我有一个数据库和一个具有表单身份验证的站点。它在 VS2008 上运行良好。这一次,我使用的是“Trusted_connection =True”。但是当它从外部或直接从浏览器打开时,我收到错误“用户'NT AUTHORITY\ANONYMOUS LOGON'登录失败。”
我知道这是由于许可。 SQL 服务器基于 Windows 身份验证。
让我知道该怎么做才能使生产感觉良好,并且在部署过程中不会出现任何问题。
注意:SQL Server 安装在域服务器上。
【问题讨论】:
标签: asp.net sql-server database configuration connection-string
站点身份验证与 ASP 和 SQL 之间的身份验证无关。 “表单身份验证”实际上并不是真正的身份验证形式,它只是 ASP.Net 应用程序的角色和成员身份,与安全基础架构无关。
当您从 Visual Studio 运行您的站点时,您将在您自己的帐户下启动 Visual Studio Web 服务器,并且此 Web 服务器将使用 NTLM/Kerberos 对 SQL Server 进行身份验证,因为它是在您的凭据下运行的。
当您从浏览器访问该站点时,您的站点正在以所述应用程序池的身份从 IIS 应用程序池运行,通常是一个名为 IUSER_ 的本地用户...这个本地用户,在使用 SQL Server 进行身份验证时使用 NTLM/Kerberos 将作为匿名用户进行身份验证,因为本地帐户在托管 SQL Server 的远程计算机/域上没有任何意义。
解决方案是将应用程序池标识更改为可以通过 SQL Server 进行良好身份验证的用户。为此,IIS 主机必须加入与 SQL Server 主机相同的域(或信任 SQL Server 主机域的域),并且必须将应用程序池标识更改为来自该域的帐户。因此,如果 SQL Server 机器在加入域 FOO 的机器上运行,那么:
使用 SQL 身份验证的替代方法不好,原因有几个(可能会在 web.config 中公开密码,可能会在在线身份验证期间公开密码)。如果 IIS 主机未加入域,那么您可以使用镜像帐户(在 IIS 主机和 SQL 主机上具有相同名称和密码的本地帐户)但这也存在缺陷:无法使用 Kerberos ,帐户密码必须在两台主机等上保持同步。
【讨论】:
一种方法是创建一个服务帐户供应用程序使用。您在 Active Directory 或类似中创建帐户。在 IIS 中,将应用程序池设置为在该服务帐户下运行。在 SQL Server 中,直接或通过将服务帐户置于角色中来授予服务帐户的权限。
这是一篇关于how to do that的文章。
【讨论】:
在 SQL 服务器计算机和 Web 服务器 (IIS) 计算机都属于或信任的域中创建托管服务帐户。然后在托管服务帐户上运行 Web 服务器的应用程序池。使用托管服务帐户创建 SQL Server 登录。阅读以下 Technet 帖子,了解有关创建托管服务帐户的更多信息;
http://technet.microsoft.com/en-us/library/dd548356(v=ws.10).aspx
【讨论】: