Avatar billede netroam Nybegynder
18. september 2009 - 13:40 Der er 15 kommentarer og
1 løsning

Rettigheder til upload bibliotek i IIS

Jeg har et problem. Jeg står som administrator i vores firma-netværk, og jeg har lavet nogle web-applikationer som vores medarbejdere kan benytte til at gøre deres hverdag nemmere og mere fleksibel.

En af applikationer er en formular, som brugerne udfylder, som sender en mail til de rette vedkommende. I formularen er der mulighed for at uploade en fil - enten Word, Excel, Powerpoint, PDF eller JPG. Alt dette virker som det skal.

Problemet er derimod rettighederne til den upload-mappe, jeg har lavet på web-serveren. Jeg har gjort ALT hvad jeg overhovedet kan for at give den mappe de rettigheder, der er behov for. Alligevel bliver mange af vores brugere bedt om at indtaste brugernavn og password for at få lov til at se et billede, der ligger i det upload-bibliotek. Og det er vel at mærke bare ved at klikke på et alm. link på en intranet-side.

Hvordan kan det være og hvad kan jeg gøre? Er der evt. noget, jeg kan have overset?
Avatar billede kgkg Nybegynder
18. september 2009 - 20:56 #1
Hvilken IIS version?
Hvilket OS?
Avatar billede netroam Nybegynder
22. september 2009 - 12:58 #2
Det er en Windows Server 2003 og IIS-versionen er 6.0 som standard i sådan et OS.

Undskyld forsinkelsen med svaret.
Avatar billede kgkg Nybegynder
22. september 2009 - 13:17 #3
Hvilke NTFS rettigheder er der på mappen med problemer?

Lav evt. nogle skærmdumps af Egenskabs dialogboksen på den pågældende mappe.
Avatar billede netroam Nybegynder
23. september 2009 - 11:41 #4
Jeg har sådan set prøvet alt mht. rettigheder. Givet Full Control til "Everyone", til Internet Guest Account og til den security group vi har lavet for at give adgang til alle ansatte.

Jeg ved ikke, hvad jeg ellers skal gøre for at give de rette rettigheder.
Avatar billede kgkg Nybegynder
23. september 2009 - 20:52 #5
Har du nogen deny politikker?

Du ved godt at en deny regel vinder over en allow regel.

Har du fjernet de nedarvede objekter, så der ikke er nogen deny regler som nedarves.
Avatar billede netroam Nybegynder
24. september 2009 - 09:11 #6
Der er ingen deny politikker på den mappe. Også selvom der er nedarvede objekter så har jeg aldrig sat en deny politik op.
Avatar billede kgkg Nybegynder
24. september 2009 - 19:56 #7
Prøv at køre AccessChk fra www.sysinternals.com og se hvem der har hvilke rettigheder.

Du finder det her: http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx

Du kan også se den her: http://support.microsoft.com/kb/271071
Avatar billede netroam Nybegynder
01. oktober 2009 - 15:46 #8
Det ser ud til, sådan som jeg ser det nu, at Internet Guest Account på web-serveren konstant går hen og låser dig selv ude. Altså at kontoen er Locked Out.

Hvordan kan man undgå, at den konstant går i locked out mode?
Avatar billede kgkg Nybegynder
01. oktober 2009 - 16:39 #9
Får du nogen fejl i eventloggen?
Avatar billede netroam Nybegynder
02. oktober 2009 - 13:51 #10
Den laver følgende fejl i Event Loggen under Security:


Logon attempt by:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account:    IUSR_F02WEB-DKVAM01
Source Workstation:    F02WEB-DKVAM01
Error Code:    0xC0000234

eller

Logon attempt by:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account:    IUSR_F02WEB-DKVAM01
Source Workstation:    F02WEB-DKVAM01
Error Code:    0xC000006A


Næste "Failure Audit" siger så følgende:

Logon Failure:
    Reason:        Unknown user name or bad password
    User Name:    IUSR_F02WEB-DKVAM01
    Domain:        F02WEB-DKVAM01
    Logon Type:    8
    Logon Process:    Advapi 
    Authentication Package:    Negotiate
    Workstation Name:    F02WEB-DKVAM01
    Caller User Name:    F02WEB-DKVAM01$
    Caller Domain:    ZF
    Caller Logon ID:    (0x0,0x3E7)
    Caller Process ID:    3048
    Transited Services:    -
    Source Network Address:    -
    Source Port:    -


Når Accounten så er locked out, og man igen forsøger at logge på anonymt eller via IUSR_F02WEB-DKVAM01, så kommer den med følgende fejl.


Logon Failure:
    Reason:        Account locked out
    User Name:    IUSR_F02WEB-DKVAM01
    Domain:    F02WEB-DKVAM01
    Logon Type:    8
    Logon Process:    Advapi 
    Authentication Package:    Negotiate
    Workstation Name:    F02WEB-DKVAM01
    Caller User Name:    F02WEB-DKVAM01$
    Caller Domain:    ZF
    Caller Logon ID:    (0x0,0x3E7)
    Caller Process ID: 11500
    Transited Services: -
    Source Network Address:    -
    Source Port:    -


Jeg vil gå ud fra, at det er et forkert password, men folk bliver ikke spurgt om password for at få lov til at bruge Internet Guest Account. Hvad er egentlig standard passwordet til den bruger?
Avatar billede kgkg Nybegynder
02. oktober 2009 - 14:20 #11
Den logon process som laver ballade, ser ud til at være Advapi.

Hvis man googler: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 fejlen, så støder man på flere meddelelser om at det er en virus. Men også flere som absolut ikke handler om virus.

Se nedenstående links og få foretaget en virus scanning af computeren. For at få udelukket at det er en virus der driller.

http://www.spycheck.dk/genera.php?processfile=advapi.exe&dir=a&pag=27

http://blogs.msdn.com/puneetgupta/archive/2007/08/20/unknown-username-or-bad-password-inetinfo-exe-advapi.aspx

Næste gang du får fejlen, så identificer den process ID som laver fejlen, så er der lidt mere at fejlsøge på. Der vil være en Caller Process ID: xxx i eventloggen. Brug Process Explorer fra www.sysinternals.com til at få fat i Process ID'en
Avatar billede netroam Nybegynder
13. oktober 2009 - 15:49 #12
Hej kgkg

Undskyld den lange ventetid. Work-loadet på arbejdet har været sindssygt.

Jeg forsøgte at finde den process ID, som lavede fejlen, og kørte også en virus scanning (som ikke gav noget resultat). Det viser sig, at det er en proces, der hedder w3wp.exe, som forårsager fejlen (Process ID: 13492). Den fil er åbenbart en form for IIS Worker Process.

What to do nu? :)
Avatar billede kgkg Nybegynder
19. oktober 2009 - 19:53 #13
Jeg er ved at løbe tør for ideer. Men kan pt. komme på 2:

1. Reset IUSR_xxx password.

Se artiklen her:
http://technet.microsoft.com/en-us/library/bb693984.aspx

Hvis du ikke lige har lyst til dette, så ville jeg:

1a. Afinstallere IIS'en.
Omdøbe Internet Guest Accounten til noget andet. Den oprettes automatisk igen ved installation af IIS'en. Men det er vigtigt at den ikke eksistere mere, da den ellers ikke oprettes på ny med de rette credentials.

2a. Omdøbe Inetpub mappen, så den og oprettes på ny med de rette credentials.

3a. Kopier filer fra gammel InetPub mappe og sæt NTFS rettigheder på upload mappen.


Husk backup inden du begynder at lege...
Avatar billede netroam Nybegynder
20. oktober 2009 - 12:31 #14
Jeg må indrømme, at jeg også var ved at løbe tør for ideer.

Jeg prøvede i går at gå helt tilbage til basics og resette IUSR-passwordet og sørgede også for, at passwordet var ens under Egenskaber for Default Website. Det viste sig åbenbart at klare tricket. Den ryger ihvertfald ikke længere i Failure Audit, og det er jo positivt.

MEN - så fik jeg pludselig et andet problem. Og det problem var, at ALLE pludselig loggede på som anonym bruger, og det fuckede min PHP-programmering op. Grunden til det er nemlig, at jeg i programmeringen har lavet en $_SERVER["REMOTE_USER"]. Den gør, at brugeren ikke behøver logge ind for at udfylde en formular, men at formularen tager login-navnet fra computeren og lægger i databasen. Den virkede pludselig ikke, og det gav ramaskrig i organisationen.

Jeg fjernede derfor helt muligheden for at logge på anonymt via Internet Guest Account og lod folks Windows Credentials være det, der identificerer deres færden på intranettet. Det viste sig at være den ultimative løsning, da de nu KAN se de uploadede ting, som var det oprindelige problem, jeg havde - udover at alt andet selvfølgelig stadig virker som det skal.

Jeg vil gerne give dig pointsene alligevel for en super og ihærdig indsats. Læg et svar, og så får du dem :)
Avatar billede kgkg Nybegynder
20. oktober 2009 - 15:49 #15
Det lyder meget fornuftigt at du har fjernet den anonyme adgang.

Og her har du et svar:)
Avatar billede netroam Nybegynder
20. oktober 2009 - 21:02 #16
Så er der givet points. Mange tak for hjælpen igen!!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester