У нас есть дополнительная веб-страница (классический ASP), настроенная с проверкой подлинности Windows и без анонимного доступа.
Права доступа к целевому каталогу устанавливаются как «Чтение / выполнение» для локальной группы домена. Эта группа состоит из членов другого домена, с которым у нас есть доверительные отношения. Назовем это GroupA
Разрешения также установлены для ИТ-группы нашего домена, членом которой я являюсь (GroupIT).
Все работает нормально, пока что-то не случится в одночасье ...
Каждое утро участники GroupA не могут получить доступ к сайту из-за запроса логина / пароля. Ввод их учетных данных здесь (с квалификатором домена) не работает. Доступ к GroupIT работает нормально.
Журналы веб-сервера показывают ошибки «401 5». Журналы безопасности средства просмотра событий показывают, что пользователи успешно прошли аутентификацию на сервере.
IIS не завершает процесс аутентификации. Похоже, что разрешения для GroupA в целевой папке отброшены. Хотя они, конечно, все еще видны.
Перезапуск IIS решает проблему до следующего утра.
Потратили много времени, пытаясь разобраться в этом, в том числе с помощью MS Auth Diagnostics, которая подтверждает проблему аутентификации (401), когда я проверяю логин с использованием учетных данных пользователя GroupA. На веб-сервере или в нашем домене нет задачи, которая могла бы вызвать это. Я не думаю, что это кешированные учетные данные, поскольку я добавил новых пользователей в GroupA и обнаружил, что они также не могут получить доступ к сайту.
Буду очень признателен за любые мысли ..
Мысли:
Решает ли проблему повторное использование пула приложений, содержащего аутентифицированную страницу?
Можно ли изолировать приложение, содержащее страницу, в собственный пул приложений?
Если какое-либо из них устраняет проблему, вы можете обойти ее (вместо фактического ее устранения), установив запланированную перезагрузку для этого пула приложений, например, на 5 утра каждый день.
После 5:00 первый входящий запрос запустит новый пул приложений и рабочий процесс, и, если это то, что его исправляет, он сделает его прозрачным для пользователей.
Недостаточно информации о приложении или пуле приложений - и о том, какие другие приложения, фильтры ISAPI и т. Д. Оно использует - чтобы быть более точным, чем это.