远程共享上的IIS6虚拟目录500错误

Question

我们的服务器在一个域中的服务器场。让我们称之为现场直播。

我们的开发者电脑生活在一个完全独立的公司领域，千里之外。叫它公司吧。

我们有一个大型中央存储单元(unix)，用于存储服务器场中的许多We服务器所需的图像和其他媒体。IIS应用程序池以(比方说)LIVE的形式运行，并使用这些凭据作为虚拟目录连接到中央存储共享，检索映像，并在每个服务器上提供本地映像。

这个问题正在发展中。

在我的开发机器上。我以公司\MyName登录。我的IIS 6应用程序池以网络服务的形式运行。我不能以用户身份从活动域运行它，因为我的机器没有(也不能)连接到该域。

我尝试创建一个虚拟目录，将其指向同一个网络目录，单击Connect As，取消选中“在验证对网络目录的访问时始终使用经过身份验证的用户的凭据”复选框，以便输入登录信息，输入LIVE的credentails \MediaUser，单击OK，验证密码等等。

这不管用。我从IIS获得"HTTP错误500 -内部服务器错误“。

IIS日志文件报告sc-status = 500，sc-substatus = 16，sc-win32-status = 1326。

文档称，这意味着"UNC授权凭据不正确“，Win32状态意味着”登录失败:用户名未知或密码错误“。

如果一切都接近准确，那就太好了。我仔细检查了一下。尝试了多个已知的好登录。IIS管理器允许我在其窗口中查看文件树，只有浏览器才能启动我。

我甚至尝试转到虚拟目录的目录安全选项卡，在“身份验证和访问控制”下，我尝试为匿名访问凭据使用相同的活动域用户名。不走运。

我并不试图在虚拟目录之外运行任何ASP、ASP.NET或其他动态内容。我只希望IIS能够加载静态图像、css和js文件。

如果有人有一些好主意，我会非常感激的！

Answer 1

我以前也有过这个问题。这里有两个建议，这两个建议都不理想，甚至在您的环境中也可能不可能：

1. 将文件存储在非域服务器上的共享上。这样，活动服务器和开发服务器都可以访问它们。
2. 运行日常作业，将必要的文件从活动服务器复制到开发中(通过FTP、FTPS或其他一些方法)。

Answer 2

我同意不加入公司的机器到现场，但有什么理由你不能建立一个单向信任他们之间？基本上，LIVE需要能够验证CORP\user，或者CORP需要能够成功地传递一个LIVE\user凭据(如果它不了解该域，它就不能传递该凭据，即使IIS 6's管理控制台没有太清楚地说明这一点)。

本质上，域之间必须有一定的知识，这样AD才能完成它的任务。UNC共享没有告诉您它没有验证(这将是HTTP 400类错误)。DEV服务器告诉您(通过500.16)它不能为您给它的creds创建令牌，b/c它不知道活动域是什么，所以kerberos不能为它创建令牌。

TechNet on HTTP 500.16：.

为此，IIS使用Windows登录API获取安全令牌，当访问远程存储的内容时，可以使用该令牌模拟安全标识。

Answer 3

我已经解决了使用匿名用户访问域控制器上的远程共享的域用户的问题，它工作得很好。

由衷地