Мы используем стороннее программное обеспечение, которое работает как служба на одном компьютере и обращается к ресурсу IIS на втором компьютере. Второй компьютер не находится в том же домене, что и первый, и между ними есть брандмауэр.
Оба сервера работают под управлением Windows 2003 и IIS6.
Служба не может делать то, что ей нужно, потому что она не авторизована для доступа к ресурсу IIS (ошибка HTTP 401). Ресурс не может быть запущен анонимно (и жалуется, если я настроил IIS для такой работы) и использует проверку подлинности Windows. Программное обеспечение предполагает, что обе машины находятся в одном домене.
Могу ли я сделать так, чтобы служба могла получить доступ к ресурсу, не добавляя второй компьютер к тому же домену, что и первый (что должно быть возможно, но требует возни с маршрутизацией)?
Я пытался найти способы добавить первый компьютер в качестве авторизованного пользователя на второй, но не могу.
С незапамятных времен ОС Windows поддерживали грубый взлом для включения междоменного входа в систему: разрешить встроенную проверку подлинности Windows на веб-ресурсе из именованной учетной записи пользователя в домене, в котором работает веб-сервер, и создать пользователя с тем же Имя учетной записи и пароль на сервере, на котором размещена услуга.
Да, это всегда будет работать независимо от членства в домене.
РЕДАКТИРОВАТЬ: добавить одно очевидное значение безопасности, если оно не очевидно: вы можете использовать этот трюк для доступа к привилегированной учетной записи домена с компьютера, на котором (дублирующая) учетная запись не привилегированный.