我们有与Windows身份validation设置的子网页(经典的ASP),没有匿名访问。
目标目录的权限设置为读取/执行域本地组。 这个小组由我们build立信任关系的另一个域的成员组成。 我们称之为GroupA
权限也是为我们的域名的IT小组设定的,我是其中一员(GroupIT)。
所有的工作都很好,直到一夜之间发生…
GroupA成员每天早上都无法访问该网站,因此无法login/密码。 在这里input他们的凭据(与域限定符)不起作用。 GroupIT访问正常工作。
Webserver日志显示“401 5”错误。 事件查看器安全日志显示用户向服务器成功validation。
IIS没有完成身份validation过程。 看起来目标文件夹上GroupA的权限被删除。 他们当然仍然可见。
重新启动IIS将问题分类到第二天早上。
花了很多时间尝试深入到底,包括使用MS身份validation诊断,当我使用GroupA用户的凭证探测login时,这确认了Authentication(401)问题。 在web服务器或我们的域名上没有运行任何明显会导致这种情况的任务。 我不认为这是一个caching凭据的情况下,因为我已经添加到GroupA的新用户,并发现他们也无法访问该网站。
我将不胜感激任何想法..
思考:
回收包含已authentication页面的应用程序池是否解决了问题?
包含页面的应用程序是否可以被隔离到自己的应用程序池中?
如果两者都解决了这个问题,那么可以通过为每个应用程序池设置一个循环回收来解决这个问题(代替实际修复问题)。
上午5点之后,第一个请求将启动一个新的应用程序池和工作进程,如果这是修复它,它会使用户透明。
没有足够的关于应用程序或应用程序池的信息 – 以及其他应用程序,ISAPIfilter等使用的信息是否比这更准确。