IIS7的Windows 2008服務器

Question

上，我從IIS7（WebAdmin的）在Windows 2008上運行塞雷爾語傳統的ASP網站試圖寫一個服務器（web05）的文件經典ASP模擬問題。這會失敗，web05會在保存操作過程中記錄匿名登錄嘗試。

WebAdmin的網站在經典模式的應用程序池使用域用戶的進程帳戶運行。流程帳戶有權「將此用戶委派給任何服務（僅Kerberos）」。這同樣適用於web05和webadmin服務器。

該網站使用Windows身份驗證和想法是，當我登錄我的域用戶在網站上，我的用戶權利應該定義哪些允許我在IIS站點的情況下做的。如果我打開基本身份驗證，一切正常。

我也使用setspn.exe爲URL添加一個SPN。如果鍵入SETSPN.EXE -L WebAdmin中，我得到：

HTTP/webadmin.companyname.com 
TERMSRV/webadmin 
TERMSRV/webadmin.companypub.local 
HOST/webadmin 
HOST/webadmin.companypub.local 

所以從我瞭解的SPN的設置是否正確。

如果我在執行保存操作時在webadmin上運行processmonitor，它表示該進程確實模擬我的域用戶 - 但獲得「訪問被拒絕」（並且正如我之前所說，web05記錄了匿名登錄嘗試）。

任何想法是什麼原因造成的？

親切的問候， 西蒙

Answer 1

我想清理我的以前的問題。這個答案不足以回答上面的問題，但我的結論是，最好提供一些見解，而不是無。如果op不同意，請採取必要措施。

這是一種退路 - 但我記得想要在這個應用程序上運行Kerberos身份驗證。問題原來是我試圖在防火牆外面做Kerberos。該應用程序可以在服務器主域的域和防火牆內正常工作，但當請求來自外部時會失敗。

我和微軟的愛爾蘭技術人員聊了很多，他教會了我一些關於使用Kerberos的限制。我想要使​​用Kerberos的原因是我不喜歡未加密的基本Windows身份驗證。

祝你的Kerberos追求:-)

Answer 2

就像你在模擬有點困惑這聽起來我。這個過程並不是冒充域名用戶帳戶，而只是以該用戶的身份運行。它們是有區別的。

當請求到達時進入ASP它就會模擬用戶和線程處理請求將模擬用戶的安全令牌下運行。它很可能有相同的進程在多個線程中扮演多個不同的用戶。在啓用匿名用戶訪問的大多數情況下，該用戶是訪客級別IUSR帳戶。最有可能的是，在這個用戶下你的代碼正在嘗試並且無法運行。

但是，如果匿名關閉了被訪問的資源或IUSR帳戶沒有獲得那麼資源的401發回響應，與它會接受什麼樣的認證協議的一些指示。瀏覽器然後可以嘗試使用當前用戶憑證來認證連接或從用戶請求一些憑證。

您不指定如何嘗試保存文件。它的值得指出幾件事情。

1. ASP代碼exection隨後可能導致拒絕將不使用上述機制來嘗試解決用戶的接入。
2. 一旦連接被認證它常常繼續被重新用於隨後的請求（它是反intuative到知識HTTP是一個「無連接的」協議）。

Answer 3

我遇到了同樣的問題，它原來是一個簡單的更改應用程序池。如果啓用32位應用程序設置爲FALSE，那麼我會收到提示以登錄到機器。將此值設置爲true解決了問題。