Viene visualizzato un messaggio di errore quando si tenta di visualizzare una pagina Web da un sito Web che utilizza l'autenticazione pass-through in Internet Information Services 7.0

Sintomi

Si consideri lo scenario seguente:
  • Un computer è in esecuzione Microsoft Internet Information Services (IIS) 7.0.
  • Il percorso fisico di un sito Web è impostato su una directory Universal Naming Convention (UNC).
  • Il sito Web utilizza l'autenticazione pass-through.
  • Si tenta di visualizzare una pagina Web dal sito Web.
In questo scenario, viene visualizzato il seguente messaggio di errore nel browser Web:
Errore HTTP 500.19 - errore interno del Server

Descrizione: Impossibile accedere alla pagina richiesta perché i dati relativi alla configurazione per la pagina non sono validi.
Codice di errore: 0x8007052e
Notifica: BeginRequest
Modulo: IIS Web principali
Richiesta di URL: URL
Percorso fisico: Physical_Path
Accesso utente: Non ancora determinato.
Metodo di accesso: Non ancora determinato.
Gestore: Non ancora determinato.
Errore di configurazione: Impossibile leggere il file di configurazione
Il File di configurazione: \\?\UNC\Configuration_File_Path

Causa

IIS 6.0 utilizza l'identità del processo di lavoro host per connettersi a una directory remota. Quindi, IIS 6.0 autentica l'utente nella directory remota. IIS 7.0 introduce tuttavia scenari di delega. In IIS 7.0, è possibile delegare le impostazioni del sito Web e a livello di applicazione in un file Web. config.

Per l'autenticazione pass-through, il file Web. config viene memorizzato in una directory UNC. Pertanto, l'identità di processo predefinito in IIS 7.0 deve esaminare il file Web. config prima per determinare se è necessario applicare le impostazioni di protezione prima dell'avvio del processo di autenticazione. L'identità di processo predefinito in IIS 7.0 non dispone delle autorizzazioni sufficienti per aprire il file Web. config. Pertanto, è respinta la richiesta Web.

Se non è presente alcun file Web. config nella directory UNC, IIS 7.0 utilizza le regole definite per la directory padre. Per il contenuto Web da servire in questo scenario, l'identità del processo di lavoro deve avere accesso alla directory del suo contenuto. In caso contrario, viene rifiutata la richiesta Web.

Risoluzione

Per risolvere il problema e per assicurarsi che l'autenticazione pass-through funziona correttamente, procedura come segue:
  1. Assicurarsi che tutti gli account utente che accedono alla directory UNC dispongano almeno dell'autorizzazione di lettura per la directory UNC.

    Nota: Questo comportamento è lo stesso comportamento in IIS 6.0.
  2. Assicurarsi che l'identità del processo di lavoro IIS è in esecuzione con un account di dominio o un account di gruppo di lavoro che esiste anche il server di file UNC. Se necessario, creare un account sul server di file UNC che ha lo stesso nome utente e la stessa password come identità del processo di lavoro IIS.

    Note
    • Questo comportamento è diverso da quello in IIS 6.0.
    • Per impostazione predefinita, il pool di applicazioni DefaultAppPool viene eseguito con l'account servizio di rete. Questo account è locale al computer e questo account non esiste un altro computer. Pertanto, assicurarsi di configurare il pool di applicazioni DefaultAppPool per utilizzare un account utente di dominio. Quindi, è possibile utilizzare lo stesso account del server di file UNC. In alternativa, è possibile creare un account di gruppo di lavoro sul server di file UNC e nel computer che esegue IIS 7.0.
  3. Se è presente un file Web. config nella directory UNC, modificare l'elenco di controllo di accesso discrezionale (DACL) per il file Web. config in modo che l'elenco DACL contiene l'account che verifica nel passaggio 2. In alternativa, modificare l'elenco DACL per il file Web. config in modo che l'elenco DACL contiene l'account creato nel passaggio 2.

    Se non è presente alcun file Web. config nella directory UNC, modificare l'elenco DACL per la directory UNC in modo che l'elenco DACL contiene l'account che verifica nel passaggio 2. In alternativa, modificare l'elenco DACL per la directory UNC in modo che l'elenco DACL contiene l'account creato nel passaggio 2.

    Nota: Questo comportamento è diverso da quello in IIS 6.0.

Soluzione alternativa

Per aggirare questo problema, configurare il sito Web per connettersi alla directory UNC utilizzando un account utente specifico. Quando il sito Web utilizza un account utente specifico, il processo di lavoro rappresenta l'identità dell'utente specificato.

Stato

Questo è il comportamento previsto.
Proprietà

ID articolo: 934515 - Ultima revisione: 31 gen 2017 - Revisione: 1

Feedback