Temos um aplicativo fornecido pelo fornecedor em execução internamente (LAN) em um servidor Windows / MS-SQL 2012, fornecendo acesso via IIS na mesma caixa. O aplicativo é capaz de armazenar documentos anexados - eles são mantidos fisicamente em um compartilhamento neste servidor.
Há um novo componente que estamos tentando trabalhar: um servidor 2008R2 / IIS 7.5 baseado em DMZ que tem o objetivo de fornecer acesso para download aos mesmos documentos, mas para usuários externos.
Estamos lutando para obter as permissões resolvidas para que o servidor DMZ possa acessar o compartilhamento interno, e estou me perguntando se o que estamos tentando fazer não é possível. Os fornecedores estão tentando usar a conta NetworkService para acessar os documentos, mas como o servidor DMZ não faz parte de nenhum domínio, estamos lutando para definir permissões apropriadas no compartilhamento interno (até tentei dar a Everyone acesso total ao diretório de compartilhamento interno ).
A situação é complicada porque não "gerenciamos" a infraestrutura de rede / firewall.
Eu tenho lido sobre as contas do pool de aplicativos e outras maneiras de fazer as coisas, mas não é minha maior área de especialização, e suspeito que os fornecedores também estejam lutando um pouco. Nossa configuração de rede / firewall parece um pouco mais complexa do que seus laboratórios internos, e algumas das sugestões feitas parecem equivocadas (eles falaram sobre o firewall interno do Windows quando apontamos que nosso firewall pode estar bloqueando uma porta, por exemplo ). Somos os primeiros a adotar o sistema que está na versão 1.0.0.1
Se isso ajudar a entender melhor, tivemos a porta 445 aberta da DMZ para o servidor Interno. Isso permite que o servidor DMZ tente buscar o documento interno (quando o usuário externo clica no hiperlink no aplicativo), mas depois ele falha devido a não ter permissões (acredito) com o erro:
Access to the path '\servername\sharename\documentfolderf4585db-14b9-4a93-8b4b-bfd12b5f5930.pdf' is denied.
Alguém pode oferecer ajuda / orientação? Fico feliz em fornecer mais informações onde eu puder.
Muito obrigado antecipadamente.
Você pode ter que executar o caspol.exe no servidor IIS DMZ, de acordo com essa pergunta: Problema de permissões com o diretório virtual para o caminho UNC
Além disso, use uma conta de serviço para o pool de aplicativos. Terá que ter o mesmo nome e senha no domínio e como conta local no servidor DMZ, é claro.
Tags firewall port route user-permissions dmz