As alterações de grupo no AD não refletem a conta usada Pool de aplicativos do IIS sem reinicializar

Navegue suas respostas
2

Não tenho certeza se devo perguntar aqui ou no SO, mas aqui está o meu problema - eu tenho uma conta de serviço que usamos para os pools de aplicativos do IIS. Recentemente, adicionei-os a alguns dos grupos do AD e os novos grupos não estavam refletindo para o ID. Para usuários normais, solicitaríamos que eles fizessem logout e login novamente, então tentei o seguinte:

  1. Reinicie o pool de aplicativos
  2. Reinicie o IIS
  3. Efetue logoff e faça login em minha conta local (sei que isso não terá efeito, mas tentei apenas no caso)

Depois de brincar por um tempo, reiniciamos o servidor e o Voilà! as permissões funcionaram conforme o esperado. Foi bom desta vez, mas eu não quero fazer isso no servidor de produção.

Existe alguma maneira de forçar a conta a obter as atualizações da AD?

    
por user1274122 02.12.2016 / 11:19

2 respostas

1

Eu não verifico o iis, mas devo trabalhar:

  1. Faça o download e descompacte as Sysinternals LogonSessions
  2. Executar logonsessions.exe -p no prompt de comando administrativo privilegiado
  3. A saída desse comando deve ser encontrada na identificação da sessão de logon para sua sessão de conta de serviço. (Algo como 00000000:00009ff1 )
  4. Execute klist -li 0x<logonid> onde neste exemplo 9ff1 . Verifique se existem bilhetes
  5. Executar klist -li 0x<logonid> purge isso limpará os tickets para a sessão selecionada
  6. Pode ser necessário reiniciar o pool de aplicativos ou iis, mas pode não ser necessário.

P.S. Mas ainda assim não recomendo a alteração freqüente de associações a grupos para um servidor produtivo de conta de serviço.

    
por 02.12.2016 / 11:50
0

Resposta curta: IISRESET deve autenticar novamente a conta de serviço do pool de aplicativos.

Recentemente, percebi que, se eu alterasse a senha de uma conta de serviço que estivesse executando um pool de aplicativos, eu poderia reciclar o pool de aplicativos, interrompê-lo, iniciá-lo novamente, parar o servidor IIS usando a GUI, iniciá-lo novamente e as credenciais antigas ainda está trabalhando para essa conta de serviço. Eu esperava que ele parasse de funcionar e precisasse inserir as novas credenciais para usar no pool de aplicativos.

No entanto, como você disse, a reinicialização exige que você insira novamente as novas credenciais para o pool de aplicativos desejado.

Dito isto, outra solução que funcionou foi usar o comando IISRESET. Isso nos forçou a inserir as novas credenciais e tenho certeza de que também atualizaria a participação do grupo no seu caso.

Portanto, parece que o IIS está mantendo o token de segurança ativo mesmo se reiniciar / parar / iniciar o pool de aplicativos.

Esta leitura foi esclarecedora: link

Talvez seja manipulado pelo http.sys e somente um IISRESET autentique novamente a conta de serviço? Não consegui encontrar a verdadeira causa exata desse comportamento, mas seu problema e a resposta atual confirmam o comportamento que eu também experimentei.

    
por 30.08.2018 / 17:32

Tags

Como saber qual Web Node está servindo o conteúdo? Ubuntu apt-get update 403 Proibido no docker na VM do Azure