WCF - Windows 身份验证 - 安全设置需要匿名

Question

我正在努力让 WCF 服务在我们服务器上的 IIS 上运行。部署后，我最终收到一条错误消息：

此服务的安全设置需要“匿名”身份验证，但托管此服务的 IIS 应用程序未启用它。

我想使用 Windows 身份验证，因此我禁用了匿名访问。另请注意，还有 aspNetCompatibilityEnabled（如果这有什么不同的话）。

这是我的 web.config：

<system.serviceModel>
    <serviceHostingEnvironment aspNetCompatibilityEnabled="true" />
    <bindings>
        <webHttpBinding>
            <binding name="default">
                <security mode="TransportCredentialOnly">
                    <transport clientCredentialType="Windows" proxyCredentialType="Windows"/>
                </security>
            </binding>
        </webHttpBinding>
    </bindings>
    <behaviors>
        <endpointBehaviors>
            <behavior name="AspNetAjaxBehavior">
                <enableWebScript />
                <webHttp />
            </behavior>
        </endpointBehaviors>
        <serviceBehaviors>
            <behavior name="defaultServiceBehavior">
                <serviceMetadata httpGetEnabled="true" httpsGetEnabled="false" />
                <serviceDebug includeExceptionDetailInFaults="true" />
                <serviceAuthorization principalPermissionMode="UseWindowsGroups" />
            </behavior>
        </serviceBehaviors>
    </behaviors>
    <services>
        <service name="xxx.Web.Services.RequestService" behaviorConfiguration="defaultServiceBehavior">
            <endpoint behaviorConfiguration="AspNetAjaxBehavior" binding="webHttpBinding"
             contract="xxx.Web.Services.IRequestService" bindingConfiguration="default">
            </endpoint>
            <endpoint address="mex" binding="mexHttpBinding" name="mex" contract="IMetadataExchange"></endpoint>
        </service>
    </services>
</system.serviceModel>

我在整个互联网上搜索都没有运气。非常感谢任何线索。

Answer 1

所以这似乎是一个很常见的问题。关键是从绑定中删除 mex：

<endpoint address="mex" binding="mexHttpBinding" name="mex" contract="IMetadataExchange"></endpoint>

您也可以在 IIS 中启用匿名访问，并在您的 web.config 中确保匿名访问被拒绝。

希望这会帮助其他人。 （我 100% 确定我在删除 mex 的情况下尝试过。:-O）

Answer 2

您可以查看此one。 我设法让它按预期工作。

<configuration>
  ...
  <system.serviceModel>
    ...
    <bindings>
      <basicHttpBinding>
        <binding>
          <security mode="TransportCredentialOnly">
            <transport clientCredentialType="Windows" />
          </security>
        </binding>
      </basicHttpBinding>
    </bindings>
    ...
  </system.serviceModel>
  ...
</configuration>

Answer 3

也只需将您的服务绑定用于 mex。

所以改变你当前的配置：

<endpoint address="mex" binding="mexHttpBinding" name="mex" contract="IMetadataExchange"></endpoint>

到

<endpoint address="mex" binding="webHttpBinding" bindingConfiguration="default" name="mex" contract="IMetadataExchange"></endpoint>

应该可以解决问题

Answer 4

可以并且在某些情况下必须为服务启用匿名身份验证，但不能为网站启用。

因此，请检查您网站的“root”身份验证是否仅启用了 Windows 身份验证。然后展开您的站点，选择“服务”文件夹并确保您的服务启用了 Windows 和匿名身份验证。

我有相同的工作环境，这些环境的唯一区别是服务的身份验证。在我的情况下，问题不是由选定的提供商（Ntlm 或 Negotiate）引起的，而是由站点和服务的身份验证设置引起的。

至少我与基本的 MSSQL 主数据服务网站和服务有相同的错误消息，这就是解决方案。仅运行服务时我确实收到了错误，但站点运行几乎正常，MDS Explorer 无法正常工作，因为服务的身份验证设置一开始是错误的。此错误配置的原因可能是创建新 MDS 站点时 MDS 配置管理器中的错误？

所以在我的情况下，问题不是通过对 web.config 或 ApplicationHost.config 文件进行任何特殊编辑来解决，我没有对配置文件进行任何编辑。只需为网站选择正确的身份验证设置，并在 IIS 管理器中提供服务。我不确定这里是不是这样，但也许值得一试？

Answer 5

当我删除“mex”端点并设置 clientCredentialType = 'Ntlm' 时，它对我有用 我在 SharePoint 中托管我的 WCF。

Answer 6

是的，您似乎需要完全删除 mex 端点。设置

<serviceMetadata httpGetEnabled="false"/>

单独是行不通的。谢谢！

Answer 7

其他解决方案：

您只需确保服务名称和合同正确无误。

希望它在某些方面有所帮助。

Answer 8

这个 MEX 绑定问题似乎已在 .NET 4.0 中得到修复。将我们服务器的 App Pool .NET CLR 版本从 2.0 更改为 4.0 解决了这个问题。