在IIS 7.5的网站的“基本设置”部分中,可以通过“ Connect As...指定一个用户帐户。 如果保持closures,则使用通过authentication。
我认为会使用应用程序池的身份,但事实并非如此。 为了让我的网站以正确的用户帐户连接到MSSQL,我必须在Connect As...屏幕下指定用户。
那么Connect As...和Application Pool Identity有什么区别?
我猜测这可能与计算机通过networking模拟应用程序池标识的能力有关。 “连接为”具有保存(和encryption)的凭证,因此它可以创build一个完整的主令牌并以该用户身份访问资源。 使用“应用程序用户(通过身份validation)”,这将是一个现有的令牌,并试图使用该令牌模仿。 在这种情况下,如果执行模拟的计算机不受信任委派,则不会成功。
这应该很容易testing和validation。
计算机是否可以信任委派? 在Active Directory用户和计算机>计算机>属性>委派选项卡中。 select“信任此计算机委派任何服务(仅限Kerberos)”。
您可能还需要设置IIS7configuration设置“useAppPoolCredentials”。 这可以使用以下命令设置:
appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true
useAppPoolCredentials = True在2008年使用Kerberos委派
https://blogs.technet.com/b/proclarity/archive/2011/03/08/useapppoolcredentials-true-with-kerberos-delegation-on-2008.aspx
可能相关:
https://stackoverflow.com/questions/3775569/help-with-kerberos-authentication-in-iis-7
尽pipe将应用程序池标识设置为能够login且在“基本设置”中启用“通过身份validation”的用户帐户,但我发现为什么在为MSSSQL服务器连接string使用集成安全性时可能会遇到以下错误的网站:
Microsoft SQL Server Native Client 10.0错误“80040e4d”
用户'NT AUTHORITY \ ANONYMOUS LOGON'login失败。
转到authentication,然后编辑匿名用户 – 默认使用IUSR帐户更改为使用应用程序池标识。