我有一个三服务器SharePoint 2007 MOSS环境,我的IIS日志继续受到401.1和401.2的攻击。这些日志填满了他们消耗我的硬盘。我可以从IP告诉我们这些错误来自我的一个前端Web服务器的POST请求。以下是永远重复的日志序列。 (xxx IP都是一样的)
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 MyDomain\SQLSAServiceAccount xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 200 0 0
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 - xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 401 2 2148074254
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 - xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 401 1 0
我真的需要一些帮助,试图了解其来源。
感谢您的想法和想法。
答案 0 :(得分:5)
401.1和401.2是SP的经典错误。
首先,如果您将SP设置为使用NTLM,请移至kerberos(需要在域上操作)或强制NTLM作为唯一的身份验证提供程序:
c:\ inetpub \ adminscripts \ adsutils.vbs设置w3svc \ root \ xxxxx \ NTAuthenticationProvider NTLM
该过程描述为here。
如果您使用的是IIS 7,则必须使用here所述的appcmd命令
然后,在某些情况下,完成环回检查。当使用自定义主机标头从同一个框完成webrequest时会发生这种情况。可以使用描述here的过程在注册表中禁用此选项或使用白名单。请努力白名单列出主机名,而不是禁用支票,因为它可能会在您的SI中打开安全漏洞。
[编辑]根据James的评论,添加了将主机名列入白名单而不是禁用安全检查的建议
答案 1 :(得分:1)
这些并非真正的错误。您的前端Web服务器(客户端)正在连接到服务器,服务器正在响应401 - 表示客户端需要进行身份验证。
然后客户端使用身份验证令牌重新启动...