Temos nossos servidores no farm de servidores em um domínio. Vamos chamá-lo ao vivo.
Nossos computadores desenvolvedores vivem em um domínio corporativo completamente separado, a quilômetros e quilômetros de distância. Vamos chamar de CORP.
Temos uma grande unidade de armazenamento central (unix) que armazena imagens e outras mídias necessárias a muitos servidores da Web no farm de servidores. Os pools de aplicativos do IIS são executados como (digamos) LIVE \ MediaUser e usam essas credenciais para se conectar a um compartilhamento de armazenamento central como um diretório virtual, recuperar as imagens e exibi-las como se fossem locais em cada servidor.
O problema está em desenvolvimento.
Na minha máquina de desenvolvimento. Eu efetuo login como CORP \ MyName. Meu pool de aplicativos do IIS 6 é executado como serviço de rede. Não consigo executá-lo como usuário do domínio LIVE porque minha máquina não está (e não pode estar) associada a esse domínio.
Eu tento criar um diretório virtual, aponte para o mesmo diretório de rede, clique em Conectar como, desmarque a caixa de seleção "Usar sempre as credenciais do usuário autenticado ao validar o acesso ao diretório de rede" para que eu possa inserir as informações de login insira as credenciais para LIVE \ MediaUser, clique em OK, verifique a senha, etc.
Isso não funciona. Eu recebo "Erro HTTP 500 - Erro interno do servidor" do IIS.
O arquivo de log do IIS reporta sc-status = 500, sc-substatus = 16 e sc-win32-status = 1326.
A documentação diz que isso significa que "credenciais de autorização UNC estão incorretas" e o status do Win32 significa "Falha de logon: nome de usuário desconhecido ou senha incorreta".
Isso seria bom se estivesse perto de ser exato. Eu verifiquei e verifiquei o problema. Tentei vários bons logins conhecidos. O gerenciador do IIS me permite ver a árvore de arquivos em sua janela, é apenas o navegador que me expulsa.
Até tentei ir para a guia Segurança de diretório do diretório virtual e, em Autenticação e controle de acesso, tentei usar o mesmo nome de usuário do domínio LIVE para a credencial de acesso anônimo. Sem sorte.
Eu não estou tentando executar qualquer ASP, ASP.NET ou qualquer outra coisa dinâmica fora do diretório virtual. Eu só quero que o IIS seja capaz de carregar imagens estáticas, css e arquivos js.
Se alguém tiver algumas ideias brilhantes, eu ficaria muito agradecido!
Eu já tive esse problema antes. Aqui estão duas sugestões, as quais não são ideais e podem nem ser possíveis em seu ambiente:
Tenha os arquivos armazenados em um compartilhamento em um servidor que não seja de domínio. Dessa forma, os servidores ao vivo e de desenvolvimento poderiam acessá-los.
Execute um trabalho diário para copiar os arquivos necessários do servidor ativo para o desenvolvimento (via FTP, FTPS ou outros meios).
Concordo em não ingressar na máquina CORP no domínio LIVE, mas há algum motivo para você não estabelecer uma relação de confiança unidirecional entre eles? Basicamente, o LIVE precisa ser capaz de validar o CORP \ user, ou o CORP precisa ser capaz de passar com êxito uma credencial LIVE \ user (que não pode se não tiver conhecimento desse domínio, mesmo que o console de gerenciamento do IIS 6 não faça isso muito claro).
Essencialmente, os domínios precisam ter algum conhecimento um do outro, de modo que o AD possa fazer o seu trabalho. O compartilhamento UNC não está dizendo que ele não foi validado (isso seria um erro de classe HTTP 400). O servidor DEV está lhe dizendo (via 500.16) que ele não pode criar um token para os creds que você deu, b / c não tem idéia do domínio do LIVE, então o kerberos não pode criar um token para ele.
TechNet no HTTP 500.16: ...
to do this, IIS uses a Windows logon API to obtain a security token that it can use to impersonate a security identity when accessing the remotely stored content.
Eu resolvi esses problemas usando um usuário de domínio para usuários anônimos com permissão para acessar o compartilhamento remoto no controlador de domínio Funciona bem.
Atenciosamente
Verifique se a conta de usuário que você está usando para acessar a pasta compartilhada (por exemplo, LIVE \ MediaUser) tem permissão para "Fazer logon como um serviço" e "Acessar este computador pela rede".
Você configura isso no servidor que hospeda a pasta compartilhada, em:
Ferramentas administrativas - > Gerenciamento de computadores - > Configurações de segurança local - > Políticas locais - > Atribuição de direitos de usuário