SOAP-Webservices und der IIS, Authentifizierungs-Probleme

JasGo erstellt 25 Feb. 2011 10:26

Hallo zusammen,

normalerweise beziehen sich meine Fragen auf den Sharepoint-Designer, aber ich habe das Gefühl, hier komme ich in Bereiche Administration, Dienste und Sharepoint-Architektur. Ausgangspunkt sind Probleme mit SOAP-Webservices von Sharepoint Designer 2010 aus. Ein Datenansichtswebpart zieht sich Daten z.B. aus Listen über einen von Sharepoint standardmäßig bereitgestellten Webservice. Das hat den Vorteil, daß man unabhängig vom Pfad auf Daten anderer Sites zugreifen kann oder auf AD-Userdaten zugreifen kann.

• Früher ;-) war der Zugriff auf einen der Webservices unter _vti_bin/foo.asmx stets ohne Authentifizierung möglich, was ich auch insofern logisch fand, daß der Webservice nur die Daten angezeigt hat, die für den aktuellen Benutzer erlaubt waren. Ich schloß daraus, daß die Anfrage über das jeweils aufrufende Benutzerkonto lief. 
• Jetzt geht dies (in zwei separaten Umgebungen, einmal Foundation auf IIS 7.0 Windows Server 2008, eine große Server/Enterprise-Umgebung) nicht mehr, und die Logs (IIS7) zeigen z.B. folgendes:
  • SOAP exception: System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (401) Nicht autorisiert.
    bei System.Net.HttpWebRequest.GetResponse()    
    bei Microsoft.SharePoint.WebControls.SoapDataSource.GetResponseString(SoapCommand currentSoapCommand)    
    bei Microsoft.SharePoint.WebControls.SoapDataSource.ExecuteInternal(SoapCommand currentSoapCommand)    
    bei Microsoft.SharePoint.WebControls.BaseXmlDataSource.Execute(String request)    
    bei Microsoft.SharePoint.WebControls.BaseXmlDataSource.GetXmlDocument()    
    bei Microsoft.SharePoint.WebControls.SingleDataSource.GetXMLDomInternal(ResultContentType eQueryType)    
    bei Microsoft.SharePoint.WebControls.SingleDataSource.GetXMLDom(ResultContentType eQueryType)    
    bei Microsoft.SharePoint.SoapServer.WebPartPagesWebService.G...   
  • Dies passiert sowohl bei SOAP-Webservices mit der Einstellung "nicht authentifizieren" und "Mit Username/Passwort im Klartext" authentifizieren (hier: Domain\Username + Passwort). Windows-Auth trifft in der Umgebung nicht zu. 
• Recherchen führten mich zu der IIS-Konfiguration im IIS-Manager. Dort kann man bei den Application Pools unter Eigenschaften-Identität die Identität des Anwendungspools (den der SP-Site) modifizieren. Ein Anwender im Netz gab hier den Tipp, unter "Vordefiniert" "Local System" auszuwählen (default war auf der Testumgebung: Administrator-Konto). In der 2007er-Umgebung habe ich hier einen festen Benutzernamen (nicht Admin, Datenbankuser) gehabt. Das Ergebnis ist jedoch bei beiden Einstellungen negativ (iisreset etc. natürlich durchgeführt). 
• Wie läuft die Authentifizierung für Webservices hier ab? Ist die Identität des Application Pools hier tatsächlich "zuständig"?  Was hat sich bei der Behandlung von Webservices gegenüber SP2007  geändert? (außer daß Datenquellen im Sharepoint Designer insgesamt deutlich schlechter zu handhaben sind ;-))
• Wer hat eine Idee, was hier das Problem sein könnte? Das ist so ein klassischer Fall, wo ich als Designer, Site Owner, Power-User usw. mich ebensowenig zuständig oder kompetent fühle wie der Administrator, der ja nichts mit meinen Webservices zu tun hat... Umso mehr, als der SPD mehr und mehr als "No-Code"-Anwendung verkauft wird.

Danke für jeden Hinweis