域环境中什么服务器不能够被授权
Ⅰ 在2003server下如何配置dhcp服务器,有哪些步骤
安装并启动DHCP服务以后,您必须创建一个作用域,一个可用来租用给DHCP客户机的有效IP地址范围。环境中的每个DHCP服务器至少都应该有一个,不与环境中其他DHCP服务器的作用域相重叠的作用域。在Windows 2000中,必须对Active Directory域环境中的DHCP服务器进行授权,以防恶意DHCP服务器联机侵入,并对DHCP服务器进行授权。 在域控制器上安装并配置完DHCP服务以后,服务器通常会在第一次被添加到DHCP控制台时被授权。但是,当您在一个成员服务器或独立的服务器上安装并配置完DHCP服务以后,您需要授权该DHCP服务器。 若要授权DHCP服务器,请按照下列步骤操作: 单击开始—>单击程序—>单击管理工具,然后单击DHCP。 在DHCP管理单元的控制台树中,选择这个新的DHCP服务器。如果在服务器对象的右下角有一个红色箭头,说明该服务器尚未被授权。右键单击该服务器—>单击授权,过一会,再次右键单击该服务器,然后单击刷新,该服务器将在右下角显示一个绿色箭头以表明该服务器已被授权。 若要新建作用域,请按照下列步骤操作:单击开始—>单击程序,指向管理工具,然后单击DHCP。右键单击该服务器—>单击新建作用域。在新建作用域向导中,单击下一步,然后为该作用域键入名称和说明。这可以是您选择的任何名称,但是它应该具有足够的描述性,以便标识该作用域在网络上的用途。 键入这些可作为作用域一部分进行租用的地址范围,例如起始IP地址为192.168.100.1,结束地址为192.168.100.100。因为这些地址都要提供给客户机,所以它们对于您的网络来说必须是有效的,并且当前未在使用。如果您想使用不同的子网掩码,请键入新的子网掩码。单击下一步。 键入要从输入的范围中排除的IP地址。这包括已经静态分配给组织中各计算机的任何地址。单击下一步。 键入从该作用域中租用的IP地址到期前的天数、小时数和分钟数。这决定了客户机在不更新的情况下可以保留一个租用的地址多长时间。单击下一步,选择是,我想现在配置这些选项,然后继续使用向导,为最常用的DHCP选项进行设置。单击下一步。 键入从该作用域获取IP地址的客户机应使用的默认网关的IP地址,单击添加将默认网关地址放入列表中,然后单击下一步。 注意:如果网络中已经存在DNS服务器,请在父域中键入您的组织的域名。键入您的DNS服务器名称,然后单击解析,确保DHCP服务器可以与DNS服务器联系,并确定它的地址。然后单击添加,将该服务器,包括在分配给DHCP客户机的DNS服务器列表中。单击下一步。单击是,我想现在激活此作用域,激活该作用域,使得客户机可以从中获得租用地址,然后单击下一步。单击完成。 三、可能遇到的问题 1、客户机无法获得IP地址 如果DHCP客户机没有已配置的IP地址,通常表明该客户机未能与DHCP服务器取得联系。这可能是因为网络问题,也可能是因为DHCP服务器不可用。如果DHCP服务器已经启动,其他客户机已经能够获得有效地址,请验证该客户机的网络连接是否有效,所有相关的客户机硬件设备(包括电缆和网络适配器)是否运行正常。 2、DHCP服务器不可用 如果DHCP服务器不能向客户机提供租用地址,通常是因为DHCP服务未能启动。如果是这种情况,该服务器可能还未被授权在该网络运行。如果您以前能够启动DHCP服务,但是现在一直停止,请使用事件查看器检查系统日志中可能找出其原因的所有条目。 注意:若要启动DHCP服务,单击启动—>单击运行,键入cmd,然后按ENTER键。键入net start dhcpserver,然后按ENTER键。
Ⅱ AD域的安装和配置教程
单击开始,单击设置,然后单击控制面板。
双击添加/删除程序,然后单击添加/删除 Windows 组件。
在 Windows 组件向导的组件框中,单击网络服务,然后单击详细信息。
如果没有选中,请单击以选中动态主机配置协议 (DHCP) 复选框,然后单击确定。
在 Windows 组件向导中,单击下一步以启动 Windows 2000 安装程序。得到提示时,将 Windows 2000 Advanced Server 光盘插入光驱。安装程序就会将 DHCP 服务器和工具文件复制到您的计算机中。
安装完成后,单击完成。 安装并启动 DHCP 服务以后,您必须创建一个作用域(一个可用来租用给 DHCP 客户机的有效 IP 地址范围)。环境中的每个 DHCP 服务器至少都应该有一个不与环境中其他 DHCP 服务器的作用域相重叠的作用域。在 Windows 2000 中,必须对 Active Directory 域环境中的 DHCP 服务器进行授权,以防恶意 DHCP 服务器联机侵入并对 DHCP 服务器进行授权。
在域控制器上安装并配置完 DHCP 服务以后,服务器通常会在第一次被添加到 DHCP 控制台时被授权。但是,当您在一个成员服务器或独立的服务器上安装并配置完 DHCP 服务以后,您需要授权该 DHCP 服务器。
若要授权 DHCP 服务器,请按照下列步骤操作:
单击开始,单击程序,单击管理工具,然后单击 DHCP。
Ⅲ 在域环境中两台服务器的问题
权限授权
你要授权A和B可以互访,也就是说,你要在A上面授权给B能够访问A,在B上面授权给A能够访问B
或者你只在B上面授权给A能够访问B就可以了
具体情况看你自身的问题再做授权
如果不同域的景况下就要做交叉域授权了
希望对你有帮助
Ⅳ 分析DHCP在什么情况下需要授权,未授权的服务器会是什么一种状况为什么
DHCP授权是一种安全的预防措施,
这样就可以确保只有经过授权的DHCP服务器才能在网络中运行,
未授权的DHCP服务器不能在网络中运行....
Ⅳ DHCP服务器提示“DHCP 服务没看到授权目录服务器”错误,该怎么解决,谢谢
windows平台上搭建的DHCP服务器如果在域环境中的话需要进行授权激活操作才能为客户端正常提供服务,请你检查一下是否有设定此项。
Ⅵ 授权给DHCP服务器
body{
line-height:200%;font-size:14px;
}
授权给DHCP服务器
1.DHCP授权的原理
由于可以在任何一台安装Windows
Server
2003的计算机上安装DHCP服务,这样如果一些用户随意安装了DHCP服务并且所提供的IP地址是随意设置的,那么DHCP客户端可能从这些非法的DHCP服务器租约了不正确的IP地址而无法正常访问网络资源。
为了保证网络的安全,在Windows
Server
2003
域环境中,所有DHCP服务器安装完成后,不能立刻向DHCP客户端提供服务,还必须经过“授权”,没有被授权的DHCP器将不能为客户端提供服务。只有是域成员的DHCP服务器才能被授权,不是域成员的DHCP服务器(独立服务器)是不能被授权的。
一般来说,只有域中Enterprise
Admains组成员用户才能执行DHCP授权工作,其他用户没有授权的权限。授权以后,被授权的DHCP服务器的IP地址就被记录在域控制器内Active
Diretory数
据库中。此后,每次DHCP服务器启动时,就会在Active
Directory中查询已授权的DHCP服务器的IP地址,如果获得的列表中没有包含自己的IP地址,则此DHCP服务器停止工作,直到管理员对其进行授权为止。
2.执行DHCP授权
DHCP授权的操作非常简单,可以通过以下方式对DHCP服务器进行授权。
①依次单击【开始】→【程序】→【管理工具】→DHCP命令,打开DHCP控制台,右击要授权的DHCP服务器图标,从弹出的快捷菜单中选择【授权】命令,如图4-9所示。
②DHCP服务器被授权以后,服务器图标中红色朝下的箭头变为绿色的箭头(若没有变化,按F5键刷新窗口),同时窗口右侧的【状态】一栏由“**活动**”变为“运行中”,如图4-10所示。
③若要解除授权,右击DHCP服务器图标,从弹出的快捷菜单中选择【解除授权】命令。
④用户还可以在控制台目录树中,右击DHCP根节点,从弹出的快捷菜单中选择【管理授权的服务器】命令,如图4-11所示。
⑤在【管理授权的服务器】对话框中,用户可以解除对已授权的DHCP服务器的授权,同时也可以为新的DHCP服务器进行授权,如图4-12所示,单击【授权】按钮后,系统将打开【授权DHCP 服务器】对话框。
⑥在【授权DHCP服务器】对话框中,用户需要在【名称或IP地址】文本框中输入刚刚添加的DHCP服务器的名称或IP地址,也可以输入本机的计算机名称,单击【确定】按钮,如图4-13所示。
⑦在【确认授权】对话框中,系统将显示出用户指定的主机的名称及该主机的IP地址信息,以便用户确认将要授权的DHCP服务器的正确性,如图4-14所示。单击【确定】按钮系统将返回到【管理授权的服务器】对话框,授权的DHCP服务器已经被加入到了【授权的DHCP服务器】列表框中,单击【关闭】按钮关闭对话框。
Ⅶ 域环境中,文件服务器部分文件夹仅创建者有权限,本地及域管理员无权限访问,求批处理或其他 解决方式
用了桌面漫游的话,用户的桌面会同步到文件服务器上的
这个产生的文件,权限是CREATER的权限,就是只有创建者可以打开,所以会出现你说的现象.
如果你想看这个文件的话,你可以直接用域帐号进去,不需要用域管理员.
或者你把文件服务器上的共享文件夹的权限做修改
Ⅷ 域控制器上安装DHCP服务器的错误提示求助
了解dhcp服务
DHCP(动态主机配置协议)是由IETF设计开发的,专门用于为TCP/IP网络中的计算机自动分配TCP/IP参数的协议,DHCP服务避免了因手工设置IP地址所产生的错误,同时也避免了把一个IP地址分配给多台工作站所造成的地址冲突,dhcp提供了安全,可靠且简单的tcp/ip网络设置,降低了配置ip地址的负担,dhcp的网络结构如图所示。
1.1使用DHCP的好处
Internet是目前世界上用户最多的服务之一,有超过几亿人在使用internet,我国ADSL用户的数量已经超过5000万,由于上网时间的不确定性以及使用人员的技术水平,为每位用户分一个固定的ip地址,不仅造成ip地址浪费,也会为ISP服务商带来高额的维护成本,而使用DHCP服务则有一下好处。
减少管理员的工作量。
避免输入错误的可能。
避免ip冲突。
当网络更改ip地址段时,不需要再重新配置每个用户的ip地址。
提高了ip地址的利用率。
方便客户端的配置。
DHCP的工作原理
2.1.DHCP的分配方式
在DHCP的工作原理中,dhcp服务器提供了三种ip分配方式:自动分配,手动分配和动态分配。
自动分配是当dhcp客户机第一次成功的从dhcp服务器获取到一个ip地址后,就永久地使用这个ip地址。
手动分配是有dhcp服务器管理员专门指定ip地址。
动态分配是当dhcp客户机第一次从dhcp服务器获取到ip地址后,并非永久地使用该地址,每次使用完后,dhcp客户机就需要释放这个ip地址,供其他客户机使用。
2.2. DHCP的租约过程
客户机从dhcp服务器获得ip地址的过程称为dhcp的租约过程,租约过程分为四个步骤,分别为:客户机请求ip(客户机发dhcp Discover广播包),服务器响应(服务器发dhcp Offer广播包),客户机选择ip(客户机发dhcp Request广播包),服务器确定租约(服务器发dhcp ACK广播包)。如图所示介绍了dhcp的租约过程。
2.2.1 客户机请求IP
当一个DHCP客户机启动时,客户机还没有ip地址,所以客户机要通过dhcp获取一个合法的地址,此时dhcp客户机以广播方式(因为dhcp服务器的ip地址对客户机来说是未知的)发送dhcp Discover发现信息来寻找dhcp服务器,广播信息中包含dhcp客户机的MAC地址和计算机名,以便dhcp服务器确定是哪个客户机发送的请求,客户机请求ip过程如图
2.2.2 服务器响应
当dhcp服务器接收到来自客户机请求ip地址的信息时,它就在自己的ip地址池中查找是否有合法的ip地址提供给客户机,如果有,dhcp服务器就将此ip地址做上标记,加入到dhcp Offer的信息中,然后dhcp服务器就广播一则包含下列信息的dhcp Offer消息。
DHCP客户机的MAC地址
DHCP服务器提供的合法IP地址
子网掩码
默认网关
租约的期限
DHCP服务器的IP地址
2.2.3 客户机选择ip
Dhcp客户机从接受到的第一个dhcp offer消息中提取ip地址,发出ip地址的dhcp服务器将该地址保留,这样该地址就不能提供给另一个dhcp客户机,当客户机从第一个dhcp服务器接收dhcp offer消息并提取ip地址后,客户机将dhcp Request消息广播到所有的dhcp服务器,表明它接受提供的内容,dhcp Request消息包括客户机提供ip配置的服务器标示符(服务器ip地址),dhcp服务器查看服务器标示符字段,以确认提供的ip地址是否被接受,如果dhcp offer被拒绝,则dhcp服务器将会取消并保留其ip地址以提供给下一个ip租约的请求。如图所示
2.2.4 服务器确定租约
Dhcp服务器接收到dhcp Request消息后,以dhcp ACK消息的形式向客户机广播成功确认,该消息包含有ip地址的有效租约和其他可配置的信息,虽然服务器确认了客户机的租约请求,但是客户机还没有接收到服务器的dhcp ACK消息,当客户机收到dhcp ACK消息时,它就配置了ip地址,完成tcp/ip的初始化。如图所示。
2.2.5 重新登陆
Dhcp客户机每次重新登陆网络时,不需要再发送dhcp Discover信息,而是直接发送包含前一次分配的ip地址的dhcp Request请求消息,当dhcp服务器接收到这一信息后,它会尝试让dhcp客户机继续使用原来的ip地址,并回答一个dhcp ACK确认信息,如果此ip地址已无法再分配给原来的dhcp客户机使用时(比如ip地址已经分配给其他的dhcp客户机使用),dhcp服务器给dhcp客户机回答一个dhcp Nack否认信息。当原来的dhcp 客户机收到此dhcp Nack否认消息后,它就必须重新发送dhcp Dsicover发信信息来请求新的ip地址,如图所示。
2.2.6 更新租约
当dhcp服务器向客户机出租的ip地址租期达到50%时,就需要重新更新租约,客户机直接向提供租约的服务器发送dhco Request包,要求更新现有的地址租约。
注意:如果DHCP客户机无法找到dhcp服务器,它将从tacp/ip的B类网段169.254.0.0中挑选一个ip地址作为自己的ip地址,继续每隔5分钟尝试与dhcp服务器进行通信,一旦与dhcp服务器通信,客户机将放弃自动配置的ip地址,使用dhcp服务器分配的ip地址。
配置DHCP服务器
案例:某公司原来的局域网规模很小,均由管理员通过手工的方式配置ip地址,随着公司计算机的曾多,管理员经常需要手工为员工修改ip地址的配置,工作量较大,而且常发生ip冲突,管理ip地址非常麻烦,如何改变这种状况呢?我们可以通过配置dhcp服务来解决中国问题。
3.1 DHCP的安装要求
Dhcp可以安装在windows操作系统的所有服务器版本上,本章主要介绍在windows server 2008操作系统上安装和配置dhcp服务。
安装DHCP服务器需要满足如下要求:
服务器用具有静态的ip地址。
在域环境下需要使用活动目录服务器授权dhcp服务。
建立作用域并激活(作用域实际上就是一段ip地址的范围)。
注意:授权是一种安全措施,可防止未经授权的dhcp服务器在网络中分配ip地址,已授权的服务器会每隔60分钟(默认值)重复一次检查过程,未经授权的服务器会每隔10分钟(默认值)重复一次检查过程
在安装DHCP服务之前,需要规划以下信息。
确定DHCP服务器应分给客户机的ip地址范围。
为客户机确定正确的子网掩码
确定dhcp服务器不应向客户机分发的所有ip地址,应保留一些固定ip地址给打印机服务器等使用。
决定ip地址的租期期限,默认值为8天,通常,租用期限应等于该子网上客户端的平均活动时间,例如,如果客户端是很少关闭的桌面计算机,理想的期限可以比8天长,如果客户端是经常离开网络或在子网之间移动的移动设备,该期限可以少于8天。
3.2 安装DHCP服务
使用windows server 2008在工作组环境下搭建DHCP服务步骤如下。
打开"程序和功能"
在"控制面板"中打开"管理工具",单击"服务器管理器"。如图所示
(2)添加角色
在"服务器管理器"窗口中选择"角色"选项,然后单击"添加角色"如图所示。
(3)添加"DHCP服务器"角色
在"添加角色向导"窗口中选择"服务器角色"选项,然后选择"dhcp服务器",单击"下一步"按钮,如图所示。
(4)Dhcp服务器介绍
在"dhcp服务器"窗口中直接单击"下一步"按钮,如图所示
(5)选择"网络连接绑定"
在"选择网络连接绑定"界面中选择用于向客户机提供dhcp服务的网络连接,单击"下一步"按钮,如图所示。
(6)指定"ipv4 DNS设置"
在"指定ipv4 DNS服务器设置"界面中,不添加父域和DNS服务器地址,直接单击"下一步"按钮,如图所示。
(7)指定"ipv4 WINS设置"
在"指定ipv4 WINS服务器设置"界面中,如果网络中没有WINS服务器,可以选择"此网络上的应用程序不需要WINS",然后单击"下一步"按钮,如图所示。
(8)添加"dhcp作用域"
在"添加或编辑dhcp作用域"窗口中单击"添加"按钮,在弹出的"添加作用域"界面中,指定分配给客户机的ip地址范围,输入作用域名称,起始ip地址,结束ip地址,子网掩码,默认网关,选择号子网类型,并选择"激活作用域",如图所示。
(9)dhcp作用域
添加或编辑作用域完成后,在"添加或编辑dhcp作用域"界面中,可以查看录入的作用域信息。如图所示。
(10)配置dhcpv6无状态模式。
在"配置dhcpv6无状态模式"界面中,选择"对此服务器禁用dhcpv6无状态模式"如图所示。
(11)确认安装选项
在"确认安装选择"窗口中,可以查看dhcp服务器的配置信息,确定无误后单击"安装"按钮,如图所示。
(12)安装结果
完成安装后会在"安装结果"窗口显示安装是否成功以及相关的提示信息,如图所示,单击"关闭"按钮,完成整个安装配置过程。
3.3 授权DHCP服务
授权是一种安全预防措施,它可以确保只有经过授权的DHCP服务器才能在网路中分配ip地址。
在域环境下搭建dhcp服务器时,可以直接在安装过程中为dhco服务器授权,如图所示,在"授权dhcp服务器"界面中,选择"使用当前凭据"或"使用备用凭据",可以在安装时直接为dhcp服务器授权。
如果在"授权dhcp服务器"界面中"跳过AD DS中此dhcp服务器的授权",则可以在安装完成后使用DHCP控制台为该服务器授权,授权方法是打开dhcp控制台,右击服务器名称,在弹出的快捷菜单中选择"授权",如图所示,在弹出的窗口中输入要授权的服务器地址,需要注意的是为dhcp服务器授权需要有企业管理员权限。
3.3 管理作用域
Dhcp作用域实际上就是一段ip地址范围,作用域具有下列属性。
Ip地址的范围,可在其中包含或排除用于提供dhcp服务器租用地址。
子网掩码,用来确定给定ip地址的子网。
作用域名称,在创建作用域时指定该名称。
租用期限值,这些值限制了自动获取的ip地址使用的有效权限。
为特定服务器保留配置的ip地址,例如DNS服务器,路由器ip地址和WINS服务器地址。
保留,可以用于确保dhcp客户机始终获取相同的ip地址。
在windows server 2008上安装dhcp服务时,默认情况下会创建一个作用域,在安装完成的dhcp控制台中可以创建多个dhcp作用域。
3.3.1 新建作用域
创建一个作用域的步骤如下。
新建作用域
打开"dhcp控制台",展开左侧的节点树,右击"ipv4",在弹出的快捷菜单中,选择"新建作用域",如图所示。
输入作用域名称
在向导页面中单击"下一步"按钮,在"作用域名称"界面中,输入"名称"。单击"下一步",如图所示。
输入ip地址范围
在"ip地址范围"界面中输入"起始ip地址"和"结束ip地址",单击"下一步"按钮,如图所示。
添加排除
在"添加排除"窗口,输入需要排除分配的ip地址范围,如图所示。
指定租用期限
在"租用期限"窗口中输入dhcp分配的ip地址的租用期限,默认为8天,单击"下一步"按钮,如图所示。
配置DHCP选项
在"配置dhcp选项"窗口,选择"否,我想稍后配置这些选项",单击"下一步"按钮,如图所示。
完成新建作用域
在"完成新建作用域向导"窗口,单击"完成"按钮,完成作用域的创建。
激活作用域
新建作用域在dhcp控制台中此时显示为不可用,需要激活作用域,才能提供ip地址分配功能,右击作用域,在弹出的快捷菜单中,选择"激活"选项,可以激活作用域,如图所示。
3.3.2 配置客户端保留
Dhcp作用域中的保留可以选择保留某些ip地址,用于给网络中指定计算机或设备永久租用分配,只有对网络上启用了dhcp且必须为特定目的而保留的设备(例如:打印服务器),才应创建保留,创建一个作用域保留的具体步骤如下。
查看目标MAC地址
打开打印服务器的"网路连接详细信息",查看并记录该服务器的MAC地址,如图所示
新建保留
在管理工具中单击"dhcp",展开dhcp管理控制台左边窗口中的节点树,选择"ipv4",展开ipv4节点,右击"保留",在弹出的快捷菜单中,选择"新建保留",如图所示。
输入保留信息
在"新建保留"界面中输入为客户机保留的ip地址和客户机的MAC地址,单击"添加"按钮,如图所示。
验证目标机获取的ip地址
打开打印服务器的"网络连接详细信息",查看该机获取的ip地址,如图所示。(打印服务器必须是自动获取ip模式)
3.3.3 配置服务器选项
通过作用域选项的配置可知,当有多个作用域时,需要在各个作用域下分别配置作用域选项,如果有些作用域的选项一样,如公司网络中不同网段所配置的DNS服务器地址相同,那么就可以直接在服务器选项中配置,而不需要为每个作用域单独配置作用域选项。
服务器选项中配置DNS服务器地址步骤如下:
在dhcp控制台的左侧窗口展开节点树,右击ipv4的"服务器选项",但弹出的快捷菜单中选择"配置选项"。
在"服务器选项"中,选择"006DNS服务器",输入DNS服务器的ip地址,单击"添加"按钮,然后单击"确定"按钮,完成配置,如图所示。
通过配置服务器选项,作用域选项和保留选项可知,各选项的功能都是配置客户机的tcp/ip参数的可选项,但是各选项的应用范围和优先级不一样。
服务器选项对该服务器上所有的作用域生效。
作用域选项只在该作用域中生效。
保留选项对保留的客户机生效。
优先级分别是:保留选项——作用域选项——服务器选项。
Ⅸ DHCP为什么配置好了,不能给服务器授权系统总是提示不能授权
DHCP的授权是要在域环境下才可以的!
你应该不是域环境,所以不能授权!
你补充的问题回答如下:
1:先要确定你的AD是否已经建好!(最好把DC和DNS安在同一台服务器上)
2:把客户机的DNS地址指向DC
Ⅹ Windows server2008,IIS设置为windows身份验证,在域环境中使用,401错误
这些问题有些在过去的IIS5里面就遇到过,有些是新出来的,俺忙活了一下午,做了很多次试验,结合以前的排错经验,做出了这个总结,希望能给大家帮上忙:)
问题1:未启用父路径
症状举例:
Server.MapPath() 错误 'ASP 0175 : 80004005'
不允许的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
在 MapPath 的 Path 参数中不允许字符 '..'。
原因分析:
许多Web页面里要用到诸如../格式的语句(即回到上一层的页面,也就是父路径),而IIS6.0出于安全考虑,这一选项默认是关闭的。
解决方法:
在IIS中 属性->主目录->配置->选项中。把”启用父路径“前面打上勾。确认刷新。
问题2:ASP的Web扩展配置不当(同样适用于ASP.NET、CGI)
症状举例:
HTTP 错误 404 - 文件或目录未找到。
原因分析:
在IIS6.0中新增了web程序扩展这一选项,你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止,默认情况下ASP等程序是禁止的。
解决方法:
在IIS中的Web服务扩展中选中Active Server Pages,点击“允许”。
问题3:身份认证配置不当
症状举例:
HTTP 错误 401.2 - 未经授权:访问由于服务器配置被拒绝。
原因分析:IIS 支持以下几种 Web 身份验证方法:
匿名身份验证
IIS 创建 IUSR_计算机名称 帐户(其中 计算机名称 是正在运行 IIS 的服务器的名称),用来在匿名用户请求 Web 内容时对他们进行身份验证。此帐户授予用户本地登录权限。你可以将匿名用户访问重置为使用任何有效的 Windows 帐户。
基本身份验证
使用基本身份验证可限制对 NTFS 格式 Web 服务器上的文件的访问。使用基本身份验证,用户必须输入凭据,而且访问是基于用户 ID 的。用户 ID 和密码都以明文形式在网络间进行发送。
Windows 集成身份验证
Windows 集成身份验证比基本身份验证安全,而且在用户具有 Windows 域帐户的内部网环境中能很好地发挥作用。在集成的 Windows 身份验证中,浏览器尝试使用当前用户在域登录过程中使用的凭据,如果尝试失败,就会提示该用户输入用户名和密码。如果你使用集成的 Windows 身份验证,则用户的密码将不传送到服务器。如果该用户作为域用户登录到本地计算机,则他在访问此域中的网络计算机时不必再次进行身份验证。
摘要身份验证
摘要身份验证克服了基本身份验证的许多缺点。在使用摘要身份验证时,密码不是以明文形式发送的。另外,你可以通过代理服务器使用摘要身份验证。摘要身份验证使用一种挑战/响应机制(集成 Windows 身份验证使用的机制),其中的密码是以加密形式发送的。
.NET Passport 身份验证
Microsoft .NET Passport 是一项用户身份验证服务,它允许单一签入安全性,可使用户在访问启用了 .NET Passport 的 Web 站点和服务时更加安全。启用了 .NET Passport 的站点会依日 .NET Passport 中央服务器来对用户进行身份验证。但是,该中心服务器不会授权或拒绝特定用户访问各个启用了 .NET Passport 的站点。
解决方法:
根据需要配置不同的身份认证(一般为匿名身份认证,这是大多数站点使用的认证方法)。认证选项在IIS的属性->安全性->身份验证和访问控制下配置。
问题4:IP限制配置不当
症状举例:
HTTP 错误 403.6 - 禁止访问:客户端的 IP 地址被拒绝。
原因分析:
IIS提供了IP限制的机制,你可以通过配置来限制某些IP不能访问站点,或者限制仅仅只有某些IP可以访问站点,而如果客户端在被你阻止的IP范围内,或者不在你允许的范围内,则会出现错误提示。
解决方法:
进入IIS的属性->安全性->IP地址和域名限制。如果要限制某些IP地址的访问,需要选择授权访问,点添加选择不允许的IP地址。反之则可以只允许某些IP地址的访问。
问题5:IUSR账号被禁用
症状举例:
HTTP 错误 401.1 - 未经授权:访问由于凭据无效被拒绝。
原因分析:
由于用户匿名访问使用的账号是IUSR_机器名,因此如果此账号被禁用,将造成用户无法访问。
解决办法:
控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。
问题6:NTFS权限设置不当
症状举例:
HTTP 错误 401.3 - 未经授权:访问由于 ACL 对所请求资源的设置被拒绝。
原因分析:
Web客户端的用户隶属于user组,因此,如果该文件的NTFS权限不足(例如没有读权限),则会导致页面无法访问。
解决办法:
进入该文件夹的安全选项卡,配置user的权限,至少要给读权限。关于NTFS权限设置这里不再馈述。
问题7:IWAM账号不同步
症状举例:
HTTP 500 - 内部服务器错误
原因分析:
IWAM账号是安装IIS时系统自动建立的一个内置账号。IWAM账号建立后被Active Directory、IIS metabase数据库和COM+应用程序三方共同使用,账号密码被三方分别保存,并由操作系统负责这三方保存的IWAM密码的同步工作。系统对IWAM账号的密码同步工作有时会失效,导致IWAM账号所用密码不统一。
解决办法:
如果存在AD,选择开始->程序->管理工具->Active Directory用户和计算机。为IWAM账号设置密码。
运行c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass +密码 同步IIS metabase数据库密码
运行cscript c:\inetpub\adminscripts\synciwam.vbs -v 同步IWAM账号在COM+应用程序中的密码
问题8:MIME设置问题导致某些类型文件无法下载(以ISO为例)
症状举例:
HTTP 错误 404 - 文件或目录未找到。
原因分析:
IIS6.0取消了对某些MIME类型的支持,例如ISO,致使客户端下载出错。
解决方法:
在IIS中 属性->HTTP头->MIME类型->新建。在随后的对话框中,扩展名填入.ISO,MIME类型是application。
另外,防火墙阻止,ODBC配置错误,Web服务器性能限制,线程限制等因素也是造成IIS服务器无法访问的可能原因,IIS进程当掉等,这里就不再一一馈述了。希望此帖能解决大家的大部分问题:)