IIS 应用程序池不会在组托管服务帐户下启动 [关闭]

Posted 2023-02-16

【中文标题】IIS 应用程序池不会在组托管服务帐户下启动 [关闭]

【英文标题】：IIS App pool wont start under group managed service account [closed]

【发布时间】：2017-05-09 16:26:57

【问题描述】：

我正在尝试在同一个活动目录组托管服务帐户SomeServiceAccount 下运行 Windows 服务和 IIS 网站。

我有 2 台服务器 App 和 Web。 我创建了一个名为SomeGroup 的组，并使用命令添加了App 和Web Add-ADGroupMember "SomeGroup" -Members (Get-ADComputer "App") 和 Add-ADGroupMember "SomeGroup" -Members (Get-ADComputer "Web")

重新启动两台机器以确保它们是组的一部分

在域控制器上运行命令 New-ADServiceAccount -Name SomeServiceAccount -Enabled $true -DNSHostName 域控制器 -PrincipalsAllowedToRetrieveManagedPassword "SomeGroup"

去两台机器上跑Set-AdServiceAccount SomeServiceAccount

在App 机器上用用户SOMEDOMAIN\SomeServiceAccount$ 启动windows 服务，没有密码，它启动正常

转到Web 机器，分配的应用程序池标识如上。 点击网站，应用程序池停止。

在事件日志中有一个错误： Application pool SomePool has been disabled. Windows Process Activation Service (WAS) encountered a failure when it started a worker process to serve the application pool.

旁边有两个警告

Application pool SomePool has been disabled. Windows Process Activation Service (WAS) did not create a worker process to serve the application pool because the application pool identity is invalid.

和

The identity of application pool SomePool is invalid. The user name or password that is specified for the identity may be incorrect, or the user may not have batch logon rights. If the identity is not corrected, the application pool will be disabled when the application pool receives its first request. If batch logon rights are causing the problem, the identity in the IIS configuration store must be changed after rights have been granted before Windows Process Activation Service (WAS) can retry the logon. If the identity remains invalid after the first request for the application pool is processed, the application pool will be disabled. The data field contains the error number.

服务运行但网站 503s 并在我访问该网站时停止应用程序池。 我已更改网站的权限以允许服务帐户访问它。

有人有什么想法吗？我真的很希望能够使用 GMSA 而不是普通的域帐户来运行它

【参考方案1】：

确保您已将服务帐户添加到运行应用程序池的服务器上的“允许批量登录”设置的用户？

https://www.***snet.com/faq/granting-logon-as-batch-privilege

【讨论】：

真正明显的答案，但确实非常有用。你是我的橡皮鸭！

在我的例子中，gMSA 已经存在并且消息仍然出现。请注意，gMSA 在另一台服务器上工作。

【参考方案2】：

用户需要上述权限，我需要将其添加到公司定义的组中。