Directrices para solucionar problemas de permisos de IIS

BizTalk Server hace un uso extenso de Microsoft Internet Information Services (IIS) para la compatibilidad de servicios web y para su uso con los adaptadores HTTP, SOAP y Windows SharePoint Services.

Antes de solucionar los problemas de permisos de IIS, le resultará útil entender cómo implementa IIS el aislamiento de aplicaciones.

IIS proporciona funciones para crear aplicaciones de IIS como procesos de host diferenciados que se ejecutan en su propio espacio de memoria. Una vez creado un host de aplicación IIS, debe definir dos conjuntos de permisos, la identidad del proceso del host de la aplicación IIS y los derechos de acceso de usuario del host de aplicación de IIS. Deberá examinar cada uno de estos conjuntos de permisos cuando solucione problemas con los permisos de IIS.

Nota

La identidad del proceso y los derechos de acceso de usuario también se conocen como el contexto de seguridad del proceso host de la aplicación IIS.

En este tema se describe cómo establecer derechos de acceso de usuario e identidad de proceso para un proceso de host de aplicaciones IIS y se proporcionan algunas directrices generales para resolver problemas de permisos de IIS.

Establecer la identidad de proceso del host de la aplicación de IIS

La configuración del proceso de host de una aplicación de IIS puede variar dependiendo del nivel de funcionalidad que proporcione dicho proceso de host. Por ejemplo, el proceso de host de una aplicación de IIS que solo proporciona páginas HTML estáticas normalmente se configura de forma distinta al proceso de host de una aplicación de IIS que proporciona páginas ASP o aplicaciones ASP.NET.

La configuración del proceso de host de una aplicación de IIS también varía dependiendo de la versión de IIS que hospede la aplicación. La identidad del proceso de host de aplicaciones que se ejecutan en Windows Server 2008 (IIS 7.0) la determina la identidad del grupo de aplicaciones asociado con la aplicación.

Establecer la identidad de proceso de IIS para IIS 7.0 en Windows Server 2008 o Windows Vista

1. Haga clic en Inicio, En Todos los programas y en Administrador de Internet Information Services (IIS).

2. En el Administrador de Internet Information Services (IIS), expanda <nombre> de equipo(cuenta de usuario) y haga clic en Grupos de aplicaciones.

3. Haga clic con el botón derecho en un grupo de aplicaciones y haga clic en Ver aplicaciones para ver las aplicaciones asociadas al grupo de aplicaciones.

4. Haga clic con el botón derecho en un grupo de aplicaciones y haga clic en Configuración avanzada para mostrar el cuadro de diálogo Configuración avanzada del grupo de aplicaciones.

5. Modifique la identidad del grupo de aplicaciones haciendo clic en el botón de puntos suspensivos (...) situado junto a Identidad en la sección Modelo de proceso del cuadro de diálogo Configuración avanzada .

Establecer los derechos de acceso de usuario para el servidor IIS

Si bien la identidad de proceso controla el contexto de seguridad disponible para el proceso de host de la aplicación de IIS en ejecución, los permisos de acceso de usuario controlan el contexto de seguridad de la cuenta que realmente obtiene acceso a las páginas web que se proporcionan. Con el fin de evitar errores de permisos, es preciso establecer los permisos de la forma adecuada para ambos contextos de seguridad.

IIS 7.0 admite los siguientes métodos de autenticación de usuario:

• Acceso anónimo: Permite a los usuarios establecer una conexión anónima. El servidor IIS inicia la sesión del usuario con la cuenta de invitado especificada.

• suplantación de ASP.NET Permite que una aplicación se ejecute en uno de los dos contextos diferentes: ya sea como el usuario autenticado por IIS o como una cuenta arbitraria que configuró.

• Autenticación básica: Transmite contraseñas a través de la red en texto no cifrado, un formulario sin cifrar.

• Autenticación implícita: Solo funciona con cuentas de Active Directory, enviando un valor hash a través de la red, en lugar de una contraseña de texto no cifrado. La autenticación implícita funciona en servidores proxy y firewalls, y está disponible en directorios del Sistema distribuido de creación y control de versiones web (WebDAV). El uso de la autenticación implícita requiere que la autenticación anónima se deshabilite primero.

• Autenticación de formularios Admite la autenticación para sitios o aplicaciones de alto tráfico en servidores públicos. La autenticación de formularios permite administrar el registro de clientes y su autenticación en el nivel de aplicación, en lugar de depender de mecanismos de autenticación proporcionados por el sistema operativo.

• autenticación de Windows: usa la autenticación en el dominio de Windows para autenticar las conexiones de cliente.

Para establecer los derechos de acceso de usuario para un directorio virtual en IIS 7.0

1. En el Administrador de Internet Information Services (IIS), expanda <nombre> de equipo, Sitios y Sitio web predeterminado en el panel Conexiones.

2. Haga clic para seleccionar el directorio virtual y haga clic en la vista Características de la parte inferior del panel Área de trabajo para enumerar las características configurables del directorio virtual.

3. Haga doble clic en la característica Autenticación en el panel Área de trabajo para enumerar los métodos de autenticación habilitados para el directorio virtual.

4. Haga clic para seleccionar el método de autenticación que desea habilitar o deshabilitar y haga clic en Deshabilitar o habilitar en el panel Acciones del Administrador de IIS.

   Nota

   Si habilitar el acceso anónimo está habilitado, IIS establecerá los derechos de acceso de usuario como la identidad de usuario anónima configurada antes de establecer los derechos de acceso de usuario con cualquier otro método de autenticación habilitado.

   Para configurar la identidad de usuario anónimo, haga clic con el botón derecho en el método de autenticación anónima y haga clic en Editar para mostrar el cuadro de diálogo Editar credenciales de autenticación anónima .

Directrices generales para solucionar problemas de permisos de IIS

Siga estos pasos para solucionar problemas con los permisos de IIS:

1. Compruebe si existen errores detallados en el registro de la aplicación del equipo del servidor IIS.

2. Siga los pasos descritos en IIS 7.0: Configuración del seguimiento de solicitudes con error en IIS 7.0 para solucionar problemas de permisos en equipos con IIS 7.0.

3. Compruebe la existencia de errores HTTP 401 en los archivos de registro de IIS del servidor IIS.

   De forma predeterminada, en un equipo con Windows Server 2008 o Windows Vista, los archivos de registro de IIS se encuentran en el siguiente directorio:

   C:\inetpub\logs\LogFiles\W3SVC1\

   • Si el archivo de registro de IIS para un equipo de IIS 7.0 contiene errores HTTP 401, siga los pasos descritos en el artículo de Microsoft Knowledge Base 943891, "Los códigos de estado HTTP de IIS 7.0" disponibles en https://support.microsoft.com/kb/943891 para determinar el código de subestado y solucionar el problema de permisos en función del código de estado.

   • Compruebe el valor del campo cs-username asociado al error HTTP 401. Este campo contiene el nombre del usuario autenticado que obtiene acceso al servidor IIS. En este campo, la cuenta de usuario anónimo se representa mediante un guión (-). Asegúrese de que esta cuenta tiene permisos para los recursos apropiados.

4. Compruebe que las credenciales de identidad de proceso empleadas por el proceso de host de la aplicación de IIS están establecidas correctamente y que la cuenta tiene los permisos apropiados. Si la cuenta usada para la identidad de proceso no tiene permisos suficientes, cambie la cuenta o bien conceda los permisos apropiados a la misma.

5. Use las utilidades RegMon y FileMon descritas en Herramientas y utilidades para usar para solucionar problemas con el fin de diagnosticar problemas de permisos de acceso al registro o archivos.

Consulte también

Solución de problemas de BizTalk Server permisosIIS 7.0: Configuración de la autenticación en IIS 7.0