IIS 6 - Autenticação Integrada - requer uma reinicialização diária para reconhecer usuários de domínio extras

2

Temos subpágina da Web (ASP clássico) configurada com a Autenticação do Windows e sem acesso anônimo.

As permissões para o diretório de destino são definidas como Leitura / Execução para um grupo local de domínio. Este grupo é composto por membros de outro domínio para o qual temos uma relação de confiança. Vamos chamá-lo de GroupA

As permissões também são definidas para o grupo de TI de nosso domínio, do qual sou membro (GroupIT).

Tudo funciona bem, até que algo aconteça durante a noite ...

Todas as manhãs, os membros do GroupA não podem acessar o site, sendo desafiados por um login / senha. Inserir suas credenciais aqui (com o qualificador de domínio) não funciona. O acesso do GroupIT funciona bem.

Os logs do servidor da Web mostram erros "401 5". Visualizador de eventos Os registros de segurança mostram os usuários se autenticando com êxito no servidor.

O IIS não está concluindo o processo de autenticação. Parece que as permissões para o GroupA na pasta de destino são descartadas. Eles são obviamente ainda visíveis.

Uma reinicialização do IIS classifica o problema até a manhã seguinte.

Demorei muito tempo tentando chegar ao fim, inclusive usando o MS Auth Diagnostics, que confirma um problema de Autenticação (401) quando sondo um login usando as credenciais de um usuário do GroupA. Não há nenhuma tarefa em execução no servidor da Web ou em nosso domínio que, obviamente, causaria isso. Eu não acho que é um caso de credenciais em cache, como eu adicionei novos usuários ao GroupA e descobri que eles não poderiam acessar o site também.

Eu apreciaria muito qualquer pensamento ..

    
por NotNowJohn 07.12.2010 / 16:45

1 resposta

1

Pensamentos:

  • Reciclar o pool de aplicativos que contém a página autenticada resolve o problema?

  • O aplicativo que contém a página pode ser isolado em seu próprio pool de aplicativos?

Se o problema for corrigido, talvez seja possível contorná-lo (em vez de corrigi-lo), definindo uma reciclagem recalculada para esse pool de aplicativos, por (digamos) 5h todos os dias.

Após as 5h, a primeira solicitação entrará em um novo pool de aplicativos e um processo de trabalho, e se isso for o que o consertará, será transparente para os usuários.

Não há informações suficientes sobre o aplicativo ou pool de aplicativos - e quais outros aplicativos, filtros ISAPI, etc. estão usando - para ser mais preciso do que isso.

    
por 08.12.2010 / 04:01