У нас есть приложение, предоставляемое поставщиком, работающее внутри (LAN) на сервере Windows / MS-SQL 2012, обеспечивающее доступ через IIS на том же компьютере. Приложение может хранить прикрепленные документы - они физически хранятся в общей папке на этом сервере.
Есть новый компонент, который мы пытаемся запустить - сервер 2008R2 / IIS 7.5 на основе DMZ, который предназначен для предоставления загружаемого доступа к тем же документам, но для внешних пользователей.
Мы изо всех сил пытаемся разобраться с разрешениями, чтобы сервер DMZ мог получить доступ к внутреннему общему ресурсу, и мне интересно, возможно ли то, что мы пытаемся сделать. Поставщики пытаются использовать учетную запись NetworkService для доступа к документам, но, поскольку сервер DMZ не является частью какого-либо домена, мы изо всех сил пытаемся установить соответствующие разрешения для внутреннего общего ресурса (я даже пытался предоставить всем полный доступ к внутреннему каталогу общего ресурса ).
Ситуация осложняется тем, что мы не «управляем» инфраструктурой сети / брандмауэра.
Я читал об учетных записях пула приложений и других способах работы, но это не самая большая моя область знаний, и я подозреваю, что поставщики тоже немного борются. Наша настройка сети / брандмауэра кажется немного более сложной, чем их внутренние лаборатории, и некоторые из предложений, которые они делают, кажутся ошибочными (они говорили о встроенном брандмауэре Windows, когда мы указывали, что наш брандмауэр может блокировать порт, например ). Мы первые пользователи системы версии 1.0.0.1.
Если это поможет лучше понять, у нас был открыт порт 445 из DMZ на внутренний сервер. Это позволяет серверу DMZ попытаться получить внутренний документ (когда внешний пользователь щелкает гиперссылку в приложении), но затем он терпит неудачу из-за отсутствия разрешений (я считаю) с ошибкой:
Доступ к пути '\ servername \ sharename \ documentfolder \ 9f4585db-14b9-4a93-8b4b-bfd12b5f5930.pdf' запрещен.
Может ли кто-нибудь предложить помощь / руководство? Я рад предоставить больше информации, где смогу.
Спасибо заранее.
Возможно, вам придется запустить caspol.exe на сервере IIS DMZ по этому вопросу: Проблема с разрешениями с виртуальным каталогом для пути UNC
Кроме того, используйте учетную запись службы для пула приложений. Конечно, он должен иметь такое же имя и пароль в домене и, как локальная учетная запись на сервере DMZ.