用摘要身份驗證時,密碼不是以明文形式發送的。另外,你可以通過代理伺服器使用摘要身份驗證。摘要身份驗證使用一種挑戰/響應機制(集成 Windows 身份驗證使用的機制),其中的密碼是以加密形式發送的。
.NET Passport 身份驗證
Microsoft .NET Passport 是一項用戶身份驗證服務,它允許單一簽入安全性,可使用戶在訪問啟用了 .NET Passport 的 Web 站點和服務時更加安全。啟用了 .NET Passport 的站點會依日 .NET Passport 中央伺服器來對用戶進行身份驗證。但是,該中心伺服器不會授權或拒絕特定用戶訪問各個啟用了 .NET Passport 的站點。
解決方法:
根據需要配置不同的身份認證(一般為匿名身份認證,這是大多數站點使用的認證方法)。認證選項在IIS的屬性->安全性->身份驗證和訪問控制下配置。
問題4:IP限制配置不當
症狀舉例:
HTTP 錯誤 403.6 - 禁止訪問:客戶端的 IP 地址被拒絕。
原因分析:
IIS提供了IP限制的機制,你可以通過配置來限制某些IP不能訪問站點,或者限制僅僅只有某些IP可以訪問站點,而如果客戶端在被你阻止的IP范圍內,或者不在你允許的范圍內,則會出現錯誤提示。
解決方法:
進入IIS的屬性->安全性->IP地址和域名限制。如果要限制某些IP地址的訪問,需要選擇授權訪問,點添加選擇不允許的IP地址。反之則可以只允許某些IP地址的訪問。
問題5:IUSR賬號被禁用
症狀舉例:
HTTP 錯誤 401.1 - 未經授權:訪問由於憑據無效被拒絕。
原因分析:
由於用戶匿名訪問使用的賬號是IUSR_機器名,因此如果此賬號被禁用,將造成用戶無法訪問。
解決辦法:
控制面板->管理工具->計算機管理->本地用戶和組,將IUSR_機器名賬號啟用。
問題6:NTFS許可權設置不當
症狀舉例:
HTTP 錯誤 401.3 - 未經授權:訪問由於 ACL 對所請求資源的設置被拒絕。
原因分析:
Web客戶端的用戶隸屬於user組,因此,如果該文件的NTFS許可權不足(例如沒有讀許可權),則會導致頁面無法訪問。
解決辦法:
進入該文件夾的安全選項卡,配置user的許可權,至少要給讀許可權。關於NTFS許可權設置這里不再饋述。
問題7:IWAM賬號不同步
症狀舉例:
HTTP 500 - 內部伺服器錯誤
原因分析:
IWAM賬號是安裝IIS時系統自動建立的一個內置賬號。IWAM賬號建立後被Active Directory、IIS metabase資料庫和COM+應用程序三方共同使用,賬號密碼被三方分別保存,並由操作系統負責這三方保存的IWAM密碼的同步工作。系統對IWAM賬號的密碼同步工作有時會失效,導致IWAM賬號所用密碼不統一。
解決辦法:
如果存在AD,選擇開始->程序->管理工具->Active Directory用戶和計算機。為IWAM賬號設置密碼。
運行c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass +密碼 同步IIS metabase資料庫密碼
運行cscript c:\inetpub\adminscripts\synciwam.vbs -v 同步IWAM賬號在COM+應用程序中的密碼
問題8:MIME設置問題導致某些類型文件無法下載(以ISO為例)
症狀舉例:
HTTP 錯誤 404 - 文件或目錄未找到。
原因分析:
IIS6.0取消了對某些MIME類型的支持,例如ISO,致使客戶端下載出錯。
解決方法:
在IIS中 屬性->HTTP頭->MIME類型->新建。在隨後的對話框中,擴展名填入.ISO,MIME類型是application。
另外,防火牆阻止,ODBC配置錯誤,Web伺服器性能限制,線程限制等因素也是造成IIS伺服器無法訪問的可能原因,IIS進程當掉等,這里就不再一一饋述了。希望此帖能解決大家的大部分問題:)