Сайт ASP.NET MVC 3 Intranet на IIS7.5 с аутентификацией Windows выдает 401,3, и при попытке входа в систему авторизация файла не удалась
Я сделал сайт ASP.NET MVC 3 Intranet с включенной аутентификацией Windows:
в свойствах файла проекта Visual Studioв web.config, т.е.<authentication mode="Windows"/>на сайте свойств в IIS 7.5. серверАнонимный доступ отключен для всех вышеперечисленных, говорится в файле web.config.<deny users="?"/>, Олицетворение отключено в файле web.config от имени<impersonate="false"/> и на свойствах сайта в сервере IIS 7.5. И, наконец, NETWORK SERVICE настроен для запуска пула приложений, а также имеет папку Read on the site (хотя вы не уверены, нужна ли она вам, вы скажете мне, но этого недостаточно для решения моей проблемы ниже).
Теперь при входе в систему через стандартное диалоговое окно «Проверка подлинности Windows» пользователям домена выдается ошибка 401.3 после трех действительных попыток входа в систему. Кажется, это происходит еще до того, как я получил код моего сайта MVC, то есть он полностью связан с IIS. Журнал событий дает следующий вид записи (это информационная запись, а не ошибка, и я немного запутал ее для защиты своего клиента) для всех пользователей, которые пытались войти в систему:
Event code: 4008
Event message: File authorization failed for the request.
Event time: 2012-02-20 18:45:41
Event time (UTC): 2012-02-20 17:45:41
Event ID: 6dd3b4bf99784ba1a0fe06694dd89691
Event sequence: 3
Event occurrence: 1
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/2/ROOT-1-129742335229554599
Trust level: Full
Application Virtual Path: /
Application Path: D:\Public\BlahblahManager\
Machine name: HUB01-XYZ123
Process information:
Process ID: 2920
Process name: w3wp.exe
Account name: NT AUTHORITY\NETWORK SERVICE
Request information:
Request URL: http://blahblahmanager.user.ad.blah.com/
Request path: /
User host address: 134.XXX.XXX.XXX
User: USER-AD\teh-user
Is authenticated: True
Authentication Type: Negotiate
Thread account name: NT AUTHORITY\NETWORK SERVICE
Custom event details:
Это только когда я специально даюUSER-AD\teh-user или жеUSER-AD\Domain пользователиRead разрешение на корневую папку сайта (D: \ Public \ BlahblahManager), чтобы пользователь мог войти в систему и фактически увидеть сайт.
Почему это? Там должна быть какая-то конфигурация, которую я пропускаю. Разве этого не должно быть достаточно, чтобы СЕТЬ СЕТИ имела Чтение в корневой папке сайта? Я гуглил это некоторое время, и тут и там упоминается подражание, но суд присяжных все еще отсутствует. Некоторые сайты утверждают, что вы должны использовать олицетворение, и они предоставляют примеры того, как это сделать, но когда я опробую примеры, это все равно не работает. На других сайтах говорится, что олицетворение - это НЕ ПУТЬ, и вам НУЖНО предоставить разрешения для папок в этих случаях. Но это кажется странной вещью. Пользователи не имеют бизнеса на реальном сервере, они должны работать только через веб-сайт.
Какие-либо предложения? Какой минимальный объем конфигурации необходим для работы? Любые советы о том, как решить эту проблему и найти причину?