| Elementname | Beschreibung |
|---|
Nicht aktiviert | Deaktiviert den Sitzungszustand. |
In-Process | Speichert Sitzungszustandsdaten für eine Anwendung mit verwaltetem Code in dem Arbeitsprozess, in dem die Anwendung ausgeführt wird. Dies ist die Standardeinstellung. |
Benutzerdefiniert | Konfiguriert IIS für die Verwendung eines benutzerdefinierten Anbieters, um den Sitzungszustand für ASP.NET-Anwendungen zu behandeln. |
Zustandsserver | Aktiviert den Windows-Zustandsdienst Aspnet_state.exe und speichert den Sitzungszustand außerhalb des Arbeitsprozesses, in dem die Anwendung ausgeführt wird. Der Vorteil dieser Konfiguration ist, dass der Sitzungszustand beibehalten wird, wenn der Arbeitsprozess der Anwendung wiederverwendet wird. Die Verwendung eines Zustandsservers wird für mittelgroße Webanwendungen empfohlen. Die konfigurierbaren Einstellungen sind: - Verbindungszeichenfolge – Legt die Verbindungszeichenfolge fest, die zum Herstellen einer Verbindung mit dem Zustandsserver verwendet wird.
- Timeout (in Sekunden) – Legt den Zeitraum in Sekunden fest, für den die Verbindung beibehalten wird. Die Standardeinstellung ist 10 Sekunden.
 | Wichtig | | Der Windows-Zustandsdienst (Aspnet_state.exe) muss ausgeführt werden, damit der Out-of-Process-Sitzungszustand verwendet werden kann. Standardmäßig wird dieser Dienst mit ASP.NET installiert und für den manuellen Start konfiguriert. Sie müssen das Startverhalten in Automatisch ändern. |
|
SQL Server | Konfiguriert IIS für die Verwendung einer SQL Server-Datenbank zum Speichern von Sitzungszustandsdaten, sodass diese nicht in dem Arbeitsprozess gespeichert werden, in dem die Anwendung ausgeführt wird. Der Vorteil dieser Konfiguration besteht darin, dass der Sitzungszustand beibehalten wird, wenn der Arbeitsprozess der Anwendung wiederverwendet wird oder wenn der Windows-Zustandsdienst oder der Webserver ausfallen. Die konfigurierbaren Einstellungen sind: - Verbindungszeichenfolge – Legt die Verbindungszeichenfolge fest, die zum Herstellen einer Verbindung mit dem Zustandsserver verwendet wird.
- Timeout (in Sekunden) – Legt den Zeitraum in Sekunden fest, für den die Verbindung beibehalten wird. Die Standardeinstellung ist 10 Sekunden.
| Wichtig | | Bevor Sie SQL Server für den Sitzungszustand konfigurieren können, müssen Sie das Skript InstallSqlState.sql auf dem Server ausführen. Standardmäßig ist dieses Skript unter systemroot\Microsoft.NET\Framework\V2.0.50727 gespeichert. |
|
Benutzerdefinierte Datenbank aktivieren | Aktiviert eine benutzerdefinierte SQL Server-Datenbank zum Speichern von Sitzungszustandsdaten. |
Modus | Definiert, wie Cookies zum Speichern von Sitzungszustandsdaten verwendet werden. Die Optionen lauten: - Automatisch erkennen – Verwendet Cookies, wenn der Browser Cookies unterstützt, andernfalls werden keine Cookies verwendet. Bei Desktopbrowsern, von denen bekannt ist, dass sie Cookies unterstützen, versucht ASP.NET Cookies zu verwenden, sofern die Cookieunterstützung im Browser aktiviert ist. Wenn Sie den Cookiemodus Automatisch erkennen verwenden, sollten Sie erzwingen, dass abgelaufene Sitzungs-IDs neu generiert werden. Mit dieser Einstellung lässt der Webserver Token ablaufen und erstellt diese dann neu. Dadurch haben mögliche Angreifer weniger Zeit, ein Cookie abzufangen und Zugriff auf den Inhalt des Webservers zu erhalten. Sie sollten außerdem den Timeoutwert in einen kleineren Wert als den Standardwert von 20 Minuten ändern.
- Cookies verwenden – Ordnet den Clientinformationen Sitzungsinformationen für die Dauer einer Benutzerverbindung mit einer Website zu. Cookies werden zusammen mit allen Anforderungen zwischen einem Client und einem Webserver in einem HTTP-Header übertragen. Die Verwendung von Cookies bietet ein effizienteres Verfahren für das Verfolgen von Sitzungszuständen als die anderen Verfahren ohne Cookies, da für Cookies keine Umleitung erforderlich ist. Außerdem können Benutzer mithilfe von Cookies Webseiten zu ihren Favoriten hinzufügen. Dadurch wird der Zustand beibehalten, wenn ein Benutzer eine Website verlässt, um eine andere Website aufzurufen, und dann zur ursprünglichen Website zurückkehrt.
 | Hinweis | | Sie sollten den Timeoutwert in einen kleineren Wert als den Standardwert von 20 Minuten ändern, damit mögliche Angreifer weniger Zeit haben, ein Cookie abzufangen und Zugriff auf den Inhalt der Website zu erhalten. |
- Geräteprofil verwenden – Verwendet Cookies, wenn das Geräteprofil Cookies unterstützt, andernfalls werden keine Cookies verwendet. Wenn das Geräteprofil eine Cookieunterstützung angibt, werden sie unabhängig davon verwendet, ob der Benutzer die Cookieunterstützung deaktiviert hat. Wenn Sie den Cookiemodus Geräteprofil verwenden festlegen, sollten Sie erzwingen, dass abgelaufene Sitzungs-IDs neu generiert werden. Mit dieser Einstellung lässt der Webserver Token ablaufen und erstellt diese dann neu. Dadurch haben mögliche Angreifer weniger Zeit, ein Cookie abzufangen und Zugriff auf den Inhalt des Webservers zu erhalten. Sie sollten außerdem den Timeoutwert in einen kleineren Wert als den Standardwert von 20 Minuten ändern.
- URI verwenden – Bettet die Sitzungs-ID als Abfragezeichenfolge in die URI (Uniform Resource Identifier)-Anforderung ein. Dieser URI wird dann an die ursprünglich angeforderte URL umgeleitet. Die geänderte URI-Anforderung wird für die Dauer der Sitzung verwendet, sodass kein Cookie erforderlich ist. Wenn Sie einen URI verwenden, sollten Sie erzwingen, dass abgelaufene Sitzungs-IDs neu generiert werden. Mit dieser Einstellung lässt der Webserver Token ablaufen und erstellt diese dann neu. Dadurch haben mögliche Angreifer weniger Zeit, ein Cookie abzufangen und Zugriff auf den Inhalt des Webservers zu erhalten.
|
Name | Legt einen Namen für das Cookie fest. Der Standardwert ist ASP.NET_SessionID. |
Timeout (in Minuten) | Legt die Zeitspanne in Minuten fest, für die ein Cookie beibehalten wird. Die Standardeinstellung ist 20 Minuten. |
Abgelaufene Sitzungs-ID erneut generieren | Weist IIS an, Sitzungs-IDs abzuweisen und neu auszugeben, denen keine aktive Sitzung in der Datenbank zugeordnet ist. Dieses Feature wird standardmäßig nur für Sitzungs-IDs ohne Cookies unterstützt, Sie können dieses Feature aber erweitern, um Cookies/zufällige Sitzungs-IDs durch Implementieren eines benutzerdefinierten Managers für Sitzungs-IDs zu verwalten. |
Hostingidentität für Identitätswechsel verwenden | Aktiviert die Windows-Authentifizierung und Hostprozess-IDs (entweder ASP.NET oder eine Windows-Dienst-ID) für Remoteverbindungen. |