最近遇到一个很有意思的使用环境,操作人员将所有的网站应用内容投放到共享存储里面,并且使用微软的SMB协议将其以CIFS的方式共享出来,使用Windows Server 2008 R2的IIS将其连接起来。在多IIS主机的情况下,实现一次部署,多点生效的效果。
不过在使用的时候遇到了一些问题,在汉语世界里面似乎这样用的环境不多,特别总结一下这样的场景,撰文分享给大家。
错误代码:0x80070003
起初的想法,操作者使用了Windows的映射网络驱动器的方法将UNC路径转换成了一个Windows的盘符,默认的Windows会给整个计算机里的第一个映射Z盘,紧接着,在IIS里面添加这个网站,建个网站的根目录指向到这个Z盘下面的wwwroot文件夹下面,启动一下,浏览后就看到了该错误代码。搜索错误代码,最有用的信息是将其更换成UNC路径而非映射盘符。
错误代码:0x80070005
更换成UNC路径之后,再次浏览后就看到了该错误代码,提示“由于权限不足而无法读取配置文件”。
Figure 1错误提示很明显,权限不足
关于权限相关的问题我自然的想到了procmon工具,和权限有关的肯定逃不过procmon的法眼了!
Figure 2工具呈现出访问被拒绝(Access Denied),path是刚刚更换的unc路径
Figure 3进程选项卡内看到的该进程是由这个IIS资源池下的bbbb用户启动的,这个和我们新建的网站虚拟名称一致
罗列出来的这个IIS APPPOOL\bbbb的用户我们是在Windows传统的用户和用户组下面无法查看到的,而且即便是我们先前映射了Z盘,也是需要口令密码的,这个bbbb用户应该不会走系统层面去找对应的token的,况且机器会有重启,自动更新等操作,新起来之后还要认为的输入用户名和口令(非域环境下),这显然不科学。
网上搜来搜去有些结果,归类如下:
- 如果使用的是2003系统可以用一个vbs命令来获取到iusr用户的密码,创建网站的时候可以这样来填写认证信息,但是2008系统下面已经不能这样查看。
- 使用subst创建虚拟映射盘符,来欺骗2008认为这个是本地硬盘而非一个UNC路径,但是这个尝试之后又会回到起初的那个0x80070003错误。
- 还有的尝试使用mklink创建一个符号连接的方式映射到本地磁盘的固定目录,结果这个也会回到0x80070003错误。
从上面的经历来看,大家的思路有两个,一个是欺骗IIS、一个是使用破解的用户名密码去进行验证。
更换英文关键字接的搜索,突然在一个微软工程师anilr的回帖中找到了问题的解决办法,https://forums.iis.net/post/1905350.aspx
他说继续保持UNC路径,在"connect as"中输入用户名密码进行校验即可。
这个“connect as”对应中文应该是个什么呢?直译叫做“连接为”,这个好像在新建网站的时候见到过。
Figure 4添加网站的时候可以看到连接为,点开始后和凭证有关!
对于新网站可以这样操作,对于已经有的网站该怎么处理呢?
Figure 5通过搜索IIS的内置帮助,看看到底哪些地方会出现“连接为”,发现有物理路径这样的关键字出现
Figure 6顺而在网站的高级设置里面找到了物理路径凭据,下面的解释有需要填写用户名密码这类的要求。
根据需要在物理路径凭据下面输入可以访问那个UNC路径的用户名和密码。
这里补充说明一下,既然还是和微软的SMB协议有关,登陆验证也是基于NTLM的相同用户验证的策略,所以这里我们需要在IIS节点上创建一个和文件服务器用来共享这个UNC路径一致的用户。
否则如果你即便输入了映射时候的对端密码账号也是无效的,因为你本地IIS计算机节点上并没有这个用户。
Figure 7输入和对端一样的用户名密码之后点击确定,生效!
再次浏览问题全无,运行正常。
此时我们再请出Procmon看看。
Figure 8通过查看第一条访问文件的权限,我们看到Impersonating(伪装用户)已经是这个IIS节点上的有权限访问该UNC路径的用户了 。
至此,所有的疑惑已经解决,使用到的知识点都是基本的Windows操作原理,是从系统工作人员的角色解决WEB程序的报错的一个有意思的案例!
-=EOB=-