Identitätswechsel und Delegierung

Question

Ich bin mit Identitätswechsel verwendet wird, Datei wie unten teilt auf UNC zugreifen zu können.

  var ctx = ((WindowsIdentity)HttpContext.Current.User.Identity).Impersonate();
  string level = WindowsIdentity.GetCurrent().ImpersonationLevel);

Auf zwei Windows 2003 Server mit IIS 6, erhalte ich unterschiedliche Identitätswechsel Ebene:. Delegation auf einem Server und Identitätswechsel auf dem anderen Server

Dies führt zu Problemen, wo ich bin nicht in der Lage die UNC-Freigabe auf dem Server mit ‚Identitätswechsel‘ Ebene zugreifen zu können.

Was könnte die Ursache dieser Unterschied? Ich suchte durch machine.config und IIS-Einstellungen für die App-Pool, Website und virtuelle Verzeichnisse -., Sind aber nicht in der Lage, die Ursache für dieses Problem finden

Answer 1

Es klingt wie eine der Computer für die Delegierung von Active Directory vertrauenswürdig ist, aber das andere nicht. Wenn die App Pool Identität Network Service ist, stellen Sie sicher, dass das Computerkonto in AD „für die Delegierung vertraut“ markiert ist.

Sie müssen Ihre AD Admin bitten, eine Replikation zu erzwingen und dann ausloggen / in auf der Workstation Ihre Kerberos-Ticket-Cache zu aktualisieren.

Answer 2

Wenn Ihre Tests mit localhost als Webserver und seinen Arbeits aber, wenn Sie eine Fehlermeldung erhalten Sie entfalteten in das Double-Hop-Problem ausgeführt werden können .... skizzierte in diesem Blog-Post

Answer 3

Für eine unsere Anwendungen, bei denen wir Impersonate taten () fanden wir, dass wir die lokale Sicherheitsrichtlinie für den Anwendungspool Eigentümer ändern mussten, und fügen Sie das Konto der folgenden Richtlinien / Gruppen:

1. Act als Teil des Betriebssystems Privileg.
2. Impersonate ein Client nach Authentifizierung.

Auf dem Server (n), führen Sie auf Start> Alle Programme> Verwaltung> Lokale Sicherheitsrichtlinie navigieren dann zu lokalen Sicherheitsrichtlinien> Zuweisen von Benutzerrechten und sucht für die beiden Richtlinien oben.