IIS虚拟目录与UNC路径权限初探
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IIS虚拟目录与UNC路径权限初探相关的知识,希望对你有一定的参考价值。
最近在一个项目中涉及到了虚拟目录与UNC路径的问题,总结出来分享给大家。
问题描述
某客户定制化项目(官网),有一个图片上传的功能。客户的Web机器有10台,通过F5负载均衡分摊请求。
假设这10台机器的代号分别为:#1,#2,#3,#4,#5,#6,#7,#8,#9,#10
在没有应用虚拟目录时,访问者A访问官网,可能被分配至机器#1,上传图片,图片被保存在机器#1中;
再次查看时,访问者A可能被F5分配至机器#2,机器#2中没有这张图片,图片无法显示 --> 页面故障。
解决方案
服务器环境:Windows Server 2008 R2 Enterprise Service Pack 1,IIS7(7601)
1. 在所有web服务器上建立windows账户site_share,密码为123456(注意各服务器建立的用户名和密码必须相同);隶属于 IIS_IUSRS组
2. 在文件存储服务器(如果有?或者这里我们从10台机器选一台,如#10机器),站点根目录下,新建文件夹"ImgShare",共享此文件夹,
授予Everyone和site_share用户读写权限。
3.在所有web服务器上,打开IIS,在站点下,新建虚拟目录 ShareFiles ,虚拟目录的路径全部指向#10机器的ImgShare文件夹,如: \\\\#10机器ip\\ImgShare;
点击"连接为",路径凭据选择特定用户,输入第一步中建立的账户和密码。
4.设置站点的IIS身份验证(注意是站点,不是虚拟目录)
4.1 匿名身份验证
编辑匿名身份验证凭据,选择特定用户,输入第一步中建立的账户和密码。
此步骤完成后,各服务器的图片上传,都将被保存到#10机器的共享文件夹ImgShare中,并且可以看到图片上传成功,打开共享文件夹可以看到上传的图片。
但读取图片时,前端仍然无法通过 域名/ShareFiles(虚拟目录名称)/图片.jpg 的方式访问上传的图片。
这种现象,访问#10机器站点可以访问到图片,其它机器则报错:拒绝访问的异常。
为什么呢?
因为#10机器,也就是共享文件夹所在的机器,IIS进程池用户访问的是"本地"的文件,不存在权限问题;而其它9台机器,访问的是远程机器:
保存图片时,写的权限,操作的是独立的“共享”文件夹;
而读取图片时,通过url访问,不能绕过虚拟目录的“父亲”IIS站点,要向站点管理下的资源申请 url访问图片 的权限。
4.2 ASP.NET模拟
请选择界面操作,不要手动去修改web.config文件。即:
编辑ASP.NET模拟设置,选择特定用户,输入第一步中建立的账户和密码。
这样操作之后,访问机器#1的站点,IIS进程用户,就有权限去拿#10机器站点下的文件夹中的图片资源。/ShareFiles(虚拟目录名称)/图片.jpg访问成功。
总结
虚拟目录读取方法:
/// <summary> /// 获取上传目录 /// </summary> /// <returns></returns> public static string GetUploadFolder() { return HttpContext.Current.Server.MapPath("~/虚拟目录名称/"); }
关于第一步中,建立的windows账户为何要归于 IIS_IUSRS用户组下的问题。这要从IIS应用程序池中寻找答案:
另外的小结:
1. IIS进程用户的权限是很低的 ,特别是A机器的IIS进程用户(IIS应用程序池)对B机器而言;
2. 本地机器的IIS执行权限通常很高(即使不高也够使用本地机器资源),在单台服务器环境通常很难发现问题;
参考文章
http://blog.csdn.net/luxiaoyu_sdc/article/details/6773331
http://blog.csdn.net/dahongdahong/article/details/48737885
http://www.cnblogs.com/mannyzhoug/p/IIS-with-UNC-path-0x80070003-and-0x80070005.html
http://cache.baiducontent.com/c?m=9d78d513d9981aee4fece4697d60c0121343f0622ba6a1027ea4843e92732a40501693ac54270704a282203615e80902e5aa7034751421c486d5d81480ee852858d97d6f2c4fc11d49990eafbc1a72873dd701bfb81991baf43493a4d3d8db4353bc08536d80868a5c0516c16af3033194fcdf174b&p=c061c64ad4b111a05bec9f2f5f4788&newp=9e39c153828412a05abd9b7d0c1d9d231610db2151d4d2126b82c825d7331b001c3bbfb42324100ed0ce7b6703a5435fe0f73c79330825a3dda5c91d9fb4c57479&user=baidu&fm=sc&query=iis%BD%F8%B3%CC%D3%C3%BB%A7+unc&qid=d9618d0f00031c65&p1=19
希望本文对你有帮助。
以上是关于IIS虚拟目录与UNC路径权限初探的主要内容,如果未能解决你的问题,请参考以下文章
在 IIS 7.5 和 Windows Server 2008 R2 下为 ASP.NET 授予对联网 UNC 文件夹的写入权限