IIS совершенствуется
Разработчики IIS 7.0 усовершенствовали добротную систему безопасности IIS 6.0, сохранив базовую архитектуру IIS 6.0 с моделью изоляции пулов приложений/рабочих процессов, которая оказалась очень эффективной
При обсуждении мер безопасности IIS 7.0 особое внимание уделяется новшествам модульной архитектуры, но благодаря автоматическому распределению приложений по «песочницам», делегированию функций и авторизации URL задача надежной защиты Web-сервера стала проще
Листинг 1. Использование тегов расположения для назначения режима переназначения Deny
<location path=»Default Web Site» overrideMode=»Deny»>
<system.webServer>
<defaultDocument>
<files>
<clear />
<add value=»default.aspx» />
</files>
</defaultDocument>
</system.webServer>
</location>
Листинг 2. Синтаксис правил авторизации URL
<location path=»Reporting»>
<system.webServer>
<security>
<authorization>
<remove users=»*» roles=»» verbs=»» />
<add accessType=»Allow» roles=»Managers» />
<add accessType=»Deny» users=»*» />
</authorization>
</security>
</system.webServer>
</location>
Ресурсы IIS, которые вы должны знать
Есть много разных источников ценной информации IIS. Ниже мы перечислили некоторые из лучших, чтобы вы могли больше узнать о работах IIS:
1. iis.net2. microsoft.com3. Канал 9.msdn.com 4. stackify.com5. tecadmin.net6. Accelebrates.com 7. forums.iis.net
1. IIS.net
Если вы ищете информацию о IIS, этот сайт должен быть в верхней части вашего списка. Это официальный Microsoft Сайт IIS, на котором можно загрузить новости, обновления и руководства по использованию Microsoft IIS.
Существует почти 30 различных загрузок, поддерживаемых Microsoft, с сайта. Это включает Сжатие IIS, Установщик веб-платформы, яIS CORS Модуль, HttpPlatformHandler v1.2, Диспетчер IIS для удаленного администрирования 1.2, Расширение WinCache для PHP, Пакет администрирования, Расширенное ведение журнала, и Модуль инициализации приложения для IIS 7.5.
Записи блога на этом веб-сайте включают командлеты IIS PowerShell, начало работы с модулем IIS CORS и использование журнала активности Azure для проверки хода выполнения операции замены слотов развертывания.
2. Microsoft
Еще один отличный ресурс для загрузки IIS является Microsoft сам сайт. Microsoft веб-сайт имеет ряд загружаемых файлов IIS и специальный курс IIS для вас, чтобы улучшить ваш опыт IIS. Некоторые из наиболее полезных загрузок перечислены ниже:
- Диспетчер баз данных IIS — позволяет управлять локальными и удаленными базами данных через диспетчер IIS.
- Оснастка IIS PowerShell — позволяет автоматизировать администрирование создания и настройки веб-сайта.
- Пакет администрирования для IIS 7.0 — предоставляет ряд инструментов и расширений с дополнительными возможностями администрирования
- IIS Advanced Logging — добавляет ведение журнала в реальном времени на стороне клиента и сервера, а также дополнительные возможности сбора данных
К сожалению, мы могли найти только один курс, касающийся IIS, но он все еще является ценным ресурсом, когда вы начинаете с IIS. Название курса — 10972B Администрирование роли веб-сервера (IIS) Windows Server. Курс доступен в течение пяти дней в классе или предоставляет вам трехмесячный онлайн-доступ если вы решите сделать это онлайн
4. Стекировать
Когда дело доходит до технического контента по IIS, вам будет сложно победить Stackify. Stackify — это компания, которая специализируется на предоставлении специализированных инструментов и контента для разработчиков и других ИТ-специалистов. В настоящее время существует более 100 статей и учебных пособий по IIS. Живые статьи включают в себя:
- Что такое IIS Express: как это работает, учебные пособия и многое другое
- Как читать и настраивать файлы журнала IIS
- Как отслеживать производительность IIS: от основ до расширенного мониторинга производительности IIS
5. тэкадмин
Techadmin — это технический блог, который был начато в 2013 году Рахулом Кумаром. Сайт был разработан специально, чтобы помочь Windows и Linux Сетевые администраторы, чтобы получить максимальную отдачу от своих инструментов. На сайте есть несколько различных статей по IIS, которые предлагают некоторые из наиболее доступных руководств, которые вы можете найти в Интернете. Прошлые статьи по IIS включают в себя:
- Как установить IIS на Windows 8 и Windows 10
- Как установить документ по умолчанию в IIS
- Как создать сайт в IIS на Windows
- Как перезапустить IIS через командную строку
6. Accelebrates
Еще один отличный ресурс Accelebrates Обучение IIS. На веб-сайте Accelebrate есть несколько курсов IIS с средний рейтинг 4,66 из 5. Эти курсы на основе 60% лабораторных и 40% лекций так что вы получите правильный баланс построения ваших теоретических и практических знаний. Это платные курсы, поэтому вам нужно напрямую связаться с компанией, чтобы запросить цену. Accelebrate-х IIS курсы следующие:
- Администрация IIS 10
- Администрация IIS 8
в Курс администрирования IIS 10 студенты будут учиться как спланировать и установить установку IIS, а также наращивание знаний об общей архитектуре IIS. Вы также узнаете, как выполнять повседневные задачи администрирования, используя IIS Manager, PowerShell, и Appcmd.
7. forums.iis.net
Хотя это технически является частью сайта IIS, форум заслуживает отдельного раздела, основанного на том, насколько он полезен сам по себе. Здесь вы можете найти обширную информацию о IIS и различных функциях. Форум предоставляет информацию о общие проблемы IIS, расширения, безопасность, конфигурации, веб-фермы, производительность, и исправление проблем. Поэтому, если у вас есть вопрос, на который вам нужно ответить, поездка на форумы IIS, скорее всего, будет включать в себя то, что вам нужно.
Как работает IIS ?: Модель обработки IIS
В качестве веб-сервера IIS имеет собственный процессный движок который обрабатывает все запросы от клиента к серверу. По сути, клиент отправляет запрос на сервер, а затем IIS обрабатывает этот запрос и отправляет ответ клиенту. Архитектура обработки IIS может быть разделена на два отдельных уровня:
- Режим ядра — Выполненный код завершен Доступ к подключенному оборудованию и может выполнить любую команду. Режим ядра в основном используется для доверенных процессов. Сбои в режиме ядра разрушительны для всей системы. Вы можете найти HTTP.SYS в режиме ядра.
- Режим пользователя — В этом режиме любой код вам Выполнить — это команды, не имеющие доступа к оборудованию или справочной памяти. Это обеспечивает дополнительный уровень защиты от ошибок и может быть восстановлен намного легче. Когда вы выполняете код в пользовательском режиме, он делегирует API для взаимодействия с аппаратной и эталонной памятью. В режиме пользователя вы найдете Служба веб-администратора, Виртуальный каталог, и Пул приложений.
Режим ядра имеет задачу использования HTTP.SYS принимать запросы от клиента и пересылать их в пул приложений. Это инициируется, когда клиент нажимает или вводит URL сайта и запрашивает доступ к странице. HTTP.SYS захватывает эти запросы и добавляет очередь для каждого отдельного пула приложений..
После того, как запрос был отправлен в пул приложений, Рабочий процесс или w3wp.exe (изложены ниже) загружает фильтр ISAPI. В зависимости от запроса открывается рабочий процесс HttpRuntime.ProcessRequest и если это Страница APSX загружает «aspnet_isapi.dll» также.
Запуск Http.Runtime.ProcessRequest показывает, что обработка началась. HttpRuntime Процесс создает пул HttpApplication объекты, которые затем передаются через HTTP. Модули HTTP продолжают активироваться до тех пор, пока запрос не достигнет HTTP-обработчик ASP.NET стр. Как только запрос прошел через HTTP-маршрут, страница запускается.
Как вы можете видеть Рабочий процесс и Пул приложений две очень важные концепции в мире IIS. Ниже мы рассмотрим, что на самом деле означают эти две концепции:
Настройка IIS под 1С
Добавление пользователя IUSR в группу IIS_IUSRS
Для настройки прав доступа необходимо добавить пользователя IUSR в группу IIS_IUSRS, иначе при попытке публикации 1С на сервер Вы будете получать ошибку
Запускаем оснастку управление компьютером Win+R -> compmgmt.msc или через меню пуск:
В оснастке выбираем: Локальные пользователи и групп -> Группы -> IIS_IUSRS открываем свойства группы двойным щелчком ЛКМ
В эту группу нам необходимо добавить пользователя IUSR, для того чтобы предоставить необходимые права доступа, для этого жмем кнопку Добавить
Набираем имя пользователя IUSR и нажимаем кнопку Проверить имена, если пользователь будет найден, то он станет подчеркнутым, нажимаем ОК. Если пользователь не находится нажмите кнопку Размещение… и смените место поиска.
Проверяем, что наш пользователь появился и жмем ОК
Настройка сайта и приложения в IIS
Запускаем Диспетчер служб IIS удобным для Вас способом, например: Win+R -> InetMgr
В левой части экрана раскрываем ветку с сайтами. Останавливаем сайт по умолчанию Default Web Site или модифицируем его, я предпочитаю делать отдельный.
Жмем ПКМ на сайты и выбираем пункт Добавить веб-сайт
Заполняем параметры сайта
Вместе с сайтом так же должен был создаться пул приложений с таким же названием.Переходим выше по ветке в раздел Пулы и приложений и находим наше приложение, в данном случае 1с
Выбираем наш пул приложений 1с и нажимаем в правой части Дополнительные параметры…
В Дополнительных параметрах находим строки:Версия среды .NET Framework — выбираем версию v.4.0+Разрешены 32-разрядные приложения и выбираем значение TrueВнимание! Если Вы будете публиковать x64 битную платформу 1С данное значение оставляем False,иначе будете получать ошибку 0x800700c1(Эта проблема возникает из-за неверного сопоставление сценариев. Убедитесь в том, что сопоставление сценария указывает на ISAPI DLL-файл, который может обработать запрос
Чтобы сделать это, выполните следующие действия.)Режим управляемого конвейера — выбираем значение Classic
Настройка доступа для группы IIS_IUSRS
Если группа найдена она станет подчеркнутой, жмем ОК.
Далее проставляем галочки необходимых прав:
— Чтение и выполнение— Список содержимого папки— Чтение
Тоже самое с правами, мы делаем для каталога куда установлена 1с и каталога куда развернута наша файловая база
Если Вы используете базу SQL, то Вам НЕ нужно задавать права на каталог с базой.Обращаем внимание, что для каталога с базой так же нужны права на запись!. Расположение файловой базы Вы можете посмотреть запустив 1С Предприятие
Расположение файловой базы Вы можете посмотреть запустив 1С Предприятие
Публикация 1с
Запускаем 1с Предприятие -> Конфигуратор -> Администрирование -> Публикация на веб-сервере…
Выбираем каталог где будут файлы сайта и жмем Опубликовать
Шаг 1. копирование файлов MSMDPUMP в папку на веб-сервере
Каждая создаваемая конечная точка HTTP должна иметь собственный набор файлов MSMDPUMP. На этом этапе необходимо скопировать исполняемый файл MSMDPUMP, файл конфигурации и папку ресурсов из папок программ служб Analysis Services в новую папку виртуального каталога. Эта папка будет создана в файловой системе компьютера, на котором выполняется служба IIS.
Диск должен быть отформатирован для работы с файловой системой NTFS. Путь к создаваемой папке не должен содержать пробелов.
-
скопируйте следующие файлы, которые находятся в <drive> папке: \program files \ Microsoft SQL Server \<instance > \OLAP\bin\isapi: MSMDPUMP.DLL, MSMDPUMP.INI и папка resources.
-
На веб-сервере создайте новую папку: <drive> : \Inetpub\wwwroot \ OLAP
-
Вставьте ранее скопированные файлы в эту новую папку.
-
Проверьте, чтобы в папке \inetpub\wwwroot\OLAP на веб-сервере содержалось следующее: файлы MSMDPUMP.DLL, MSMDPUMP.INI и папка Resources. Структура папки должна быть такой:
-
<drive>: \inetpub\wwwroot\OLAP\MSMDPUMP.dll
-
<drive>: \inetpub\wwwroot\OLAP\MSMDPUMP.ini
-
<drive>: \Инетпуб\ввврут\олап\ресаурцес
-
Примечание
Диспетчер IIS может не суметь подключиться к Analysis Services в текущей версии, если база данных является резервной копией из предыдущей. Это вызвано изменениями в MSMDPUMP и должно быть решено путем копирования msmdpump.dll файла из предыдущей рабочей версии.
Назначения Windows прав пользователей по умолчанию
В таблице в этом разделе перечислены локальные политики безопасности по умолчанию и пользователи, группы или пользователи и группы, которые назначены политике при установке IIS 7.0, IIS 7.5, IIS 8.0 или IIS 8.5.
Windows права пользователей, которые назначены локальной политикой безопасности
Разрешенные разрешения | Пользователи / группы |
---|---|
Доступ к данному компьютеру из сети | Все пользователи Администраторы Пользователи Операторы резервного копирования |
Настройка квот памяти для процесса | ЛОКАЛЬНАЯ СЛУЖБА NETWORK SERVICE Администраторы ApplicationPoolIdentity |
Разрешить вход локально | Администраторы Пользователи Операторы резервного копирования |
Проверка обхода обхода | Все пользователи ЛОКАЛЬНАЯ СЛУЖБА NETWORK SERVICE Администраторы Пользователи Операторы резервного копирования |
Создание сведений о аудите безопасности | ApplicationPoolIdentity |
Имитация клиента после проверки подлинности | ЛОКАЛЬНАЯ СЛУЖБА NETWORK SERVICE Администраторы СЛУЖБА |
Вход как пакетное задание | Администраторы Операторы резервного копирования Пользователи журнала производительности |
Вход в качестве службы | ApplicationPoolIdentity |
Замена маркера уровня процесса | ЛОКАЛЬНАЯ СЛУЖБА NETWORK SERVICE ApplicationPoolIdentity |
6 ответов
Лучший ответ
Я ненавижу публиковать свой собственный ответ, но в некоторых ответах недавно игнорировалось решение, которое я опубликовал в моем собственном вопросе, предлагая подходы, которые являются не чем иным, как безрассудством.
Вкратце — вам вообще не нужно изменять права учетной записи пользователя Windows . Это только сопряжено с риском. Процесс полностью управляется в IIS с использованием унаследованных привилегий.
Применение разрешений на изменение / запись к правильной учетной записи пользователя
Щелкните правой кнопкой мыши домен, когда он появится в списке сайтов, и выберите Изменить разрешения . На вкладке Безопасность вы увидите, что указан в списке. Это означает, что IIS автоматически имеет разрешение только для чтения в каталоге (например, для запуска ASP.Net на сайте). Вам не нужно редактировать эту запись .
Нажмите кнопку Изменить , затем Добавить …
В текстовом поле введите , заменив своим доменным именем или любым другим пулом приложений, обращающимся к вашему сайту, например
Нажмите кнопку Проверить имена
Введенный текст преобразуется (обратите внимание на подчеркивание):
Нажмите ОК , чтобы добавить пользователя. Выбрав нового пользователя (ваш домен), теперь вы можете безопасно предоставить любые разрешения Изменение или Запись
163
EvilDr
17 Июн 2020 в 09:25
Я бы использовал конкретного пользователя (а НЕ пользователя приложения). Затем я включу олицетворение в приложении. После того, как вы это сделаете, независимо от того, какая учетная запись установлена как конкретный пользователь, эти учетные данные будут использоваться для доступа к локальным ресурсам на этом сервере (не для внешних ресурсов).
Настройка конкретного пользователя специально предназначена для доступа к локальным ресурсам.
developer747
24 Фев 2013 в 01:20
Группа IIS_IUSRS имеет известность только в том случае, если вы используете ApplicationPool Identity. Несмотря на то, что эта группа выглядит пустой во время выполнения, IIS добавляет в эту группу для запуска рабочего процесса в соответствии с литературой Microsoft.
4
Ashburn RK
29 Июн 2017 в 14:56
@EvilDr Вы можете создать учетную запись IUSR_ в среде AD и позволить конкретному пулу приложений работать под этой учетной записью IUSR_ :
«Пул приложений»> «Дополнительные настройки»> «Удостоверение»> «Пользовательская учетная запись»
В расширенных настройках укажите для своего веб-сайта «Пользователь Applicaton (сквозная аутентификация)», а не «Определенный пользователь».
Теперь дайте этому IUSR_ соответствующие разрешения NTFS для файлов и папок, например: изменить данные компании.
4
Jan Reilink
21 Фев 2013 в 13:23
Когда я добавил разрешение IIS_IUSRS для папки сайта — ресурсы, такие как js и css, по-прежнему были недоступны (ошибка 401, запрещено). Однако когда я добавил IUSR — все стало нормально. Так что «вы НЕ МОЖЕТЕ удалить разрешения для IUSR, не беспокоясь», дорогой @Travis G @
6
Alexander
11 Июл 2014 в 11:37
IUSR является частью группы IIS_IUSER. Поэтому я думаю, вы можете удалить разрешения для IUSR, не беспокоясь. Дополнительная литература
Однако со временем возникла проблема, поскольку все больше и больше системных служб Windows начали работать как NETWORKSERVICE. Это связано с тем, что службы, работающие как NETWORKSERVICE, могут вмешиваться в работу других служб, работающих под тем же идентификатором. Поскольку рабочие процессы IIS по умолчанию запускают сторонний код (классический код ASP, ASP.NET, PHP), пришло время изолировать рабочие процессы IIS от других системных служб Windows и запустить рабочие процессы IIS с уникальными идентификаторами. Операционная система Windows предоставляет функцию под названием «Виртуальные учетные записи», которая позволяет IIS создавать уникальные идентификаторы для каждого из своих пулов приложений. DefaultAppPool — это пул по умолчанию, который назначается всем пулам приложений, которые вы создаете.
Чтобы сделать его более безопасным, вы можете изменить IIS DefaultAppPool Identity на ApplicationPoolIdentity.
Что касается разрешений, «Создать и Удалить» суммирует все права, которые могут быть предоставлены. Итак, все, что вы назначили группе IIS_USERS, — это то, что им потребуется. Ни больше ни меньше.
Надеюсь это поможет.
50
Travis G
28 Фев 2013 в 09:37
(Дополнительно) Развертывание путем публикации в локальной папке
Этот параметр можно использовать для развертывания приложения, если требуется скопировать приложение в IIS с помощью PowerShell или RoboCopy или скопировать файлы вручную.
Настройка веб-сайта ASP.NET на компьютере Windows Server
-
Откройте проводник Windows и создайте новую папку C:\Publish, где позже будет развернут проект ASP.NET.
-
Откройте узел Диспетчер служб IIS, если он еще не открыт. (В левой области диспетчер сервера выберите IIS. Щелкните сервер правой кнопкой мыши и выберите Диспетчер служб IIS.)
-
В разделе Подключения в левой области перейдите к пункту Сайты.
-
Нажмите Веб-сайт по умолчанию, выберите Основные параметры и задайте для параметра Физический путь значение C:\Publish.
-
Щелкните правой кнопкой мыши узел Веб-сайт по умолчанию и выберите команду Добавить приложение.
-
Задайте для поля Псевдоним значение MyASPApp, примите пул приложений по умолчанию (DefaultAppPool) и установите для параметра Физический путь значение C:\Publish.
-
В разделе Подключения выберите Пулы приложений. Откройте DefaultAppPool и задайте в поле пула приложений значение ASP.NET v4.0 (ASP.NET 4.5 не входит в список параметров для пула приложений).
-
Выбрав сайт в диспетчере служб IIS, нажмите Изменить разрешения и убедитесь, что IUSR, IIS_IUSRS или пользователь, настроенный для пула приложений, является полномочным пользователем с правами на чтение и выполнение. Если ни одного из этих пользователей не указано, добавьте учетную запись IUSR в качестве пользователя с правами на чтение и выполнение.
Публикация и развертывание приложения путем публикации в локальной папке из Visual Studio
Можно также опубликовать и развернуть приложение с помощью файловой системы или других средств.
-
(ASP.NET 4.5.2) Убедитесь в том, что в файле web.config указана правильная версия .NET. Например, если вы нацелены на ASP.NET 4.5.2, убедитесь, что эта версия указана в файле web.config.
Например, версия должна быть 4.0 при установке ASP.NET 4 вместо 4.5.2.
-
В обозревателе решений щелкните правой кнопкой мыши узел проекта и выберите пункт Опубликовать (или Опубликовать веб-приложение для ASP.NET Web Forms).
Если ранее вы настроили какие-либо профили публикации, появится панель Опубликовать. Щелкните Новый профиль.
-
В диалоговом окне Публикация выберите элемент Папка, щелкните элемент Обзор и создайте новую папку C:\Publish.
Щелкните Готово, чтобы сохранить профиль публикации.
Для приложения ASP.NET Web Forms выберите элемент Пользовательский в диалоговом окне «Публикация», затем введите имя профиля и нажмите кнопку ОК.
В раскрывающемся списке выберите элемент Создать профиль (по умолчанию выбрано значение Публикация).
-
Переключитесь на конфигурацию отладки.
Выберите Изменить, чтобы изменить профиль,а затем — Параметры. Выберите конфигурацию Отладка, а затем выберите Удалить дополнительные файлы в пункте назначения в параметрах Публикация файла.
В диалоговом окне Параметры включите отладку, нажав кнопку Далее, выберите конфигурацию Отладка, а затем выберите Удалить дополнительные файлы в пункте назначения в параметрах Публикация файла.
Observação
Если вы используете сборку выпуска, отладку можно отключить при публикации в файле web.config.
-
Нажмите кнопку Опубликовать.
Приложение публикует конфигурации отладки для проекта в локальной папке. Сведения о ходе выполнения отображаются в окне вывода.
-
Скопируйте каталог проекта ASP.NET с компьютера, где установлен набор средств Visual Studio, в локальный каталог на компьютере Windows Server, который вы настроили для приложения ASP.NET (в нашем примере это C:\Publish). В этом руководстве предполагается, что вы копируете файлы вручную. Но вы можете использовать и другие средства, например PowerShell, XCOPY или Robocopy.
Cuidado
Если вам потребуется внести изменения в код или повторно скомпилировать его, повторите публикацию и описанный выше процесс. Исполняемый файл, скопированный на удаленный компьютер, должен в точности совпадать с локальным исходным кодом и символами. Если этого не сделать, вы получите предупреждение в Visual Studio при попытке отладки процесса.
-
На компьютере Windows Server убедитесь, что приложение успешно запускается, открыв его в браузере.
Ошибки в работе приложения могут быть связаны с несоответствием версий ASP.NET, установленных на сервере и на компьютере Visual Studio, либо с неверной конфигурацией IIS или веб-сайта. Проверьте все выполненные выше шаги.
Обзор задач
Чтобы настроить веб-сервер на прием и развертывание веб-пакетов с удаленного компьютера с помощью обработчика веб-развертывание, вам потребуется:
- Создайте или выберите учетную запись пользователя домена («пользователь без прав администратора»), учетные данные которого будут использоваться для выполнения развертываний.
- Установите IIS 7,5, включая службу веб-управления и модуль обычной проверки подлинности.
- Установите веб-развертывание 2,1 или более поздней версии.
- Настройте службу веб-управления, чтобы разрешить удаленные подключения, и запустите службу.
- Создайте веб-сайт IIS для размещения развернутого содержимого.
- Предоставьте пользователям, не являющимся администраторами, разрешения на веб-сайт в диспетчере служб IIS.
- Убедитесь, что правила делегирования службы веб-управления позволяют службе добавлять и изменять содержимое веб-сайта с помощью учетной записи пользователя без прав администратора.
- Настройте все брандмауэры, разрешающие входящие подключения через порт 8172.
Чтобы разместить пример решения ContactManager в частности, вам потребуется:
- Установите .NET Framework 4,0.
- Установите ASP.NET MVC 3.
В этом разделе будет показано, как выполнить каждую из этих процедур. В задачах и пошаговых руководствах этого раздела предполагается, что вы начинаете с чистой серверной сборки под Windows Server 2016. Прежде чем продолжить, убедитесь в том, что:
- Windows Server 2016
- Сервер присоединен к домену.
- Сервер имеет статический IP-адрес.
Note
Дополнительные сведения о присоединении компьютеров к домену см. в разделе Присоединение компьютеров к домену и вход в систему. Дополнительные сведения о настройке статических IP-адресов см. в статье Настройка статического IP-адреса.
Ошибка HTTP 401.2 — Unauthorized
дабы избавиться от ошибки правим web.config сформированный 1С следующим образом:
Эта правка эквивалента изменению через консоль управления IIS для нашего опубликованного приложения с именем wsIIS правил авторизации пользователя.
Настройки IIS 7.5 для доступа к web сервисам 1C
Добавление тегов security в web.config или правка правил авторизации в консоли IIS приводит к тому, что при обращении к сервису по указанной выше ссылке появляется запрос на авторизацию. Вводим нашего тестового пользователя IUSR без пароля и получаем нужный XML файл в ответе сервера.
Прописав в default.vrd логин и пароль пользователя, как было указано выше для Apache, уберем окно авторизации и сервис будет всегда авторизовываться под указанным пользователем. Как проходит авторизация можно посмотреть в логах 1C. Но вариант с прописыванием пользователя в конфигурационный файл — не наш путь, ибо не секьюрно.
Изменим настройки авторизации пользователя (в IIS проверка подлинности), чтобы использовалась Windows авторизация. Сменить можно в консоли управления IIS, либо в конфигурационном файле. Мне больше нравиться конфигурационный файл. так как проще переносить настройки при миграции на другой сервер.
Поскольку изменения секции web.config <authentication> заблокированы на уровне IIS в файле
%windir%\system32\inetsrv\config\applicationHost.config
Предварительные требования
В инструкциях данной статьи предполагается, что службы IIS уже настроены, а службы Analysis Services уже установлены. Windows Server 2012 поставляется с IIS 8.x в виде роли сервера, которую можно включить в системе.
Дополнительная настройка в IIS 8.0
В конфигурациях по умолчанию служб IIS 8.0 отсутствуют компоненты, необходимые для доступа к службам Analysis Services по протоколу HTTP. В число таких компонентов, которые находятся в областях компонентов Безопасность и Разработка приложений роли Веб-сервер (IIS) , входят следующие.
-
Безопасность | Windows проверку подлинности или обычную проверку подлинности, а также любые другие функции безопасности, необходимые для вашего сценария доступа к данным.
-
Разработка приложений | CGI
-
Разработка приложений | Расширения ISAPI
Чтобы проверить или добавить эти компоненты, используйте Диспетчер сервера | Управление | добавлением ролей и компонентов. Выполните все шаги мастера, пока не дойдете до страницы Роли сервера. Прокрутите вниз, чтобы найти пункт Веб-сервер (IIS).
-
Откройте безопасность веб-сервера | и выберите методы проверки подлинности.
-
Откройте разработку приложений веб-сервера | и выберите расширения CGI и ISAPI.
Если службы IIS запущены на удаленном сервере
Для удаленного подключения между службами IIS и Analysis Services необходимо установить поставщик OLE DB служб Analysis Services (MSOLAP) на сервере Windows, где запущены службы IIS.
-
Перейдите на страницу загрузки пакета дополнительных компонентов SQL Server 2014
-
Щелкните красную кнопку «Скачать».
-
Прокрутите вниз, чтобы найти ENU\x64\SQL_AS_OLEDB.msi
-
Выполните инструкции мастера, чтобы завершить установку.
Примечание
Не забудьте разблокировать порты в брандмауэре Windows, чтобы он разрешал клиентские подключения к удаленному серверу служб Analysis Services. Дополнительные сведения см. в статье Configure the Windows Firewall to Allow Analysis Services Access.