我有一个三服务器 SharePoint 2007 MOSS 环境,其中我的 IIS 日志继续受到 401.1 和 401.2 的攻击。这些日志太满了,以至于消耗了我的硬盘。我可以从 IP 看出这些错误来自我的前端 Web 服务器之一的 POST 请求。这是永远重复的日志序列。 (xxx IP都是一样的)
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 MyDomain\SQLSAServiceAccount xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 200 0 0
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 - xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 401 2 2148074254
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 - xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 401 1 0
我真的需要一些帮助来理解它的来源。
感谢您的想法和想法。
401.1 和 401.2 是 SP 的典型错误。
首先,如果您将 SP 设置为使用 NTLM,请移至 kerberos(这需要在域上进行操作)或强制 NTLM 作为唯一的身份验证提供程序:
c:\inetpub\adminscripts\adsutils.vbs 设置 w3svc\root\xxxxx\NTAuthenticationProvider NTLM
描述了该过程here http://support.microsoft.com/kb/326985.
如果您使用的是 IIS 7,则必须使用appcmd如上所述的命令here http://technet.microsoft.com/fr-fr/library/cc754628%28WS.10%29.aspx
然后,在某些情况下,一个环回检查已经完成了。当使用自定义主机标头从同一个盒子发出网络请求并发送到同一盒子时,就会发生这种情况。可以使用所描述的过程将其禁用或在注册表中列入白名单here http://support.microsoft.com/kb/896861。请努力将您的主机名列入白名单,而不是禁用检查,因为它可能会在您的 SI 中造成安全漏洞。
[编辑] 根据 James 评论,添加了将主机名列入白名单而不是禁用安全检查的建议
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
