Ошибка в клиенте WCF, работающем под IIS 5.0 с сервером в Windows 2008.

Question

У меня есть служба .Net 3.5 SP1 WCF, работающая под IIS 7 на компьютере под управлением Windows 2008.Когда я пытаюсь подключиться к этой службе из службы WCF, размещенной в IIS и работающей под управлением IIS 5.0 (Windows XP).Net 3.5 SP1, я получаю следующую ошибку:

Поставщик токенов не может получить токены для цели: http://(URL-адрес для службы WCF)

Я создал простое консольное приложение, которое может успешно подключаться к службе WCF, используя точно такую ​​же конфигурацию.Я также создал простое веб-приложение, размещенное на сервере WebDev (сервер ASP.Net, входящий в состав Visual Studio 2008), и оно может успешно подключаться к службе WCF.Когда я настроил виртуальный каталог в IIS (Windows XP) так, чтобы он указывал на тот же каталог, что и сервер WebDev, я получаю следующую ошибку:

В пакете безопасности отсутствуют учетные данные

Но если я настрою в файле web.config включение олицетворения с использованием моих учетных данных, все будет работать нормально.Это не хорошее долгосрочное решение по очевидным причинам.Единственное различие, которое я заметил между IIS и серверами WebDev, — это пользователь, от имени которого запускается каждый процесс.IIS работает под учетной записью ASPNet, а WebDev — под моей учетной записью.

Вот конфигурация раздела WCF на клиенте:

<system.serviceModel>
<behaviors>
  <serviceBehaviors>
    <behavior name="mexBehavior">
      <serviceMetadata httpGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
      <serviceThrottling maxConcurrentCalls="200" maxConcurrentSessions="200" />
    </behavior>
  </serviceBehaviors>
</behaviors>
<bindings>
  <wsHttpBinding>
    <binding name="FABindings" maxReceivedMessageSize="2147483647">
      <readerQuotas maxStringContentLength="300000"/>
      <security mode="Message">
        <message clientCredentialType="Windows" negotiateServiceCredential="false" establishSecurityContext="false" />
      </security>
    </binding>
  </wsHttpBinding>
</bindings>
<client>
  <endpoint address="http://<server url>/FinancialAggregator/v3/Services/FAService.svc"
      binding="wsHttpBinding" bindingConfiguration="FABindings"
      contract="ServiceReference1.IFilteredService" name="FAServiceEndpoint">
    <identity>
      <servicePrincipalName value="<UsernameRunningTheAppPoolOnW2k8>" />
    </identity>
  </endpoint>
</client>  

Вот конфиг сервера (как просили):

  <system.serviceModel>
<bindings>
  <wsHttpBinding>
    <binding name="wsHttpBinding" maxReceivedMessageSize="2147483647">
      <security mode="Message">
        <message establishSecurityContext="false" negotiateServiceCredential="false" />
      </security>
    </binding>
  </wsHttpBinding>
</bindings>
<behaviors>
  <serviceBehaviors>
    <behavior name="mexBehavior">
      <serviceMetadata httpGetEnabled="true" httpsGetEnabled="false" />
      <serviceDebug includeExceptionDetailInFaults="true" />
      <serviceThrottling maxConcurrentCalls="200" maxConcurrentSessions="200" />
    </behavior>
  </serviceBehaviors>
</behaviors>
<services>
  <service behaviorConfiguration="mexBehavior" name="FCSAmerica.Financial.Aggregator.Service.FilteredService">
    <endpoint name="FAServiceEndpoint" address="" binding="wsHttpBinding" bindingConfiguration="wsHttpBinding" contract="FCSAmerica.Financial.Aggregator.Service.IFilteredService">
    </endpoint>
  </service>
</services>

Есть мысли о причине этой ошибки?

Спасибо!

Answer 1

Я предполагаю, что окончательный ответ на этот вопрос — просто перейти на операционную систему, которая позволяет вам устанавливать личность пула приложений, что я и сделал много лет назад.

Спасибо за внимание.

Мэтт

Answer 2

Когда вы получаете доступ к службам через IIS с помощью impersonate = false, для доступа к службе на компьютере с Windows 2008 используется учетная запись ASPnet.

Учетная запись ASPnet является локальной учетной записью и поэтому не имеет прав на компьютере 2008 года.

Есть 3 способа решить эту проблему:

• Разрешить анонимный доступ к службе на компьютере с Windows 2008.
• Используйте impersonate = true (как у вас есть)
• Измените удостоверение пула приложений с aspnet на учетную запись домена с необходимым доступом.