IIS7的Windows 2008服务器

Question

上，我从IIS7（WebAdmin的）在Windows 2008上运行塞雷尔语传统的ASP网站试图写一个服务器（web05）的文件经典ASP模拟问题。这会失败，web05会在保存操作过程中记录匿名登录尝试。

WebAdmin的网站在经典模式的应用程序池使用域用户的进程帐户运行。流程帐户有权“将此用户委派给任何服务（仅Kerberos）”。这同样适用于web05和webadmin服务器。

该网站使用Windows身份验证和想法是，当我登录我的域用户在网站上，我的用户权利应该定义哪些允许我在IIS站点的情况下做的。如果我打开基本身份验证，一切正常。

我也使用setspn.exe为URL添加一个SPN。如果键入SETSPN.EXE -L WebAdmin中，我得到：

HTTP/webadmin.companyname.com 
TERMSRV/webadmin 
TERMSRV/webadmin.companypub.local 
HOST/webadmin 
HOST/webadmin.companypub.local 

所以从我了解的SPN的设置是否正确。

如果我在执行保存操作时在webadmin上运行processmonitor，它表示该进程确实模拟我的域用户 - 但获得“访问被拒绝”（并且正如我之前所说，web05记录了匿名登录尝试）。

任何想法是什么原因造成的？

亲切的问候， 西蒙

Answer 1

我想清理我的以前的问题。这个答案不足以回答上面的问题，但我的结论是，最好提供一些见解，而不是无。如果op不同意，请采取必要措施。

这是一种退路 - 但我记得想要在这个应用程序上运行Kerberos身份验证。问题原来是我试图在防火墙外面做Kerberos。该应用程序可以在服务器主域的域和防火墙内正常工作，但当请求来自外部时会失败。

我和微软的爱尔兰技术人员聊了很多，他教会了我一些关于使用Kerberos的限制。我想要使​​用Kerberos的原因是我不喜欢未加密的基本Windows身份验证。

祝你的Kerberos追求:-)

Answer 2

就像你在模拟有点困惑这听起来我。这个过程并不是冒充域名用户帐户，而只是以该用户的身份运行。它们是有区别的。

当请求到达时进入ASP它就会模拟用户和线程处理请求将模拟用户的安全令牌下运行。它很可能有相同的进程在多个线程中扮演多个不同的用户。在启用匿名用户访问的大多数情况下，该用户是访客级别IUSR帐户。最有可能的是，在这个用户下你的代码正在尝试并且无法运行。

但是，如果匿名关闭了被访问的资源或IUSR帐户没有获得那么资源的401发回响应，与它会接受什么样的认证协议的一些指示。浏览器然后可以尝试使用当前用户凭证来认证连接或从用户请求一些凭证。

您不指定如何尝试保存文件。它的值得指出几件事情。

1. ASP代码exection随后可能导致拒绝将不使用上述机制来尝试解决用户的接入。
2. 一旦连接被认证它常常继续被重新用于随后的请求（它是反intuative到知识HTTP是一个“无连接的”协议）。

Answer 3

我遇到了同样的问题，它原来是一个简单的更改应用程序池。如果启用32位应用程序设置为FALSE，那么我会收到提示以登录到机器。将此值设置为true解决了问题。