59

(这是一个关于模糊问题的问题。我尝试提供所有相关数据,希望有人提供有用的信息;对于冗长的描述表示歉意。)

我们的网络应用程序

我们有一个在 IIS 7.5 中运行的 .NET 4 Web 应用程序,它访问 Active Directory 和一个 SQL Server 数据库。

通过将应用程序池的标识设置为ApplicationPoolIdentity ,此 Web 应用程序在虚拟“应用程序池标识”下运行。虚拟身份的简明描述可以在StackOverflow 答案和它所引用的博客文章中找到:应用程序池身份只是一个附加组,它添加到作为“网络服务”运行的 Web 应用程序的工作进程中。然而,一位消息人士含糊地暗示“网络服务和 ApplicationPoolIdentity 确实存在 IIS.net 站点文档未发布的差异”。因此,虚拟身份可能不仅仅是一个附加组。

我们选择使用 ApplicationPoolIdentity,而不是 NetworkService,因为它成为 IIS 7.5 中的默认设置(参见,例如,此处),并且根据 Microsoft 的建议:“此身份允许管理员指定仅与应用程序所在身份相关的权限池正在运行,从而提高了服务器的安全性。” (来自为 applicationPools [IIS 7 Settings Schema] 添加的 processModel 元素)“应用程序池标识是一种强大的新隔离功能”,它“使运行的 IIS 应用程序更加安全和可靠。”(来自IIS.net 文章“应用程序池标识” )

该应用程序使用集成 Windows 身份验证,但使用<identity impersonate="false"/>, 以便不是最终用户的身份而是虚拟应用程序池身份用于运行我们的代码。

此应用程序使用System.DirectoryServices类(即 ADSI API)查询 Active Directory 。在大多数地方,这是在不指定额外的用户名/密码或其他凭据的情况下完成的。

Integrated Security=true此应用程序还使用连接字符串连接到 SQL Server 数据库。如果数据库是本地的,那么我们看到IIS APPPOOL\OurAppPoolName是用来连接数据库的;如果数据库是远程的,则使用机器帐户OURDOMAIN\ourwebserver$

我们的问题

我们经常遇到工作安装以下列方式之一开始失败的问题。

  • 当数据库位于远程系统上时,数据库连接开始失败:“用户 'NT AUTHORITY\ANONYMOUS LOGON' 登录失败。原因:基于令牌的服务器访问验证因基础结构错误而失败。检查以前的错误。” 上一个错误是“错误:18456,严重性:14,状态:11”。所以现在似乎OURDOMAIN\ourwebserver$不再使用,而是尝试匿名访问。(我们有轶事证据表明这个问题发生在 UAC 关闭时,并且在打开 UAC 后它消失了。但请注意,更改 UAC 需要重新启动......)IIS.net 线程中报告了类似的问题“使用 ApplicationPoolIdentity连接到 SQL”,特别是在一个回复中。

  • 通过 ADSI (System.DirectoryServices) 的 Active Directory 操作开始失败,出现错误 0x8000500C(“未知错误”)、0x80072020(“发生操作错误。”)或 0x200B(“指定的目录服务属性或值不存在”) .

  • 从 Internet Explorer 登录应用程序开始失败,出现 HTTP 401 错误。但是如果在 IIS 中我们将 NTLM 放在 Negotiate 之前,那么它会再次起作用。(请注意,Kerberos 需要访问 AD,但 NTLM 不需要。)IIS.net 线程“Window Authentication Failing with AppPool Identity”中报告了类似的问题。

我们的假设和解决方法

至少在将应用程序池从 ApplicationPoolIdentity 切换到 NetworkService 时,AD 和登录问题似乎总是消失了。(我们发现一份报告证实了这一点。)

页面“对 ASP 页面上的身份验证问题进行故障排除”有一些与主令牌和辅助令牌相关的建议,我发现令人鼓舞的是它链接了我们的前两个错误:它提到了NT AUTHORITY\ANONYMOUS LOGON访问和 AD 错误 0x8000500C 和“指定的目录服务”属性或值不存在”。

(同一页还提到了 ADSI 模式缓存问题,但我们可以找到的关于该主题的所有内容都是旧的。现在我们认为这无关紧要。)

基于上述,我们目前的工作假设是,只有在虚拟应用程序池身份下运行时,我们的 Web 应用程序(IIS?工作进程?)才会突然失去其主令牌,因此 IIS 只有一个辅助令牌,所以所有对 Active Directory 和 SQL Server 的访问是匿名完成的,导致上述所有错误。

现在我们打算从 ApplicationPoolIdentity 切换到 NetworkService。希望这可以消除上述所有问题。但我们不确定;如果可能的话,我们想换回去。

我们的问题

上述假设是否正确,如果正确,这是 IIS/Windows/.NET 中的错误吗?在什么情况下会发生这种主要的令牌丢失?

4

3 回答 3

35

通过 Microsoft 支持,我发现我们遇到了Microsoft 知识库文章 KB2545850中描述的问题。这仅在使用 ApplicationPoolIdentity 时发生。它很容易发生,即在更改机器帐户密码后(默认情况下每 30 天自动发生一次),然后重新启动 IIS(例如,通过iisreset)。请注意,根据微软和我们的观察,重启后问题就会消失。

根据 Microsoft 的说法,无法检查您的 Windows/IIS 是否已进入此状态。

Microsoft 在此知识库文章中附加了一个修补程序。没有迹象表明该修补程序何时会正式发布,并且该修补程序已经使用了 10 个月。在我们的具体情况下,我们决定改用 NetworkService。

于 2012-03-21T09:03:20.977 回答
2

有关我对同一问题/解决方案的评论, 请参阅https://serverfault.com/a/403534/126432 。

使用您链接到的修补程序,我可以让 ApplicationPoolIdentity 像文档所说的那样工作。这个hotfix没有具体描述NT AUTHORITY\ANONYMOUS LOGON访问网络资源的解决方案,但它与计算机密码更改有关。底线是它对我有用,至少到目前为止。

于 2012-06-29T18:30:31.407 回答
0

这也与使用 Active Directory 身份验证的 Umbraco 有关。有时您可能会遇到此异常:

配置错误

指定的目录服务属性或值不存在

这显然是由此处概述的问题引起的。重新启动总是会修复它。

于 2016-06-03T15:55:44.100 回答