Eu tive um problema semelhante com meu site no Windows Server 2008:
- Formulários e autenticação anônima ativados
- Acesso total concedido na pasta ao usuário do pool de aplicativos
- Acesso total concedido na pasta ao grupo iis_iusrs
Para testar, usei duas páginas:
hello.aspx
ficou muito bem. hello.html
jogou um 401.3 sem autorização. A Microsoft processou o comando "ACCESS DENIED" em hello.html
pelo usuário do pool de aplicativos quando tentei navegar para a página.
Para resolver o problema, adicionei o usuário IUSR à lista de controle de acesso da pasta do site. A IUSR não está listada na lista de usuários da ferramenta de gerenciamento do Windows, mas aparece se você a procurar ao adicionar um usuário na guia de segurança de propriedades da pasta.
Eu achei muito estranho (e confuso) que o procmon relatou que o usuário tentando acessar hello.html
era o usuário do pool de aplicativos , e não o iusr.