IIS将虚拟目录移动到文件共享中断登录用户的模拟

Question

我们有一个运行带有Windows身份验证和Impersonate = true的Intranet网站的IIS6实例，以便它使用由客户端浏览器传入的NT凭据。 AppPool被设置为以网络服务用户身份运行：serviceAcctX，以便在极少数情况下可以撤消模拟（读取或写入客户端用户无权访问的资源）

当源代码的虚拟目录位于本地驱动器上。登录的用户通过身份验证，页面内容根据授权设置进行自定义。

我们的基础架构团队正在尝试将虚拟目录源移动到远程服务器上的文件共享。我们已经通过添加对该特定文件共享路径的完全信任来更改.Net安全策略，从而解决了这个问题。我们已将Connect As属性设置为与AppPool运行时相同的serviceAcctX。

该网站开始很好。但是，客户端用户未被模拟。该请求使用默认的serviceAcctX凭证进行处理，而不像以前那样使用客户端的NT凭证进行处理。

有没有办法让客户端模拟仍然像以前一样工作，并且仍然拥有文件共享上的虚拟目录？任何指针都非常感谢。

Answer 1

我会把这个放在非好主意的范畴。

有一些潜在的问题出现，你引入了很多相关的复杂性。

相反，我会去寻找一些比这更“离线”的东西。使用文件复制功能可以让文件在您的Web服务器和远程服务器之间保持同步。

尽管有点复杂，但它增加了应用程序的生存能力。这意味着，如果远程服务器重新启动，出现故障，或两者之间出现网络问题，您的应用程序仍然可以正常工作。此外，您仍然可以在远程服务器上拥有这些文件。

Answer 2

您可能需要在Active Directory中为Web服务器检查“信任此计算机以进行委派”复选框，以便传递用户的令牌。