IIS Solicitando Senha após remover acesso anônimo
-
sexta-feira, 17 de fevereiro de 2012 15:46
Srs.,
Tenho um aplicação .NET instalada e esta por sua vez possui um diretório virtual configurado. Preciso que os usuários façam logon diretamente na mesma sem ter a necessidade de digitar usuário e senha. Após reconfigurar o diretório virtual e desabilitar a opção "Enable anonymous acess" ao tentar acessar via browser fica pedindo usuário e senha, passo a minha conta de domínio e a mesma não é autenticada.
O Pool desta aplicação usa uma conta específica do domínio para funcionar, ao remover esta conta e colocar o padrão do pool como "Network Services" a aplicação volta a funcionar, só que não posso deixar assim porque senão alguns itens da minha aplicação não funcionarão, já que a mesma acessa dados em outro local do mesmo domínio que o meu.
Alguns detalhes observados são, esta conta que utilizo no aplication pool é administradora local da máquina e faz parte do grupo IIS_WPG;
Acessando a aplicação no próprio servidor funciona, ou seja, a autenticação integrada funciona;
Acessando remotamente via browser ao passar a conta de administrador local do servidor funciona;
Acessando a aplicação via IP ao invés do nome do servidor no próprio browser também funciona parcialmente.
Alguma idéia do que possamos fazer? Conto com o apoio de todos.
Grato.
OBS: Windows 2003 Enterprise com IIS 6.0- Editado Cesar_Alex sexta-feira, 17 de fevereiro de 2012 15:47
- Movido Erick AlbuquerqueMVP, Moderator sexta-feira, 17 de fevereiro de 2012 16:29 Forum Apropriado (De:Windows Server 2003)
Todas as Respostas
-
sexta-feira, 17 de fevereiro de 2012 16:28Moderador
Estou migrando está thread para o fórum de IIS das próximas vezes, poste lá!
Abraço,
Erick Albuquerque | Microsoft MVP
MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com -
sexta-feira, 17 de fevereiro de 2012 16:47
Obrigado, não havia encontrado um específico. Estou no guardo.
-
segunda-feira, 20 de fevereiro de 2012 13:44
Bom dia Cezar,
Porque você desabilitou a opção "Enable anonymous acess"?
Você quer que todos possam se conectar na pagina ou somente você?
Se você desabilitar a opção "Enable anonymous acess" somente o usuario "IUSR_maquina" vai ter acesso ao site.
Agora se você quiser que só você ou um grupo de pessoas consigam acessar o sitem tera que colocar as permissões de seus usuarios no próprio site do IIS, nunca tentei fazer isso, mas pode te ajudar.
Eu recomendo ter a opção "Enable anonymous acess" selecionada.
Isso te ajuda?
[]'s, Maikon Pablo Rodrigues
-
quinta-feira, 23 de fevereiro de 2012 11:29
Caro Pablo, o que ocorre é o seguinte. Anteriormente neste aplicação, o usuário ao chamá-la via browser precisava digitar o seu usuário e senha para utilizá-la, agora fizemos uma alteração na mesma para que ela faça o logon integrado e assim ao tentar utilizá-la ela faça logon automaticamente já identificando o respectivo usuário.
Fiz um teste e coloquei nas permissões do IIS ( Botão direito, opção "permissions") a minha conta de domínio, o grupo "usuários do domínio" e o grupo "Everyone" com permissão Full Administrator"
Em todas as ocasiões ao acessar a aplicação via browser é solicitada o usuário e senha, ao passar a mesma é exibida a opção "You are not authorized to view this page". Http Error 401.1 - Unauthorized: Access is denied due to invalid credentials.
Lembrando que via NTFS também foram colocadas as mesmas opções, inclusive na pasta Microsoft.Net dentro de c:\windows
Sei que trata-se de acesso mas não sei onde mais configurar estas permissões.
-
quinta-feira, 23 de fevereiro de 2012 12:31
Cesar,
Se por acaso a pasta raiz desse sistema estiver dentro do diretório que seria o padrão c:\\inetpub\wwwroot\sistema, ver se os usuários estão configurados nessa pasta raiz também, e replicar as permissões para as pasta filhos em (security - advance - selecionar a opção replicar segurança - Ok) e testar novamente.
[]'s, Maikon Pablo Rodrigues
-
quinta-feira, 23 de fevereiro de 2012 14:00
Pablo, sim ela está na raiz padrão, peguei diretamente a pasta Inetpub e estou colocando as permissões diretamente nela, já coloquei o grupo "Authenticated Users" e "Everyone" com permissão Full e mandei substituir nas pastas filho, mesmo assim o problema acontece.
Estou verificando alguns itens da GPO local desta máquina, já liberei também permissões no IIS para CGI e ASP, mesmo assim o problema ocorre.
Quando acesso via browser e fica pedindo a senha, se eu passar o administrador local do servidor o sistema carrega, muito estranho.
Grato pelo apoio.
-
quinta-feira, 23 de fevereiro de 2012 14:02Por um acaso não teríamos algum log de auditoria para podermos analisar mais afundo onde e o que está ocorrendo no momento do acesso ? Já tentei os log´s do IIS dentro do c:\windows e mesmo assim não registra nada, habiliei acesso de auditoria do windows e nada é registrado !
-
quinta-feira, 23 de fevereiro de 2012 14:11
Pablo, observei uma coisa, se eu logar com minha conta Windows localmente no servidor, botão direito do mouse sobre o diretório virtual e escolher a opção "Browse" o sistema carrega e faz o logon automático. Também posso chamar o sistema via browser que tudo funciona mas somente logado na máquina.
Parece ser alguma permissão de acesso através da rede.
-
quinta-feira, 23 de fevereiro de 2012 15:57Cesar, você utiliza que versão do IIS 6.0 ou 7.0?
[]'s, Maikon Pablo Rodrigues
-
quinta-feira, 23 de fevereiro de 2012 16:07Estou usando II 6.0 com Windows 2003 Enterprise + Sp2 !
-
quinta-feira, 23 de fevereiro de 2012 16:10
Cesar,
Se você esta utilizando o IIS 6.0 vai na tela onde você desce lecionou a opção anonymous logon e um pouco abaixo vai ter uma opção para selecionar ‘’integrado com o Windows’’ essa opção tem que estar selecionada, para que ele consigo autenticar os usuários do Windows no IIS. OBS: este modo de se conectar sem precisar colocar suas credenciais funciona somente com o IE se você utilizar outros tipos de navegadores você será obrigado a colocar usuário e senha, isso foi uma jogada da Microsoft.
[]'s, Maikon Pablo Rodrigues
-
quinta-feira, 23 de fevereiro de 2012 16:33Pablo, esta opção está marcada, inclusive já marquei até a opção "Digest authentication for windows domain servers" e "Basic authentication " incluindo o nome do meu domínio na caixa "Default domain", todos insistem em não funcionar.
-
quinta-feira, 23 de fevereiro de 2012 16:43
Tente fazer um teste deixando somente a opção Integrated Windows Autehtication e abrindo o site com o IE.
[]'s, Maikon Pablo Rodrigues
-
quinta-feira, 23 de fevereiro de 2012 17:13
É assim mesmo que está configurado e não funciona. Estou vendo uma documentação no link e lá manda remover o grupo IIS_WPG do website padrão e deixar somente as contas que estarei usando no aplication pool.
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f05a7c2b-36b0-4b6e-ac7c-662700081f25.mspx?mfr=true
-
quinta-feira, 23 de fevereiro de 2012 17:26
No site Technet também tem alguns artigos que podem te ajudar.<o:p></o:p>
São alguns jeitos de autenticação.<o:p></o:p>
http://technet.microsoft.com/en-us/library/cc784103(v=ws.10).aspx
[]'s, Maikon Pablo Rodrigues
-
quinta-feira, 23 de fevereiro de 2012 17:46
Cesar fiz os testes em minha maquina e funcionou.
Tanto na pasta quanto no IIS as unicas permissões que terão que estar configurada a as dos próprios usuarios que terão acesso ao site, não precisa colocar every.. asp.. e outros somente os dos usuarios na pasta do site e nos arquivos nele.
A configuração que fiz no IIS foi somente ter desabilitado a opção Anonymous Logon e deixar abilitada a opção integração com o windows.
Outras maquinas da empresa tentaram se conectar no sistema da minha maquina e consseguiram acesso sem precisar colocar senha, lembrando usando o Internet Explore (IE).
Se ainda você não consseguir, ver se o firewall da sua maquina não esta ativo e se mesmo assim não conseguir comesse a pesquisar se esta tendo algum bloqueio na rede, mas acho quase improvavel ja que antes você consseguia acessar.
[]'s, Maikon Pablo Rodrigues
-
sexta-feira, 24 de fevereiro de 2012 18:50
Pablo, estes testes eu também já havia realizado e mesmo assim não funcionou, encontrei em outro link bem parecido com o que você havia me informado no próprio technet onde menciona os itens necessários para se configurar o aplication pool para ser executado com contas diferenciadas.
Acesse e confira em http://viisual.net/TShooting/401-1-Troubleshooting.htm
Eu estava totalmente de acordo com o documento até a sessão onde deve ser especificada uma SPN para a conta de domínio, após especificar este SPN para a minha conta que rodava no pool aplication finalmente funcionou.
Estranho que antes da alteração se eu desmarcasse a opção do internet explorer, guia avançado, o item "Usar Autenticação Integrada do Windows" o sistema também funcionava.
Após identifcar na conta de domínio com o spn relativo à máquina e à URL tudo funcionou normalmente, no documento acima tudo é relatado.
Obrigado pelo apoio.- Marcado como Resposta Cesar_Alex sexta-feira, 24 de fevereiro de 2012 18:50
-
segunda-feira, 27 de fevereiro de 2012 12:46
Bacana Cesar!!
Realmente desconhecia esse tipo de procedimento, nunca precisei usar isso.
Mais conhecimento nunca é demais...
Obrigado por compartilhar as suas dificuldades conosco, tenho certeza que alguém um dia vai precisar também.
Qualquer coisa é só avisar.
[]'s, Maikon Pablo Rodrigues
.png)
