Сегодня утром я просто попытался переключить пул приложений старого сайта ASP.NET на пул приложений, использующий учетную запись AD для доступа к SQL, при этом большая часть статического контента на сайте была недоступна (т.е. некоторые изображения и файл CSS) с приятно 500.
После активации трассировки неудачных запросов ошибок оказалось все:
Either a required impersonation level was not provided, or the provided impersonation
level is invalid. (0x80070542)
Немного погуглил (в основном это вопрос) и, о чудо, моя учетная запись AD требует определенной политики: олицетворять клиента после аутентификации
Как правило, у меня не было бы проблем с жертвой стажера и скандированием, чтобы вызвать администраторов AD за помощью, но сейчас я пытаюсь понять, почему раньше этого не было.
Я использовал этот конкретный пул приложений для другого приложения (ASP .NET MVC 4), и это не вызвало никаких проблем, каждый контент обслуживался правильно.
Итак, мои вопросы довольно просты:
Что ж, чтобы ответить, да, олицетворение клиента после аутентификации было необходимо, но не только это. В конкретном контексте моей компании большинство прав, установленных IIS, было заблокировано глобальными групповыми политиками, и на используемых нами серверах требовалось новое локальное gpo.
Для получения дополнительной информации о правах, необходимых IIS для пользователей пула приложений, я рекомендую этот