none
IIS Solicitando Senha após remover acesso anônimo

    Pergunta

  • Srs.,

    Tenho um aplicação .NET instalada e esta por sua vez possui um diretório virtual configurado. Preciso que os usuários façam logon diretamente na mesma sem ter a necessidade de digitar usuário e senha. Após reconfigurar o diretório virtual e desabilitar a opção "Enable anonymous acess" ao tentar acessar via browser fica pedindo usuário e senha, passo a minha conta de domínio e a mesma não é autenticada.

    O Pool desta aplicação usa uma conta específica do domínio para funcionar, ao remover esta conta e colocar o padrão do pool como "Network Services" a aplicação volta a funcionar, só que não posso deixar assim porque senão alguns itens da minha aplicação não funcionarão, já que a mesma acessa dados em outro local do mesmo domínio que o meu.

    Alguns detalhes observados são, esta conta que utilizo no aplication pool é administradora local da máquina e faz parte do grupo IIS_WPG;

    Acessando a aplicação no próprio servidor funciona, ou seja, a autenticação integrada funciona;

    Acessando remotamente via browser ao passar a conta de administrador local do servidor funciona;

    Acessando a aplicação via IP ao invés do nome do servidor no próprio browser também funciona parcialmente.

    Alguma idéia do que possamos fazer? Conto com o apoio de todos.

    Grato.


    OBS: Windows 2003 Enterprise com IIS 6.0
    sexta-feira, 17 de fevereiro de 2012 15:46

Respostas

  • Pablo, estes testes eu também já havia realizado e mesmo assim não funcionou, encontrei em outro link bem parecido com o que você havia me informado no próprio technet onde menciona os itens necessários para se configurar o aplication pool para ser executado com contas diferenciadas.

    Acesse e confira em http://viisual.net/TShooting/401-1-Troubleshooting.htm

    Eu estava totalmente de acordo com o documento até a sessão onde deve ser especificada uma SPN para a conta de domínio, após especificar este SPN para a minha conta que rodava no pool aplication finalmente funcionou.

    Estranho que antes da alteração se eu desmarcasse a opção do internet explorer, guia avançado, o item "Usar Autenticação Integrada do Windows" o sistema também funcionava.

    Após identifcar na conta de domínio com o spn relativo à máquina e à URL tudo funcionou normalmente, no documento acima tudo é relatado.

    Obrigado pelo apoio.
    • Marcado como Resposta Cesar_Alex sexta-feira, 24 de fevereiro de 2012 18:50
    sexta-feira, 24 de fevereiro de 2012 18:50

Todas as Respostas

  • Estou migrando está thread para o fórum de IIS das próximas vezes, poste lá!

    Abraço,


    Erick Albuquerque | Microsoft MVP
    MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com

    sexta-feira, 17 de fevereiro de 2012 16:28
  • Obrigado, não havia encontrado um específico. Estou no guardo.

    sexta-feira, 17 de fevereiro de 2012 16:47
  • Bom dia Cezar,

    Porque você desabilitou a opção "Enable anonymous acess"?

    Você quer que todos possam se conectar na pagina ou somente você?

    Se você desabilitar a opção "Enable anonymous acess" somente o usuario "IUSR_maquina" vai ter acesso ao site.

    Agora se você quiser que só você ou um grupo de pessoas consigam acessar o sitem tera que colocar as permissões de seus usuarios no próprio site do IIS, nunca tentei fazer isso, mas pode te ajudar.

    Eu recomendo ter a opção "Enable anonymous acess" selecionada.

    Isso te ajuda?


    []'s, Maikon Pablo Rodrigues

    segunda-feira, 20 de fevereiro de 2012 13:44
  • Caro Pablo, o que ocorre é o seguinte. Anteriormente neste aplicação,  o usuário ao chamá-la via browser precisava digitar o seu usuário e senha para utilizá-la, agora fizemos uma alteração na mesma para que ela faça o logon integrado e assim ao tentar utilizá-la ela faça logon automaticamente já identificando o respectivo usuário.

    Fiz um teste e coloquei nas permissões do IIS ( Botão direito, opção "permissions") a minha conta de domínio, o grupo "usuários do domínio" e o grupo "Everyone" com permissão Full Administrator"

    Em todas as ocasiões ao acessar a aplicação via browser é solicitada o usuário e senha, ao passar a mesma é exibida a opção "You are not authorized to view this page". Http Error 401.1 - Unauthorized: Access is denied due to invalid credentials.

    Lembrando que via NTFS também foram colocadas as mesmas opções, inclusive na pasta Microsoft.Net dentro de c:\windows

    Sei que trata-se de acesso mas não sei onde mais configurar estas permissões.

    quinta-feira, 23 de fevereiro de 2012 11:29
  • Cesar,

    Se por acaso a pasta raiz desse sistema estiver dentro do diretório que seria o padrão c:\\inetpub\wwwroot\sistema, ver se os usuários estão configurados nessa pasta raiz também, e replicar as permissões para as pasta filhos em (security - advance - selecionar a opção replicar segurança - Ok) e testar novamente.


    []'s, Maikon Pablo Rodrigues

    quinta-feira, 23 de fevereiro de 2012 12:31
  • Pablo, sim ela está na raiz padrão, peguei diretamente a pasta Inetpub e estou colocando as permissões diretamente nela, já coloquei o grupo "Authenticated Users" e "Everyone" com permissão Full e mandei substituir nas pastas filho, mesmo assim o problema acontece.

    Estou verificando alguns itens da GPO local desta máquina, já liberei também permissões no IIS para CGI e ASP, mesmo assim o problema ocorre.

    Quando acesso via browser e fica pedindo a senha, se eu passar o administrador local do servidor o sistema carrega, muito estranho.

    Grato pelo apoio.

    quinta-feira, 23 de fevereiro de 2012 14:00
  • Por um acaso não teríamos algum log de auditoria para podermos analisar mais afundo onde e o que está ocorrendo no momento do acesso ? Já tentei os log´s do IIS dentro do c:\windows e mesmo assim não registra nada, habiliei acesso de auditoria do windows e nada é registrado !
    quinta-feira, 23 de fevereiro de 2012 14:02
  • Pablo, observei uma coisa, se eu logar com minha conta Windows localmente no servidor, botão direito do mouse sobre o diretório virtual e escolher a opção "Browse" o sistema carrega e faz o logon automático. Também posso chamar o sistema via browser que tudo funciona mas somente logado na máquina.

    Parece ser alguma permissão de acesso através da rede.

    quinta-feira, 23 de fevereiro de 2012 14:11
  • Cesar, você utiliza que versão do IIS 6.0 ou 7.0?

    []'s, Maikon Pablo Rodrigues

    quinta-feira, 23 de fevereiro de 2012 15:57
  • Estou usando II 6.0 com Windows 2003 Enterprise + Sp2 !
    quinta-feira, 23 de fevereiro de 2012 16:07
  • Cesar,

    Se você esta utilizando o IIS 6.0 vai na tela onde você desce lecionou a opção anonymous logon e um pouco abaixo vai ter uma opção para selecionar ‘’integrado com o Windows’’ essa opção tem que estar selecionada, para que ele consigo autenticar os usuários do Windows no IIS. OBS: este modo de se conectar sem precisar colocar suas credenciais funciona somente com o IE se você utilizar outros tipos de navegadores você será obrigado a colocar usuário e senha, isso foi uma jogada da Microsoft.


    []'s, Maikon Pablo Rodrigues

    quinta-feira, 23 de fevereiro de 2012 16:10
  • Pablo, esta opção está marcada, inclusive já marquei até a opção "Digest authentication for windows domain servers" e "Basic authentication " incluindo o nome do meu domínio na caixa "Default domain", todos insistem em não funcionar.
    quinta-feira, 23 de fevereiro de 2012 16:33
  • Tente fazer um teste deixando somente a opção Integrated Windows Autehtication e abrindo o site com o IE.


    []'s, Maikon Pablo Rodrigues

    quinta-feira, 23 de fevereiro de 2012 16:43
  • É assim mesmo que está configurado e não funciona. Estou vendo uma documentação no link e lá manda remover o grupo IIS_WPG do website padrão e deixar somente as contas que estarei usando no aplication pool.

    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f05a7c2b-36b0-4b6e-ac7c-662700081f25.mspx?mfr=true

    quinta-feira, 23 de fevereiro de 2012 17:13
  • No site Technet também tem alguns artigos que podem te ajudar.<o:p></o:p>

    São alguns jeitos de autenticação.<o:p></o:p>

    http://technet.microsoft.com/en-us/library/cc784103(v=ws.10).aspx


    []'s, Maikon Pablo Rodrigues

    quinta-feira, 23 de fevereiro de 2012 17:26
  • Cesar fiz os testes em minha maquina e funcionou.

    Tanto na pasta quanto no IIS as unicas permissões que terão que estar configurada a as dos próprios usuarios que terão acesso ao site, não precisa colocar every.. asp.. e outros somente os dos usuarios na pasta do site e nos arquivos nele.

    A configuração que fiz no IIS foi somente ter desabilitado a opção Anonymous Logon e deixar abilitada a opção integração com o windows. 

    Outras maquinas da empresa tentaram se conectar no sistema da minha maquina e consseguiram acesso sem precisar colocar senha, lembrando usando o Internet Explore (IE).

    Se ainda você não consseguir, ver se o firewall da sua maquina não esta ativo e se mesmo assim não conseguir comesse a pesquisar se esta tendo algum bloqueio na rede, mas acho quase improvavel ja que antes você consseguia acessar. 


    []'s, Maikon Pablo Rodrigues

    quinta-feira, 23 de fevereiro de 2012 17:46
  • Pablo, estes testes eu também já havia realizado e mesmo assim não funcionou, encontrei em outro link bem parecido com o que você havia me informado no próprio technet onde menciona os itens necessários para se configurar o aplication pool para ser executado com contas diferenciadas.

    Acesse e confira em http://viisual.net/TShooting/401-1-Troubleshooting.htm

    Eu estava totalmente de acordo com o documento até a sessão onde deve ser especificada uma SPN para a conta de domínio, após especificar este SPN para a minha conta que rodava no pool aplication finalmente funcionou.

    Estranho que antes da alteração se eu desmarcasse a opção do internet explorer, guia avançado, o item "Usar Autenticação Integrada do Windows" o sistema também funcionava.

    Após identifcar na conta de domínio com o spn relativo à máquina e à URL tudo funcionou normalmente, no documento acima tudo é relatado.

    Obrigado pelo apoio.
    • Marcado como Resposta Cesar_Alex sexta-feira, 24 de fevereiro de 2012 18:50
    sexta-feira, 24 de fevereiro de 2012 18:50
  • Bacana Cesar!!

    Realmente desconhecia esse tipo de procedimento, nunca precisei usar isso.

    Mais conhecimento nunca é demais...

    Obrigado por compartilhar as suas dificuldades conosco, tenho certeza que alguém um dia vai precisar também.

    Qualquer coisa é só avisar.


    []'s, Maikon Pablo Rodrigues

    segunda-feira, 27 de fevereiro de 2012 12:46