11
IIS 10 - Probleme mit Authentifizierung
Hallo,
ich habe ein Problem, bei dem ich einfach nicht weiterkomme.
Meine Konfiguration:
Der IIs 10 läuft auf einem dedizierten Windows Server 2019 in einer Domäne.
Auf dem Server liegt eine Webseite, auf die Domänenbenutzer von extern Zugriff haben sollen. Als Authentifizierung habe ich Digestauthentifizierung eingestellt, die NTFS-Rechte sind auch korrekt gesetzt. Im Webverzeichnis liegen als Unterverzeichnisse Anwendungen wie z.B. Moodle und ein Raumbuchungssystem (mrbs).
Was funktioniert:
Greife ich direkt auf eine Datei zu die im Webseitenverzeichnis liegt (z.B. index.html/php, egal ob im Root, oder in einem Unterverzeichnis), kommt die Abfrage der Zugangsdaten -> eingeben -> funktioniert.
Das Problem:
Wenn ich danach auf ein anderes (Unter)verzeichnis zugreife, fragt er wieder nach Zugangsdaten. Erst wenn ich die eingebe, funktioniert der Zugriff. Das sieht man besonders bei den Anwendungen, da die Ressourcen aus Unterverzeichnissen nachladen. Da muss man dann x-mal die Zugangsdaten eingeben, bis die Startseite der Anwendung alle nötigen Ressourcen geladen hat. Das Spielchen wiederholt sich dann ständig. Der Server "vergisst" quasi ständig, dass der Benutzer sich ja schon authentifiziert hat. Auch in den Logfiles taucht bei jedem Zugriff die IP mit dem Code 401 auf. Nach der Eingabe der Zugangsdaten steht dann der richtige Benutzer mit dem Code 200 da...bis zum nächsten Klick, dann wiederholt sich das ganze
.
Wahrscheinlich habe ich im IIS irgendetwas falsch konfiguriert, ich komme nur nicht drauf. Hat jemand eine Idee?
Viele Grüße
BoingXL
ich habe ein Problem, bei dem ich einfach nicht weiterkomme.
Meine Konfiguration:
Der IIs 10 läuft auf einem dedizierten Windows Server 2019 in einer Domäne.
Auf dem Server liegt eine Webseite, auf die Domänenbenutzer von extern Zugriff haben sollen. Als Authentifizierung habe ich Digestauthentifizierung eingestellt, die NTFS-Rechte sind auch korrekt gesetzt. Im Webverzeichnis liegen als Unterverzeichnisse Anwendungen wie z.B. Moodle und ein Raumbuchungssystem (mrbs).
Was funktioniert:
Greife ich direkt auf eine Datei zu die im Webseitenverzeichnis liegt (z.B. index.html/php, egal ob im Root, oder in einem Unterverzeichnis), kommt die Abfrage der Zugangsdaten -> eingeben -> funktioniert.
Das Problem:
Wenn ich danach auf ein anderes (Unter)verzeichnis zugreife, fragt er wieder nach Zugangsdaten. Erst wenn ich die eingebe, funktioniert der Zugriff. Das sieht man besonders bei den Anwendungen, da die Ressourcen aus Unterverzeichnissen nachladen. Da muss man dann x-mal die Zugangsdaten eingeben, bis die Startseite der Anwendung alle nötigen Ressourcen geladen hat. Das Spielchen wiederholt sich dann ständig. Der Server "vergisst" quasi ständig, dass der Benutzer sich ja schon authentifiziert hat. Auch in den Logfiles taucht bei jedem Zugriff die IP mit dem Code 401 auf. Nach der Eingabe der Zugangsdaten steht dann der richtige Benutzer mit dem Code 200 da...bis zum nächsten Klick, dann wiederholt sich das ganze
.Wahrscheinlich habe ich im IIS irgendetwas falsch konfiguriert, ich komme nur nicht drauf. Hat jemand eine Idee?
Viele Grüße
BoingXL
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 479710
Url: https://administrator.de/contentid/479710
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
11 Kommentare
Neuester Kommentar
Wieso nutzt du noch Digest Auth, mit den diversen (Sicherheits-)Nachteilen?
Zur Frage:
https://blogs.technet.microsoft.com/yuridiogenes/2008/12/23/multiple-aut ...
Zur Frage:
https://blogs.technet.microsoft.com/yuridiogenes/2008/12/23/multiple-aut ...
Wieso nutzt du noch Digest Auth, mit den diversen (Sicherheits-)Nachteilen?
Was wäre denn (bei gleichem Aufwand) besser?Das ist kein ISA-Server davor. Der IIS hängt mit Port 443 direkt im Internet.
Inzwischen habe ich auch noch weiter getestet. Die Ausprägung des Problems ist wohl auch Browserabhängig. Mit dem IE geht es perfekt (einmal Zugangsdaten eingeben und alles läuft). Mit dem Edge funktioniert es innerhalb eines Verzeichnisses wie gewünscht. Mit Chrome manchmal und mit Firefox nie. Seltsam...
Danke, aber das ist schon zu viel Aufwand für die Webseite (ist nur ein kleines Portal für eine Schule). Ich bin auch kein Webentwickler, sondern nur Netzwerkadmin.
Gibt es zu dem bestehenden Problem noch eine Idee?
Gruß
BoingXL
Gibt es zu dem bestehenden Problem noch eine Idee?
Gruß
BoingXL
Moin,
warum verwendest du nicht Methode "Integrierte Windows-Authentifizierung" für dein Vorhaben?
Gruß,
Dani
warum verwendest du nicht Methode "Integrierte Windows-Authentifizierung" für dein Vorhaben?
Das ist kein ISA-Server davor. Der IIS hängt mit Port 443 direkt im Internet.
Hübsch, ich hoffe der IIS ist entsprechend der Vorgaben des BSI (BSI TR-02102-x) gehärtet. Ansonsten wird gerne ein Reverse Proxy (Apache oder Nginx) auf Basis von Linux davor gesetzt. Gruß,
Dani
Zitat von @Dani:
warum verwendest du nicht Methode "Integrierte Windows-Authentifizierung" für dein Vorhaben?
Weil er damit dann Non-Windows OS vom Zugriff ausschließt.warum verwendest du nicht Methode "Integrierte Windows-Authentifizierung" für dein Vorhaben?
Der IIS hängt mit Port 443 direkt im Internet.
Ebenfalls "Aua, schmerz" .
Moin,
Gruß,
Dani
Weil er damit dann Non-Windows OS vom Zugriff ausschließt.
Tut er eigentlich nicht. Wenn die Authenfizierung nicht erfolgreich war, erscheint der bekannte Dialog.Gruß,
Dani
Wenn er zusätzlich Basis- oder Digest- Authentifizierung aktiviert dann ja, ansonsten nicht wenn es die einzigste Auth-Variante wäre.
Wäre doch mal interessant wo er seine Auth-Einstellungen in der Site getätigt hat und welche Anforderungen die anderen Webanwendungen so haben.
Wäre doch mal interessant wo er seine Auth-Einstellungen in der Site getätigt hat und welche Anforderungen die anderen Webanwendungen so haben.
Moin,
hm, hier ein Zitat von Microsoft:
Interpretiere ich dies falsch?
Gruß,
Dani
hm, hier ein Zitat von Microsoft:
Die integrierte Windows-Authentifizierung ist sicherer als die Standardauthentifizierung und eignet sich insbesondere für Intranetumgebungen, in denen die Benutzer Windows-Domänenkonten besitzen. Der Browser verwendet bei der integrierten Windows-Authentifizierung die Anmeldeinformationen des jeweiligen Benutzers aus einer Domänenanmeldung. Erst wenn dies fehlschlägt, wird der Benutzer zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Bei der integrierten Windows-Authentifizierung wird das Kennwort des Benutzers nicht zum Server übertragen. Wenn sich der Benutzer an dem lokalen Computer als Domänenbenutzer angemeldet hat, ist bei einem Zugriff auf einen Netzwerkcomputer in dieser Domäne keine erneute Authentifizierung erforderlich.
Gruß,
Dani
Hallo,
die Windows-Athentifizierung wäre ja auch mein Favorit gewesen. Allerdings funktioniert die aus irgendeinem Grund bei mir nur über http. Sobald ich auf TLS umschalte geht es nicht mehr (Firefox spuckt mir die folgende Meldun aus: Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.) . Mit der Standard-Authentifizierung klappt der Zugriff über https dagegen problemlos.
Die Webseite lief bisher auf einem IIS 7, da hat es noch funktioniert. Seltsam.
Gruß
BoingXL
Edit: Heureka, es funktioniert. Warum? Keine Ahnung. Eigentlich habe ich nur nochmals die Standard-Authentifizierung ab- und die Windows-Authentifizierung wieder eingeschaltet.
die Windows-Athentifizierung wäre ja auch mein Favorit gewesen. Allerdings funktioniert die aus irgendeinem Grund bei mir nur über http. Sobald ich auf TLS umschalte geht es nicht mehr (Firefox spuckt mir die folgende Meldun aus: Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.)
. Mit der Standard-Authentifizierung klappt der Zugriff über https dagegen problemlos.Die Webseite lief bisher auf einem IIS 7, da hat es noch funktioniert. Seltsam.
Gruß
BoingXL
Edit: Heureka, es funktioniert. Warum? Keine Ahnung. Eigentlich habe ich nur nochmals die Standard-Authentifizierung ab- und die Windows-Authentifizierung wieder eingeschaltet.
Zitat von @Dani:
Moin,
hm, hier ein Zitat von Microsoft:
Interpretiere ich dies falsch?
Ja du vergisst dabei das für den Standard-Dialog zumindest die Basic-Auth aktiviert sein muss weil die in so gut wie jedem Browser möglich ist.Moin,
hm, hier ein Zitat von Microsoft:
> Die integrierte Windows-Authentifizierung ist sicherer als die Standardauthentifizierung und eignet sich insbesondere für Intranetumgebungen, in denen die Benutzer Windows-Domänenkonten besitzen. Der Browser verwendet bei der integrierten Windows-Authentifizierung die Anmeldeinformationen des jeweiligen Benutzers aus einer Domänenanmeldung. Erst wenn dies fehlschlägt, wird der Benutzer zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Bei der integrierten Windows-Authentifizierung wird das Kennwort des Benutzers nicht zum Server übertragen. Wenn sich der Benutzer an dem lokalen Computer als Domänenbenutzer angemeldet hat, ist bei einem Zugriff auf einen Netzwerkcomputer in dieser Domäne keine erneute Authentifizierung erforderlich.
> Du hast mehrere Optionen einen User zu Authentifizieren. Aber, wenn ein System eine entsprechende Authentifizierungsmethode nicht unterstützt, z.B. kann ein iPad keine Windows-Auth dann wird die nächste verfügbare Auth Methode benutzt, in dem Fall wenn im IIS aktiviert wurde ist das Digest, wenn das auch nicht klappt und Basic- Auth war auch noch im IIS aktiviert dann fällt der Browser auf Basic-Auth zurück und präsentiert dir dann den Standard-Dialog, aber auch nur wenn die entsprechende Auth Option auch aktiviert ist. Ist die Option im IIS für die Site(Verzeichnis) nicht aktiviert gibt es einen Authentifizierungs-Fehler weil ja dann keine Auth-Methode mehr verfügbar ist.
