1
UNC-Freigaben mit WebDAV unter IIS
Hallo Gemeinde,
folgende Testumgebung:
Ich habe einen Webserver (Windows 2012 nicht-R2, IIS 8.0) und einen Client mit Windows 7. Beide sind in einer Domäne und kommunizieren miteinander wunderbar; vom Client komme ich ich auf die Default Web Site vom Server so wie es soll.
Aufgabe:
Nun wollte ich mittels WebDAV dem Client verschiedene Freigaben unter einem oder mehreren Laufwerksbuchstaben bereitstellen, in dem jeder seine eigenen Berechtigungen hat. Ich will dies mit WebDAV über das HTTP-Protokoll mit Windows Authentifizierung bewerkstelligen (kein DFS).
Problem:
Wenn ich nach der Installation aller notwendigen Features (Desktopdarstellung wegen dem WebDAV Redirector, URL-Autorisierung, Windows-Authentifizierung) im IIS lokale Pfade als Virtuelle Verzeichnisse einfüge und alles einstelle, dann funktioniert alles wie erwartet. Wenn ich aber dasselbe mit freigegebenen Ordnern von externen Servern mache, geht das natürlich nicht. Hierfür habe ich die offenbar bekannteste Anleitung zu Rate gezogen:
http://blogs.msdn.com/b/benjaminperkins/archive/2013/08/01/setting-up-w ...
Ich habe alles exakt so nachgestellt, jedoch funktioniert das nicht im Geringsten. Sobald ich den SPN erstelle funktioniert das ganze WebDAV nicht mehr, selbst die lokalen Verzeichnisse, welche in einem anderen AppPool sind. Entferne ich den SPN, gehen sie wieder. Der Zugriff auf die auf die Freigaben ist gegeben; jedenfalls sagt mir das das grüne Häkchen bei Grundeinstellungen->Einstellungen testen. Freigabe- und NTFS-Berechtigungen stehen erstmal unter "Jeder" mit Vollzugriff.
Egal was ich probiere, er findet scheinbar das Verzeichnis auf der Seite, da ein Anmeldeprompt kommt, obwohl er das nicht sollte, aber ich bekomme immer nach dreimaligem Logindaten-Eingaben ein Zugriff verweigert (beim Windows Explorer oder mit "net use" dasselbe). Das Problem liegt an der Pass-Through-Authentifizierung, da es funktioniert wenn ich in den Grundeinstellungen der Seite statt Pass-Through einen Nutzer mit Zugriff auf das Verzeichnis eintrage; z.B. Domänenadministrator.
Jeder Nutzer soll aber unter seinen eigenen Berechtigungen zugreifen dürfen.
Ich habe die ersten vier Google-Seiten durchforstet, habe sämtliches anderes Gejammer über WebDAV mit Windows 7 gelesen, habe den Registry-"Hack" mit AuthForwardServerList ausprobiert. Ich habe auch die Basisauthentifizierung mit SSL ausprobiert, genau dasselbe. Ich habe auch über Kerberos und das Double-Hop-Problem gelesen, aber da bin ich nicht durchgestiegen bzw. konnte ich keine Lösung damit ermitteln.
Ich hoffe jemand kann mir helfen.
Grüße und vielen Dank im Voraus.
Winary
folgende Testumgebung:
Ich habe einen Webserver (Windows 2012 nicht-R2, IIS 8.0) und einen Client mit Windows 7. Beide sind in einer Domäne und kommunizieren miteinander wunderbar; vom Client komme ich ich auf die Default Web Site vom Server so wie es soll.
Aufgabe:
Nun wollte ich mittels WebDAV dem Client verschiedene Freigaben unter einem oder mehreren Laufwerksbuchstaben bereitstellen, in dem jeder seine eigenen Berechtigungen hat. Ich will dies mit WebDAV über das HTTP-Protokoll mit Windows Authentifizierung bewerkstelligen (kein DFS).
Problem:
Wenn ich nach der Installation aller notwendigen Features (Desktopdarstellung wegen dem WebDAV Redirector, URL-Autorisierung, Windows-Authentifizierung) im IIS lokale Pfade als Virtuelle Verzeichnisse einfüge und alles einstelle, dann funktioniert alles wie erwartet. Wenn ich aber dasselbe mit freigegebenen Ordnern von externen Servern mache, geht das natürlich nicht. Hierfür habe ich die offenbar bekannteste Anleitung zu Rate gezogen:
http://blogs.msdn.com/b/benjaminperkins/archive/2013/08/01/setting-up-w ...
Ich habe alles exakt so nachgestellt, jedoch funktioniert das nicht im Geringsten. Sobald ich den SPN erstelle funktioniert das ganze WebDAV nicht mehr, selbst die lokalen Verzeichnisse, welche in einem anderen AppPool sind. Entferne ich den SPN, gehen sie wieder. Der Zugriff auf die auf die Freigaben ist gegeben; jedenfalls sagt mir das das grüne Häkchen bei Grundeinstellungen->Einstellungen testen. Freigabe- und NTFS-Berechtigungen stehen erstmal unter "Jeder" mit Vollzugriff.
Egal was ich probiere, er findet scheinbar das Verzeichnis auf der Seite, da ein Anmeldeprompt kommt, obwohl er das nicht sollte, aber ich bekomme immer nach dreimaligem Logindaten-Eingaben ein Zugriff verweigert (beim Windows Explorer oder mit "net use" dasselbe). Das Problem liegt an der Pass-Through-Authentifizierung, da es funktioniert wenn ich in den Grundeinstellungen der Seite statt Pass-Through einen Nutzer mit Zugriff auf das Verzeichnis eintrage; z.B. Domänenadministrator.
Jeder Nutzer soll aber unter seinen eigenen Berechtigungen zugreifen dürfen.
Ich habe die ersten vier Google-Seiten durchforstet, habe sämtliches anderes Gejammer über WebDAV mit Windows 7 gelesen, habe den Registry-"Hack" mit AuthForwardServerList ausprobiert. Ich habe auch die Basisauthentifizierung mit SSL ausprobiert, genau dasselbe. Ich habe auch über Kerberos und das Double-Hop-Problem gelesen, aber da bin ich nicht durchgestiegen bzw. konnte ich keine Lösung damit ermitteln.
Ich hoffe jemand kann mir helfen.
Grüße und vielen Dank im Voraus.
Winary
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289126
Url: https://administrator.de/contentid/289126
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
1 Kommentar
Auf einmal geht es.
Ich habe sämtliche Konfigurationsvariationen erfolglos nochmal durchprobiert. Dann habe ich herumgespielt und habe den SPN nicht auf einen Benutzer gesetzt, so wie in der Anleitung beschrieben, sondern auf das Computerkonto des Webservers und siehe da, es ward Licht. Natürlich musste im AD in den Computerkontoeinstellungen unter Delegierungen den Punkt bei "Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos)" setzen.
Folgende SPN habe ich gesetzt:
Edit: Neustarten nicht vergessen
Ich habe sämtliche Konfigurationsvariationen erfolglos nochmal durchprobiert. Dann habe ich herumgespielt und habe den SPN nicht auf einen Benutzer gesetzt, so wie in der Anleitung beschrieben, sondern auf das Computerkonto des Webservers und siehe da, es ward Licht. Natürlich musste im AD in den Computerkontoeinstellungen unter Delegierungen den Punkt bei "Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos)" setzen.
Folgende SPN habe ich gesetzt:
setspn -A HTTP/servername servername-als-NetBIOS-Name
setspn -A HTTP/servername.domain.local servername-als-NetBIOS-NameEdit: Neustarten nicht vergessen
