IIS のアクセス許可の問題を解決するためのガイドラインGuidelines for Resolving IIS Permissions Problems

BizTalk ServerBizTalk Server では、Web サービスのサポートや HTTP、SOAP、および Windows SharePoint Services アダプターでの使用に Microsoft インターネットインフォメーションサービス (IIS) が広く使用されています。makes extensive use of Microsoft Internet Information Services (IIS) for Web services support and for use with the HTTP, SOAP, and Windows SharePoint Services adapters.

Iis のアクセス許可の問題をトラブルシューティングする前に、IIS がアプリケーションの分離を実装する方法を理解しておくと役に立ちます。It is helpful to understand how IIS implements application isolation before troubleshooting IIS permissions problems.

IIS には、独自のメモリ領域で実行される個別のホストプロセスとして IIS アプリケーションを作成する機能が用意されています。IIS provides functionality for creating IIS applications as distinct host processes that are run in their own memory space. IIS アプリケーションホストを作成したら、IIS アプリケーションホストプロセス idと iis アプリケーションホストユーザーアクセス権の2つのアクセス許可セットを定義する必要があります。Once you create an IIS application host, then you must define two sets of permissions, the IIS application host process identity and the IIS application host user access rights. IIS のアクセス許可の問題のトラブルシューティングを行うときは、これらのアクセス許可セットを確認する必要があります。You should examine each of these permissions sets when troubleshooting IIS permissions problems.

注意

プロセス idユーザーアクセス権は、IIS アプリケーションホストプロセスのセキュリティコンテキストとも呼ばれます。The process identity and user access rights are also referred to as the security context of the IIS application host process.

このトピックでは、IIS アプリケーションホストプロセスのプロセス idユーザーアクセス権を設定する方法について説明し、iis のアクセス許可の問題を解決するための一般的なガイドラインを示します。This topic describes how to set process identity and user access rights for an IIS application host process and gives some general guidelines for resolving IIS permissions problems.

IIS アプリケーションホストのプロセス Id を設定していますSetting IIS Application Host Process Identity

IIS アプリケーションホストプロセスの構成は、ホストプロセスによって提供される機能のレベルによって異なります。Configuration of an IIS application host process can vary depending on the level of functionality being served by the host process. たとえば、静的 HTML ページのみを提供する IIS アプリケーションホストプロセスは、通常、ASP ページまたは ASP.NET アプリケーションを提供する IIS アプリケーションホストプロセスとは異なる方法で構成されます。For example, an IIS application host process that only serves static HTML pages is typically configured differently than an IIS application host process that serves ASP pages or ASP.NET applications.

IIS アプリケーションホストプロセスの構成は、アプリケーションをホストしている IIS のバージョンによっても異なります。Configuration of an IIS application host process also varies depending on the version of IIS that is hosting the application. Windows Server 2008 (IIS 7.0) で実行されているアプリケーションのホストプロセス id は、アプリケーションに関連付けられているアプリケーションプールの id によって管理されます。The host process identity of applications running on Windows Server 2008 (IIS 7.0) is governed by the identity of the application pool associated with the application.

Windows Server 2008 または Windows Vista で IIS 7.0 の IIS プロセス Id を設定するSetting IIS Process Identity for IIS 7.0 on Windows Server 2008 or Windows Vista

  1. [スタート][すべてのプログラム] の順にクリックし、 [インターネットインフォメーションサービス (IIS) 7 Manager] をクリックします。Click Start, then All Programs, and click Internet Information Services (IIS) 7 Manager.

  2. インターネットインフォメーションサービス (IIS) マネージャーで、 <computer 名 > (ユーザーアカウント) を展開し、 [アプリケーションプール] をクリックします。In Internet Information Services (IIS) Manager, expand <computer name>(User account) and click Application Pools.

  3. アプリケーションプールを右クリックし、 [アプリケーションの表示] をクリックして、アプリケーションプールに関連付けられているアプリケーションを表示します。Right-click an application pool and click View Applications to see the applications associated with the application pool.

  4. アプリケーションプールを右クリックし、詳細設定 をクリックして、アプリケーションプールの 詳細設定 ダイアログを表示します。Right-click an application pool and click Advanced Settings to display the Advanced Settings dialog for the application pool.

  5. [詳細設定] ダイアログボックスの [プロセスモデル] セクションの [id] の横にある省略記号 ([...]) ボタンをクリックして、アプリケーションプールの id を変更します。Modify the identity for the application pool by clicking the ellipsis (…) button next to Identity under the Process Model section of the Advanced Settings dialog box.

IIS サーバーのユーザーアクセス権の設定Setting User Access Rights for the IIS Server

プロセス id は、実行中の IIS アプリケーションホストプロセスで使用できるセキュリティコンテキストを制御しますが、ユーザーアクセス許可は、提供されている Web ページに実際にアクセスしているアカウントのセキュリティコンテキストを制御します。While process identity governs the security context available to the running IIS application host process, user access permissions govern the security context for the account that is actually accessing the Web page(s) being served. アクセス許可のエラーを回避するには、両方のセキュリティコンテキストに対して適切にアクセス許可を設定する必要があります。Permissions must be set appropriately for both security contexts to avoid permissions errors.

IIS 7.0 では、次のユーザー認証方法がサポートされています。IIS 7.0 supports the following user authentication methods:

  • 匿名アクセス: ユーザーが匿名接続を確立できるようにします。Anonymous access: Allows users to establish an anonymous connection. IIS サーバーは、指定されたゲストアカウントを使用してユーザーにログオンします。The IIS server logs on the user with the specified guest account.

  • ASP.NET 偽装では、アプリケーションは、IIS によって認証されたユーザーとして、または設定した任意のアカウントとして、2つの異なるコンテキストのいずれかで実行できます。ASP.NET Impersonation Allows an application to run in one of two different contexts: either as the user authenticated by IIS or as an arbitrary account that you set up.

  • 基本認証: 暗号化されていない形式で、パスワードをプレーンテキストでネットワーク経由で送信します。Basic authentication: Transmits passwords across the network in plaintext, an unencrypted form.

  • ダイジェスト認証: Active Directory のアカウントでのみ機能し、プレーンテキストのパスワードではなく、ネットワーク経由でハッシュ値を送信します。Digest authentication: Works only with Active Directory accounts, sending a hash value over the network, rather than a plaintext password. ダイジェスト認証は、プロキシサーバーやその他のファイアウォールをまたいで動作し、Web 分散オーサリングとバージョン管理 (WebDAV) ディレクトリで使用できます。Digest authentication works across proxy servers and other firewalls and is available on Web Distributed Authoring and Versioning (WebDAV) directories. ダイジェスト認証を使用するには、最初に匿名認証を無効にする必要があります。Use of Digest authentication requires that Anonymous authentication is disabled first.

  • フォーム認証は、パブリックサーバー上のトラフィックが多いサイトまたはアプリケーションの認証に対応しています。Forms Authentication Accommodates authentication for high-traffic sites or applications on public servers. フォーム認証を使用すると、オペレーティングシステムによって提供される認証メカニズムに依存するのではなく、アプリケーションレベルでクライアントの登録と認証を管理できます。Forms authentication lets you manage client registration and authentication at the application level, instead of relying on the authentication mechanisms provided by the operating system.

  • Windows 認証: は、Windows ドメインで認証を使用してクライアント接続を認証します。Windows authentication: Uses authentication on your Windows domain to authenticate client connections.

IIS 7.0 で仮想ディレクトリのユーザーアクセス権を設定するにはTo set user access rights for a virtual directory in IIS 7.0

  1. インターネットインフォメーションサービス (IIS) マネージャーで、接続 ウィンドウの <computer 名 >サイト、および 既定の Web サイト を展開します。In the Internet Information Services (IIS) Manager, expand <computer name>, Sites, and Default Web Site in the Connections pane.

  2. 仮想ディレクトリをクリックして選択し、ワークスペース ウィンドウの下部にある 機能ビュー をクリックして、仮想ディレクトリの構成可能な機能を一覧表示します。Click to select the virtual directory and click the Features View at the bottom of the Workspace pane to list the configurable features for the virtual directory.

  3. [ワークスペース] ウィンドウの認証機能をダブルクリックして、仮想ディレクトリに対して有効になっている認証方法の一覧を表示します。Double-click the Authentication feature in the Workspace pane to list the authentication methods that are enabled for the virtual directory.

  4. 有効または無効にする認証方法をクリックして選択し、IIS マネージャーの [操作] ウィンドウで [無効] または [有効] をクリックします。Click to select the authentication method that you would like to enable or disable and click either Disable or Enable in the Actions pane of the IIS Manager.

    注意

    [匿名アクセスを有効にする] が有効になっている場合、IIS は、他の有効な認証方法を使用してユーザーアクセス権を設定する前に、構成済みの匿名ユーザー id としてユーザーアクセス権を設定します。If Enable anonymous access is enabled, IIS will set user access rights as the configured Anonymous user identity before setting user access rights with any other enabled authentication methods.

    匿名ユーザー id を構成するには、匿名認証方法を右クリックし、 [編集] をクリックして [匿名認証資格情報の編集] ダイアログボックスを表示します。To configure the Anonymous user identity, right-click the Anonymous Authentication method and click Edit to display the Edit Anonymous Authentication Credentials dialog.

IIS のアクセス許可の問題を解決するための一般的なガイドラインGeneral Guidelines for Resolving IIS Permissions Problems

IIS のアクセス許可のトラブルシューティングを行うには、次の手順を実行します。Follow these steps to troubleshoot IIS permissions:

  1. IIS サーバーコンピューターのアプリケーションログにエラーがないかどうかを確認します。Check the application log of the IIS Server computer for errors.

  2. Iis 7.0 コンピューターでのアクセス許可の問題のトラブルシューティングについては、 「iis 7.0: iis 7.0 で失敗した要求のトレースを構成する」の手順に従ってください。Follow the steps in IIS 7.0: Configuring Tracing for Failed Requests in IIS 7.0 to troubleshoot permissions problems on IIS 7.0 computers.

  3. IIS サーバーの IIS ログファイルで HTTP 401 エラーを確認します。Check the IIS log files of the IIS server for HTTP 401 errors.

    既定では、Windows Server 2008 または Windows Vista を実行しているコンピューターの IIS ログファイルは、次のディレクトリにあります。By default the IIS log files on a computer running Windows Server 2008 or Windows Vista are located in the following directory:

    C:\inetpub\logs\LogFiles\W3SVC1C:\inetpub\logs\LogFiles\W3SVC1\

    • IIS 7.0 コンピューターの IIS ログファイルに HTTP 401 エラーが含まれている場合は、 http://support.microsoft.com/kb/943891にあるマイクロソフトサポート技術情報の記事943891「iis 7.0 の HTTP ステータスコード」を参照して、サブステータスコードを確認し、アクセス許可のトラブルシューティングを行います。状態コードに基づく問題。If the IIS log file for an IIS 7.0 computer contains HTTP 401 errors, follow the steps in Microsoft Knowledge Base article 943891, "The HTTP status codes in IIS 7.0" available at http://support.microsoft.com/kb/943891 to determine the substatus code and to troubleshoot the permissions problem based on the status code.

    • HTTP 401 エラーに関連付けられているcs-usernameフィールドの値を確認します。Check the value of the cs-username field associated with the HTTP 401 error. このフィールドには、IIS サーバーにアクセスした認証済みユーザーの名前が表示されます。This field contains the name of the authenticated user who accessed the IIS server. 匿名ユーザーアカウントは、このフィールドでハイフン (-) で表されます。The anonymous user account is represented by a hyphen (-) in this field. このアカウントに、適切なリソースに対するアクセス許可があることを確認します。Ensure that this account has permissions on the appropriate resources.

  4. IIS アプリケーションホストプロセスで使用されるプロセス id 資格情報が正しく設定されていること、およびアカウントに適切なアクセス許可があることを確認します。Verify that the process identity credentials used by the IIS application host process are set correctly and that the account has the appropriate permissions. プロセス id に使用するアカウントに十分な権限がない場合は、アカウントを変更するか、アカウントに適切なアクセス許可を付与します。If the account used for the process identity has insufficient permissions then either change the account or grant the account the appropriate permissions.

  5. 「ツールとユーティリティ」で説明されている RegMon および FileMon ユーティリティを使用して、ファイルまたはレジストリのアクセス許可の問題を診断するためのトラブルシューティングに使用します。Use the RegMon and FileMon utilities described in Tools and Utilities to Use for Troubleshooting to diagnose file or registry access permissions problems.

See Also

BizTalk Server のアクセス許可のトラブルシューティング IIS 7.0: iis 7.0 での認証の構成Troubleshooting BizTalk Server Permissions IIS 7.0: Configuring Authentication in IIS 7.0