Exportar (0) Imprimir
Expandir todo

Directrices para solucionar problemas de permisos de IIS

BizTalk Server hace un uso extensivo de Microsoft Internet Information Services (IIS) para la compatibilidad con servicios web y para su utilización con los adaptadores de HTTP, SOAP y Windows SharePoint Services.

Antes de solucionar los problemas con los permisos de IIS, le será de ayuda entender cómo implementa IIS el aislamiento de aplicaciones.

IIS proporciona funciones para crear aplicaciones de IIS como procesos de host diferenciados que se ejecutan en su propio espacio de memoria. Una vez creado el host de la aplicación de IIS, debe definir dos conjuntos de permisos, la identidad de proceso del host de aplicación de IIS y los derechos de acceso de usuario del host de la aplicación de IIS. Deberá examinar cada uno de estos conjuntos de permisos cuando solucione problemas con los permisos de IIS.

Aa954062.note(es-ES,BTS.10).gifNota
La identidad de proceso y los derechos de acceso de usuario también se conocen como el contexto de seguridad del proceso de host de la aplicación de IIS.

En este tema se describe cómo establecer la identidad de proceso y los derechos de acceso de usuario para un proceso de host de aplicación de IIS, además de proporcionar algunas instrucciones generales para resolver problemas con los permisos de IIS.

La configuración del proceso de host de una aplicación de IIS puede variar dependiendo del nivel de funcionalidad que sirva dicho proceso de host. Por ejemplo, el proceso de host de una aplicación de IIS que solo sirve páginas HTML estáticas normalmente se configura de forma distinta al proceso de host de una aplicación de IIS que sirve páginas ASP o aplicaciones ASP.NET.

La configuración del proceso de host de una aplicación de IIS también varía dependiendo de la versión de IIS que aloja la aplicación. La identidad del proceso de host de una aplicación de IIS 5.x que se ejecuta en Windows XP está determinada por la identidad de la aplicación COM+ asociada a esa aplicación. La identidad del proceso de host de las aplicaciones que se ejecutan en Windows Server 2003 (IIS 6.0) y Windows Server 2008 (IIS 7.0) está determinada por la identidad del grupo de aplicaciones asociado a esa aplicación.

Establecer la identidad de proceso de IIS para IIS 7.0 en Windows Server 2008 o Windows Vista

  1. Haga clic en Inicio, Configuración y, a continuación, en Panel de control.

  2. En Panel de control, haga doble clic en Herramientas administrativas.

  3. En Herramientas administrativas, haga doble clic en Administrador de Internet Information Services (IIS).

  4. En el Administrador de Internet Information Services (IIS), expanda <nombre de equipo> (cuenta de usuario) y haga clic en Grupos de aplicaciones.

  5. Haga clic con el botón secundario en un grupo de aplicaciones y haga clic en Ver aplicaciones para ver las aplicaciones asociadas al grupo de aplicaciones.

  6. Haga clic con el botón secundario en un grupo de aplicaciones y haga clic en Configuración avanzada para mostrar el cuadro de diálogo Configuración avanzada del grupo de aplicaciones.

  7. Modifique la identidad del grupo de aplicaciones; para ello, haga clic en el botón de puntos suspensivos (…) que está al lado de Identidad, bajo la sección Modelo de proceso del cuadro de diálogo Configuración avanzada.

Establecer la identidad de proceso de IIS para IIS 6.0 en Windows Server 2003

  1. Haga clic en Inicio, elija Configuración y, a continuación, haga clic en Panel de control.

  2. En el Panel de control, haga doble clic en Herramientas administrativas.

  3. En Herramientas administrativas, haga doble clic en Administrador de Internet Information Services (IIS).

  4. En Administrador de Internet Information Services (IIS), expanda <nombre de equipo> (equipo local) y Sitios web.

  5. Haga clic con el botón secundario en el directorio virtual y, seguidamente, haga clic en Propiedades.

  6. Haga clic en la ficha Directorio virtual del cuadro de diálogo Propiedades de <directorio virtual>.

  7. La configuración de Grupos de aplicaciones: está disponible en la sección Configuración de la aplicación de esta página.

  8. Después de determinar el grupo de aplicaciones especificado para el directorio virtual de IIS, haga clic en Aceptar.

  9. En Administrador de Internet Information Services (IIS), expanda Grupos de aplicaciones, haga clic con el botón secundario en el grupo de aplicaciones especificado para el directorio virtual y haga clic en Propiedades.

  10. Haga clic en la ficha Identidad del cuadro de diálogo de propiedades del <grupo de aplicaciones> para editar la identidad asociada al grupo de aplicaciones.

Establecer la identidad de proceso de IIS para IIS 5.x en Windows XP

Para establecer la identidad de proceso del host de la aplicación de IIS en IIS 5.x, determine en primer lugar el nivel de protección de la aplicación que está establecido para el directorio virtual de IIS asociado.

  1. Haga clic en Inicio, elija Configuración y, a continuación, haga clic en Panel de control.

  2. En el Panel de control, haga doble clic en Herramientas administrativas.

  3. En Herramientas administrativas, haga doble clic en Servicios de Internet Information Server.

  4. En Servicios de Internet Information Server, expanda <nombre de equipo> (equipo local) y Sitios Web.

  5. Haga clic con el botón secundario en el directorio virtual y, seguidamente, haga clic en Propiedades.

  6. Haga clic en la ficha Directorio del cuadro de diálogo Propiedades del directorio virtual.

  7. El valor Protección de aplicación está disponible en la sección Configuración de la aplicación de esta página.

    • Baja (proceso IIS) se ejecuta en el proceso inetinfo.exe.

    • Media (agrupada) se ejecuta en el proceso de aplicación COM+ (dllhost.exe) de Aplicaciones agrupadas fuera de proceso de IIS.

    • Alta (aislada) se ejecuta en un proceso de aplicación COM+ independiente (dllhost.exe).

Después de determinar el nivel de protección de la aplicación correspondiente al directorio virtual de IIS, establezca la identidad de proceso del host de la aplicación de IIS correspondiente según los valores de la siguiente tabla, En esta tabla se resumen los procesos que pueden hospedar aplicaciones en IIS 5.x con Windows XP:

ProcesoUsado como host paraIdentidad de proceso predeterminadaConfiguración del contexto de seguridad

inetinfo.exe (servicio IIS)

Páginas HTML, páginas ASP

<nombreMáquina>\SYSTEM

No se admite el cambio del contexto de seguridad del proceso inetinfo.exe.

dllhost.exe

Páginas HTML, páginas ASP

<nombreMáquina>\IWAM_<nombreMáquina>

Configurable mediante el cambio de la identidad de la aplicación COM+ correspondiente en la interfaz MMC Servicios de componentes. Abra la interfaz MMC Servicios de componentes haciendo clic en Inicio, Configuración, Panel de control, Herramientas administrativas, Servicios de componentes.

aspnet_wp.exe

Procesos de ASP.NET

<nombreMáquina>\ASPNET

Cree una cuenta con los permisos correctos y, a continuación, configure la sección <processModel> del archivo Machine.config que usa dicha cuenta. Para obtener más información, vea la sección Solución del artículo REVISIÓN: ASP.NET no funciona con la cuenta ASPNET predeterminada en un controlador de dominio.

Si bien la identidad de proceso controla el contexto de seguridad disponible para el proceso de host de la aplicación de IIS en ejecución, los permisos de acceso de usuario controlan el contexto de seguridad de la cuenta que realmente obtiene acceso a las páginas Web que se sirven. Con el fin de evitar errores de permisos, es preciso establecer los permisos de la forma adecuada para ambos contextos de seguridad.

IIS 7.0 admite los siguientes métodos de autenticación de usuario:

  • Acceso anónimo: permite a los usuarios establecer una conexión anónima. El servidor IIS inicia la sesión del usuario con la cuenta de invitado especificada.

  • Suplantación de ASP.NET: permite que una aplicación se ejecute en uno de dos contextos diferentes, bien como el usuario autenticado por IIS o como una cuenta arbitraria que se configura.

  • Autenticación básica: transmite las contraseñas por la red en formato de texto simple sin cifrar.

  • Autenticación implícita: funciona únicamente con las cuentas de Active Directory, al enviar un valor hash por la red en lugar de una contraseña de texto simple. La autenticación implícita funciona con servidores proxy y otros servidores de seguridad y está disponible en directorios WebDAV. Para usar la autenticación implícita primero es necesario deshabilitar la autenticación anónima.

  • Autenticación mediante formularios: admite la autenticación para sitios o aplicaciones con tráfico muy denso en servidores públicos. La autenticación mediante formularios permite administrar el registro y la autenticación de clientes en el nivel de aplicación, en lugar de usar los mecanismos de autenticación que proporciona el sistema operativo.

  • Autenticación de Windows: usa la autenticación del dominio de Windows para autenticar las conexiones de cliente.

Para establecer derechos de acceso de usuario en un directorio virtual en IIS 7.0
  1. En el Administrador de Internet Information Services (IIS), expanda <nombre de equipo>, Sitios y Sitio web predeterminado en el panel Conexiones.

  2. Haga clic para seleccionar el directorio virtual y haga clic en Vista Características en la parte inferior del panel Área de trabajo para enumerar las características configurables del directorio virtual.

  3. Haga doble clic en la característica Autenticación del panel Área de trabajo para enumerar los métodos de autenticación habilitados para el directorio virtual.

  4. Haga clic para seleccionar el método de autenticación que le gustaría habilitar o deshabilitar y luego haga clic en Deshabilitar o Habilitar en el panel Acciones del Administrador de IIS.

    Aa954062.note(es-ES,BTS.10).gifNota
    Si la opción Habilitar el acceso anónimo está activada, IIS establecerá los derechos de acceso de usuario con la identidad del usuario anónimo que se ha configurado antes de establecer los derechos de acceso de usuario con cualquier otro método de autenticación habilitado.

    Para configurar la identidad del usuario anónimo, haga clic con el botón secundario en el método Autenticación anónima y haga clic en Editar para mostrar el cuadro de diálogo Modificar credenciales de autenticación anónima.

IIS 6.0 admite los siguientes métodos de autenticación de usuario:

  • Acceso anónimo: permite a los usuarios establecer una conexión anónima. El servidor IIS inicia la sesión del usuario con la cuenta de invitado especificada.

  • Autenticación integrada de Windows: usa un intercambio cifrado con el explorador Web del usuario para confirmar la identidad del mismo.

  • Autenticación implícita: funciona únicamente con las cuentas de Active Directory, al enviar un valor hash por la red en lugar de una contraseña de texto simple. La autenticación implícita funciona con servidores proxy y otros servidores de seguridad y está disponible en directorios WebDAV.

  • Autenticación básica: transmite las contraseñas por la red en formato de texto simple sin cifrar.

  • Autenticación de .NET Passport: servicio de autenticación de Web.

Para establecer derechos de acceso de usuario en un directorio virtual en IIS 6.0
  1. En el Administrador de Internet Information Services, expanda <nombre de equipo> (equipo local) y Sitios Web.

  2. Haga clic con el botón secundario en el directorio virtual y haga clic en Propiedades.

  3. Haga clic en la ficha Seguridad de directorios del cuadro de diálogo Propiedades del directorio virtual.

  4. En Autenticación y control de acceso, haga clic en el botón Editar.

  5. Habilite uno o varios métodos de autenticación.

    Aa954062.note(es-ES,BTS.10).gifNota
    Si la opción Habilitar el acceso anónimo está activada, IIS establecerá los derechos de acceso de usuario con la cuenta de usuario especificada antes de establecer los derechos de acceso de usuario con cualquier otro método de autenticación habilitado.

    Para configurar la identidad de usuario anónimo, asegúrese de que la opción Habilitar el acceso anónimo está activada, haga clic en el botón Examinar para seleccionar la cuenta que se usará para las credenciales de acceso anónimo, escriba la contraseña de la cuenta seleccionada y haga clic en Aceptar.

Siga estos pasos para solucionar problemas con los permisos de IIS:

  1. Compruebe si existen errores detallados en el registro de la aplicación del equipo del servidor IIS.

  2. Siga los pasos de IIS 7.0: Configurar el seguimiento de solicitudes con error en IIS 7.0 para solucionar problemas de permisos en equipos con IIS 7.0.

  3. Instale la herramienta de diagnóstico de autenticación y control de acceso AuthDiag 1.0 en equipos con IIS 6.0 para analizar los permisos de IIS. La herramienta AuthDiag está disponible en Herramientas de diagnóstico de Internet Information Services (puede estar en inglés).

  4. Compruebe la existencia de errores HTTP 401 en los archivos de registro de IIS del servidor IIS.

    De forma predeterminada, los archivos de registro de IIS se encuentran en el siguiente directorio de un equipo con Windows Server 2003 o Windows XP:

    %WinDir%\system32\LogFiles\W3SVC1\

    Aa954062.note(es-ES,BTS.10).gifNota
    %WinDir% es un marcador de posición de la ubicación del directorio de Windows en el servidor IIS.

    De forma predeterminada, los archivos de registro de IIS se encuentran en el siguiente directorio de un equipo con Windows Server 2008 o Windows Vista:

    C:\inetpub\logs\LogFiles\W3SVC1\

    • Si el archivo de registro de IIS para un equipo con IIS 7.0 contiene errores HTTP 401, siga los pasos del artículo 943891 de Microsoft Knowledge Base, "Códigos de estado HTTP en IIS 7.0", disponible en http://support.microsoft.com/kb/943891 para determinar el código de subestado y solucionar el problema de permisos según el código de estado.

    • Si el archivo de registro de IIS para un equipo con IIS 5.x o 6.0 contiene errores HTTP 401, siga los pasos detallados en Solucionar problemas de errores HTTP 401 en IIS para determinar el código de subestado y para solucionar los problemas de permisos según el código de estado.

      Aa954062.note(es-ES,BTS.10).gifNota
      Vea W3C Extended Log File Examples (IIS 6.0) para obtener una explicación de los campos que aparecen en un archivo de registro de IIS 6.0.

    • Compruebe el valor del campo cs-username asociado al error HTTP 401. Este campo contiene el nombre del usuario autenticado que obtiene acceso al servidor IIS. En este campo, la cuenta de usuario anónimo se representa mediante un guión (-). Asegúrese de que esta cuenta tiene permisos para los recursos apropiados.

  5. Compruebe que las credenciales de identidad de proceso empleadas por el proceso de host de la aplicación de IIS están establecidas correctamente y que la cuenta tiene los permisos apropiados. Si la cuenta usada para la identidad de proceso no tiene permisos suficientes, cambie la cuenta o bien conceda los permisos apropiados a la misma.

  6. Use las utilidades RegMon y FileMon descritas en Herramientas y utilidades que se utilizan para solucionar problemas para diagnosticar problemas relacionados con el acceso al Registro o a los archivos.

Adiciones de comunidad

AGREGAR
Mostrar:
© 2015 Microsoft