Erro IIS6 Virtual Directory 500 no compartilhamento remoto

1

Temos nossos servidores no farm de servidores em um domínio. Vamos chamá-lo ao vivo.

Nossos computadores desenvolvedores vivem em um domínio corporativo completamente separado, a quilômetros e quilômetros de distância. Vamos chamar de CORP.

Temos uma grande unidade de armazenamento central (unix) que armazena imagens e outras mídias necessárias a muitos servidores da Web no farm de servidores. Os pools de aplicativos do IIS são executados como (digamos) LIVE \ MediaUser e usam essas credenciais para se conectar a um compartilhamento de armazenamento central como um diretório virtual, recuperar as imagens e exibi-las como se fossem locais em cada servidor.

O problema está em desenvolvimento.

Na minha máquina de desenvolvimento. Eu efetuo login como CORP \ MyName. Meu pool de aplicativos do IIS 6 é executado como serviço de rede. Não consigo executá-lo como usuário do domínio LIVE porque minha máquina não está (e não pode estar) associada a esse domínio.

Eu tento criar um diretório virtual, aponte para o mesmo diretório de rede, clique em Conectar como, desmarque a caixa de seleção "Usar sempre as credenciais do usuário autenticado ao validar o acesso ao diretório de rede" para que eu possa inserir as informações de login insira as credenciais para LIVE \ MediaUser, clique em OK, verifique a senha, etc.

Isso não funciona. Eu recebo "Erro HTTP 500 - Erro interno do servidor" do IIS.

O arquivo de log do IIS reporta sc-status = 500, sc-substatus = 16 e sc-win32-status = 1326.

A documentação diz que isso significa que "credenciais de autorização UNC estão incorretas" e o status do Win32 significa "Falha de logon: nome de usuário desconhecido ou senha incorreta".

Isso seria bom se estivesse perto de ser exato. Eu verifiquei e verifiquei o problema. Tentei vários bons logins conhecidos. O gerenciador do IIS me permite ver a árvore de arquivos em sua janela, é apenas o navegador que me expulsa.

Até tentei ir para a guia Segurança de diretório do diretório virtual e, em Autenticação e controle de acesso, tentei usar o mesmo nome de usuário do domínio LIVE para a credencial de acesso anônimo. Sem sorte.

Eu não estou tentando executar qualquer ASP, ASP.NET ou qualquer outra coisa dinâmica fora do diretório virtual. Eu só quero que o IIS seja capaz de carregar imagens estáticas, css e arquivos js.

Se alguém tiver algumas ideias brilhantes, eu ficaria muito agradecido!

    
por David Boike 02.09.2009 / 23:54

4 respostas

1

Eu já tive esse problema antes. Aqui estão duas sugestões, as quais não são ideais e podem nem ser possíveis em seu ambiente:

  1. Tenha os arquivos armazenados em um compartilhamento em um servidor que não seja de domínio. Dessa forma, os servidores ao vivo e de desenvolvimento poderiam acessá-los.

  2. Execute um trabalho diário para copiar os arquivos necessários do servidor ativo para o desenvolvimento (via FTP, FTPS ou outros meios).

por 03.09.2009 / 14:44
1

Concordo em não ingressar na máquina CORP no domínio LIVE, mas há algum motivo para você não estabelecer uma relação de confiança unidirecional entre eles? Basicamente, o LIVE precisa ser capaz de validar o CORP \ user, ou o CORP precisa ser capaz de passar com êxito uma credencial LIVE \ user (que não pode se não tiver conhecimento desse domínio, mesmo que o console de gerenciamento do IIS 6 não faça isso muito claro).

Essencialmente, os domínios precisam ter algum conhecimento um do outro, de modo que o AD possa fazer o seu trabalho. O compartilhamento UNC não está dizendo que ele não foi validado (isso seria um erro de classe HTTP 400). O servidor DEV está lhe dizendo (via 500.16) que ele não pode criar um token para os creds que você deu, b / c não tem idéia do domínio do LIVE, então o kerberos não pode criar um token para ele.

TechNet no HTTP 500.16: ...

to do this, IIS uses a Windows logon API to obtain a security token that it can use to impersonate a security identity when accessing the remotely stored content.

    
por 07.07.2010 / 22:38
0

Eu resolvi esses problemas usando um usuário de domínio para usuários anônimos com permissão para acessar o compartilhamento remoto no controlador de domínio Funciona bem.

Atenciosamente

    
por 18.09.2009 / 23:02
0

Verifique se a conta de usuário que você está usando para acessar a pasta compartilhada (por exemplo, LIVE \ MediaUser) tem permissão para "Fazer logon como um serviço" e "Acessar este computador pela rede".

Você configura isso no servidor que hospeda a pasta compartilhada, em:

Ferramentas administrativas - > Gerenciamento de computadores - > Configurações de segurança local - > Políticas locais - > Atribuição de direitos de usuário

    
por 11.05.2011 / 16:13