Назад | Перейти на главную страницу

IIS6: пул приложений с выделенным удостоверением пользователя службы вызывает сбой встроенной проверки подлинности

Я использую IIS6 и asp.net 3.5 SP1.

Я решил, что у моего веб-приложения asp.net должен быть выделенный пул приложений и выделенное удостоверение, поскольку этому удостоверению предоставляется доступ к конфиденциальной общей папке, которую использует веб-приложение. Веб-приложение использует встроенную проверку подлинности Windows для входящих пользователей, и моя проблема в том, что, когда пул приложений настроен на выделенный идентификатор, все входящие пользователи не могут пройти проверку подлинности., т.е. поле входа (из Internet Explorer) снова появляется после того, как пользователь отправит свой пароль. Эта проблема не возникает, если для пула приложений задано удостоверение NETWORK SERVICE.

Выделенному удостоверению был предоставлен доступ к группе IIS_WPG машины, и я попробовал следующую команду:

aspnet_regiis.exe -GA myDomain\myDedicatedIdentity

Но все равно не повезло. Какие-либо предложения? Какие-либо привилегии, которые я забыл предоставить этой личности?

Я нашел решение своей проблемы: настроить HTTP SPN с именем NetBIOS и полным доменным именем (FQDN) учетной записи пользователя домена, под которой работает пул приложений. Вот статья: http://support.microsoft.com/kb/871179

Наверное, проблема с керберосом.

Я бы изначально попробовал:

cscript adsutil.vbs set w3svc/1/root/NTAuthenticationProviders "NTLM"

Где 1 - это веб-сайт.

После того, как вы определили, является ли это Kerberos, вы можете либо продолжить использование только NTLM, либо установить SPN для своего сайта / URL-адреса в учетной записи службы.