ASP.NET 在域控制器上使用默认 ASPNET 帐户不能正常运行!

asp.net|控制

症状
在域控制器或备份域控制器上安装 Microsoft Visual Studio .NET 或 Microsoft .NET Framework 后,如果您尝试运行 ASP.NET 应用程序,则浏览器会显示下面的错误信息:

Server Application Unavailable

The web application you are attempting to access on this web server is currently unavailable.

Please hit the "Refresh" button in your web browser to retry your request.
此外,系统应用程序事件日志中会记录以下事件:

aspnet_wp.exe could not be launched because the username and/or password supplied in the processModel section of the config file are invalid.
aspnet_wp.exe could not be started.
HRESULT for the failure: 80004005
此问题涉及 Internet 信息服务 (IIS) 5.0 版或更高版本。
原因
默认情况下,为了提供更安全的环境,ASP.NET 用权限较弱的帐户(名为 ASPNET 的本地计算机帐户)运行其辅助进程 (Aspnet_wp.exe)。在域控制器或备份域控制器上,所有的用户帐户都是域帐户,而不是本地计算机帐户。因此,Aspnet_wp.exe 会由于找不到名为“localmachinename\ASPNET”的本地帐户而无法启动。若要在域控制器上提供有效的用户帐户,必须在 Machine.config 文件的 <processModel> 部分指定显式帐户,或者必须使用 SYSTEM 帐户。

注意:如果在尝试浏览页面之前尝试进行调试(单击启动按钮),也会遇到这一问题。
解决方案
要解决此问题,请使用下列方法之一:
创建具有正确权限的弱帐户,然后配置 Machine.config 文件的 <processModel> 部分以使用该帐户。
在 Machine.config 文件的 <processModel> 部分,将 userName 属性设置为 SYSTEM。
配置 Machine.config 文件的 <processModel> 部分以使用管理员帐户。
注意:在 ASP.NET 1.1 中,ASPNET 的进程标识为 IWAM_MachineName,所以不存在此问题。

注意:如果允许 ASP.NET 应用程序作为 SYSTEM 或管理员帐户运行,将带来严重的安全问题。如果使用其中的任一种替代方法,在 Aspnet_wp.exe 进程中运行的代码都将有权访问域控制器和域设置。从 Aspnet_wp.exe 进程启动的可执行文件在相同的上下文中运行,它们也有权访问域控制器。

因此,Microsoft 建议使用第一种替代方法。若要使用第一种替代方法,请按照下列步骤操作:
在计算机上创建名为 ASPUSER 的用户帐户,然后将此帐户添加到用户组中。

注意:如果更改了 .NET Framework 创建的 ASPNET 帐户的密码,也可以使用该帐户。您必须知道此帐户的密码,因为需要在后面的步骤中将该密码添加到 <processModel> 部分。
授予 ASPUSER 或 ASPNET 帐户“作为批处理作业登录”用户权限。确保此更改出现在“本地安全策略”设置中。

注意:若要向此帐户授予“作为批处理作业登录”用户权限,可能必须在以下每一个安全策略中都授予此用户权限(从控制面板/管理工具开始操作):

域控制器安全策略
域安全策略
本地安全策略

注意:您可能必须重新启动服务器以使这些更改生效。
确保 ASPUSER 或 ASPNET 帐户有权访问启动 Aspnet_wp.exe 进程和为 ASP.NET 页提供服务所必需的全部目录和文件。 有关必须授予此帐户何种权限的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
317012 INFO:ASP.NET 中的进程和请求标识

打开 Machine.config 文件。该文件的路径是:%Systemroot%\Microsoft.NET\Framework\v1.0.3705\CONFIG。
在 Machine.config 文件的 <processModel> 部分,将 userName 和 password 属性更改为您在第一步中创建的帐户的名称和密码。例如:
userName="DomainName\ASPUSER" password="ASPUSERpassword"
保存对 Machine.config 文件所做的更改。
状态
Microsoft 已经确认这是本文开头列出的 Microsoft 产品中存在的错误。 此错误在 ASP.NET(包括在 .NET Framework 中)1.1 版中得到了纠正。

时间: 2024-08-03 23:46:28

ASP.NET 在域控制器上使用默认 ASPNET 帐户不能正常运行!的相关文章

FIX:ASP.NET 在域控制器上使用默认 ASPNET 帐户不能正常运行

asp.net|控制 本文的发布号曾为 CHS315158症状在域控制器或备份域控制器上安装 Microsoft Visual Studio .NET 或 Microsoft .NET Framework 后,如果您尝试运行 ASP.NET 应用程序,则浏览器会显示下面的错误信息: Server Application Unavailable The web application you are attempting to access on this web server is curren

如何在域控制器上安装asp.net?

asp.net|控制 在域控制器或备份域控制器上安装 Microsoft Visual Studio .NET 或 Microsoft .NET 框架后,如果您尝试运行 ASP.NET 应用程序,则浏览器会显示下面的错误信息: Server Application Unavailable The web application you are attempting to access on this web server is currently unavailable. Please hit

如何把一台成员服务器提升为域控制器(2)

在我的上一篇文章中,已经把一台名为Server的成员服务器提升为了域控制器,那我们现在来看一下 如何把下面的工作站加入到域. 由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆 到域控制器,运行"dsa.msc",出现"AD用户和计算机"管理控制台: 先来新建一个用户,展开"demo.com",在"Users"上击右键,点"新建"-"用户": 然后出

通过ASP.net程序创建域帐户故障

asp.net|程序|创建 我曾经成功地使用windows程序成功的创建了一批带邮箱的域帐户,但是,当我把这段代码交给我的一个同事(她负责开发Web应用)迁移到asp.net中后,只能创建域帐户,不能创建邮箱.为什么呢? 我们咨询了微软的工程师,他告诉我们,这是由于asp.net的权限不够,我们应该在asp.net模拟用户,这样就可以成功创建. 我将微软的相关文章摘录下来: 模拟 IIS 验证的帐户或用户 若要在收到 ASP.NET 应用程序中每个页的每个请求时模拟 Microsoft Inte

AD部署教程:安装只读域控制器(RODC)

因为距离的关系,可能我们有时候在一些办事处可能也需要DC,但是那边又没有专业的IT技术人员,这时就架设一台只读域控制器. 特性: 只读AD DS数据库 RODC上保存了可写域控制器上除帐号密码外的所有对象和属性的只读副本,所有对AD DS数据库的更改都只能在可写域控制器上进行,然后再复制给RODC;  需要对目录进行读取的应用程序可以获取访问权限.请求写入访问的轻型目录应用程序协议(LDAP)应用程序将接收LDAP引用响应,该响应将其定向到可写域控制器. 单向复制 因为任何AD数据库的更改都不会

保障Win 2003域控制器的安全性

域控制器,正如其名,它具有对整个Windows域以及域中的所有计算机的管理权限.因此你必须花费更多的精力来确保域控制器的安全,并保持其安全性.本文将带您了解一些在域控制器上应该部署的安全措施. 域控制器的物理安全 第一步(也是常常被忽视的一步)就是要保障你的域控制器的物理安全.也就是说,你应该将服务器放在一间带锁的房间,并且严格的审核和记录该房间的访问情况.不要有"隐蔽起来就具有很好的安全性"这样的观点,错误地认为将这样一台关键的服务器放在一个偏僻的地方而不加以任何保护,就可以抵御那些

域控制器简介

"域"的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合.一提到组合,势必需要严格的控制.所以实行严格的管理对网络安全是非常必要的.在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等.尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解.在由Windows 9x构成的对等网中,数据的传输是非常不安全的. 不过在"域"模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为&qu

Windows Server 2008 R2各个域控制器兼容性分析

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   Windows操作系统在不断的升级,为此企业的网络环境也是一个不断升级的过程中,Windows Server 2008推出来之后,企业将域环境升级到Windows Server 2008也有一个过程. 有一家DTM公司在浙江.广西等地都有分公司.为了统一网络环境,网络管理员设置了如下的域树结果.其中dtm.cn是集团总公司所在的域,而zj.dtm.cn与gx.d

为运行Windows Server 2008的域控制器配置活动目录林架构

在你能将运行Windows Server 2008的域控制器添加到运行Windows 2000 Server及Windows Server 2003的活动目录环境之前,你必须更新活动目录架构.你必须在拥有架构操作主机角色的域控制器上更新架构.如果你打算执行Windows Server 2008 AD DS无人值守安装的话,你必须在你安装操作系统之前更新架构.如果是正常安装的话,你必须更新架构在你运行"Setup"之后并且在你安装AD DS之前. 在你配置好活动目录林之后,你需要配置任何