(c'est une question sur un problème vague. J'essaie de présenter toutes les données pertinentes, dans l'espoir que quelqu'un a des informations utiles; excuses pour la longue description.)

notre application web

nous avons une application web .NET 4 fonctionnant dans IIS 7.5 accédant à Active Directory et une base de données SQL Server.

cette application web fonctionne sous une "identité de pool d'applications" virtuelle, en définissant la Identité du pool d'applications de la demande à ApplicationPoolIdentity . Une description concise des identités virtuelles peut être trouvée dans une réponse StackOverflow , et le billet de blog auquel il se réfère: une identité de pool d'applications est juste un groupe supplémentaire qui est ajouté aux processus de travail de l'application web qui est en cours d'exécution en tant que 'service réseau'. Cependant, une source , évoque vaguement que "le Réseau de Service et de Application IIS.net les documents du site ne sont pas publiés."Ainsi, une identité virtuelle pourrait être plus qu'un groupe supplémentaire.

nous avons choisi D'utiliser ApplicationPoolIdentity, par opposition à NetworkService, parce qu'il est devenu le défaut dans IIS 7.5 (voir, par exemple, ici ), et selon la recommandation de Microsoft: "cette identité permet aux administrateurs de spécifier des permissions qui se rapportent uniquement à l'identité sous laquelle le application pool est en cours d'exécution, augmentant ainsi la sécurité du serveur."(de processModel Élément pour ajouter de applicationPools [IIS 7 Schéma des Paramètres] ) "Pool d'Identités sont une nouvelle et puissante fonction d'isolation" qui est "de rendre la gestion d'applications IIS encore plus sûr et plus fiable. "(de IIS.net l'article "Pool d'Identités" )

L'application utilise L'authentification intégrée de Windows, mais avec <identity impersonate="false"/> , de sorte que ce n'est pas l'identité de l'utilisateur final mais l'identité du pool d'applications virtuelles qui est utilisée pour exécuter notre code.

cette application interroge Active Directory en utilisant le système .DirectoryServices classes, i.e., L'API ADSI. Dans la plupart des endroits, cela se fait sans spécifier un nom d'utilisateur/mot de passe supplémentaire ou d'autres justificatifs d'identité.

cette application se connecte également à une base de données SQL Server en utilisant Integrated Security=true dans le chaîne de connexion. Si la base de données est locale, alors nous voyons que IIS APPPOOLOurAppPoolName est utilisé pour se connecter à la base de données; si la base de données est distante, alors le compte machine OURDOMAINourwebserver$ est utilisé.

nos problèmes

nous avons régulièrement des problèmes où une installation de travail commence à tomber en panne de l'une des façons suivantes.

• lorsque la base de données est sur un système distant, puis la base de données la connexion commence à échouer: "Login failed for user' NT AUTHORITYANONYMOUS LOGON'. Raison: la validation D'accès au serveur basée sur un Token a échoué avec une erreur d'infrastructure. Vérifiez les erreurs précédentes."L'erreur précédente est "Erreur: 18456, Gravité: 14: 11."Il semble donc que maintenant OURDOMAINourwebserver$ n'est plus utilisé, mais plutôt l'accès anonyme est tentée. (Nous avons des preuves anecdotiques que ce problème est survenu lorsque L'UAC a été désactivé et qu'il a disparu après avoir activé L'UAC. Mais la note que changer UAC nécessite un redémarrage...) Un problème similaire est rapporté dans IIS.net thread "utilisation ApplicationPoolIdentity pour se connecter à SQL" , particulièrement dans une réponse .

• Active Directory opérations via ADSI (Système d'.DirectoryServices) commencent à échouer avec l'erreur 0x8000500C ("Erreur inconnue"), 0x80072020 ("une erreur d'exploitation s'est produite."), ou 0x200B ("l'attribut de service de répertoire spécifié ou la valeur n'existe pas").

• Se connecter à L'application à partir D'Internet Explorer commence à échouer, avec des erreurs HTTP 401. Mais si dans IIS nous mettons ensuite NTLM avant de négocier alors il fonctionne à nouveau. (Notez que L'accès à la publicité est nécessaire pour Kerberos mais pas pour NTLM.) Un problème similaire est rapporté dans IIS.net thread "Fenêtre d'Authentification à Défaut avec de l'Identité du pool d'applications" .

Notre hypothèse et la solution de contournement

au moins, les problèmes de publicité et de connexion semblent toujours disparaître lorsque l'on passe du pool d'applications Poolidentity Applicationà NetworkService. (Nous avons trouvé un rapport confirmant ceci.)

Page "dépannage des problèmes D'authentification sur les pages ASP" a quelques suggestions concernant les clés primaires et secondaires, et ce que je trouve ce qui est encourageant, c'est qu'il relie les deux premières erreurs: il mentionne NT AUTHORITYANONYMOUS LOGON accès, et les erreurs de publicité 0x8000500C et "l'attribut ou la valeur du service de répertoire spécifié n'existe pas".

(la même page mentionne également des problèmes de cache de schéma ADSI, mais tout ce que nous pouvons trouver sur ce sujet est ancien. Pour l'instant, nous considérons que c'est sans rapport.)

sur la base de ce qui précède, notre hypothèse de travail actuelle 1519820920 " est que, seulement lorsque fonctionnant sous une identité de pool d'applications virtuelles, notre application web (IIS? processus de travail?) perd soudainement son token primaire , de sorte que IIS n'a qu'un token secondaire, de sorte que tout accès à Active Directory et SQL Server est fait de manière anonyme, conduisant à toutes les erreurs ci-dessus.

pour l'instant, nous avons l'intention de passer de L'Entitépolitique de L'application au service des réseaux. Avec un peu de chance, tous les problèmes ci-dessus disparaîtront. Mais nous ne sommes pas sûrs; et nous aimerions pour revenir en arrière si possible.

notre question

l'hypothèse ci-dessus est-elle correcte, et si oui, s'agit-il d'un bug dans IIS/Windows/.NET? Dans quelles circonstances cette perte de jeton primaire se produit-elle?