如何使用 IIS 虚拟目录托管远程共享并解决 Windows 身份验证问题？

使用 IIS 虚拟目录托管远程共享并使用 Windows 身份验证

简介

托管远程共享是管理和访问存储在网络上其他服务器上的文件和文件夹的有效方法。通过将远程共享映射到 IIS 虚拟目录，您可以无缝地将这些资源提供给 Web 客户端。但是，在使用 Windows 身份验证时，可能会遇到一些常见错误，例如 401.3 错误。本文将逐步指导您如何正确配置 IIS 虚拟目录以托管远程共享并使用 Windows 身份验证，从而解决此问题。

问题：401.3 错误

401.3 错误表示未经授权访问被拒绝。在托管远程共享时，此错误通常表示用户没有访问共享或服务器所需的权限，或者身份验证机制未正确配置。

解决方法

1. 验证用户权限

确保用于托管虚拟目录的应用程序池标识（如 SERVICE-ACCT）对远程共享具有访问权限。检查共享的 NTFS 权限和共享权限，以确保它们允许应用程序池标识访问。

2. 验证 SPN 注册

服务主体名称 (SPN) 是 Windows 中用于识别服务的唯一名称。对于 Kerberos 身份验证，必须为服务帐户注册适当的 SPN。验证以下 SPN 是否已为服务帐户 (SERVICE-ACCT) 注册：

• HTTP/content1.domain
• HTTP/content1
• HTTP/web1.domain
• HTTP/web1

3. 启用约束委派

约束委派允许客户端计算机以另一用户的身份向目标计算机发出请求。在托管虚拟目录的服务器上启用约束委派：

• 在 AD 域中找到 WEB1 服务器的计算机帐户。
• 在“委派”选项卡中，启用“信任此计算机用于委派以服务名或用户名的身份”复选框。

4. 配置虚拟目录身份验证

• 在 IIS 管理器中，导航到托管虚拟目录的网站。
• 选择“身份验证”，然后启用：
  • 匿名身份验证
  • Windows 身份验证

5. 设置 Pass-through 身份验证

• 在虚拟目录中，选择“身份验证”选项卡。
• 启用“启用应用程序池标识”复选框。

6. 配置应用程序池

• 选择托管虚拟目录的应用程序池。
• 在“标识”选项卡中，选择“自定义帐户”并输入服务帐户（SERVICE-ACCT）的凭据。

7. 重启 IIS

重启 IIS 以应用更改。

额外的提示

• 物理路径应以两个反斜杠 () 开头，指向远程共享。
• 使用 IIS 日志文件分析访问错误的详细信息。
• 考虑在 IIS 中启用跟踪日志记录以获取更多诊断信息。

结论

遵循这些步骤，您应该能够在 IIS 虚拟目录中成功托管远程共享并使用 Windows 身份验证。如果仍然遇到问题，请仔细检查您的配置，确保所有步骤都已正确完成，并考虑联系技术支持以获取进一步的帮助。

常见问题解答

1. 我仍然收到 401.3 错误。怎么办？

检查以下内容：

• 应用程序池标识是否已正确配置？
• SPN 是否已正确注册？
• 已启用约束委派？

2. 我可以如何提高身份验证的安全性？

启用 SSL/TLS 加密并实施多因素身份验证等措施可以提高身份验证安全性。

3. 我可以通过 IIS 映射多个远程共享吗？

可以，您可以在 IIS 中创建多个虚拟目录，每个虚拟目录映射到不同的远程共享。

4. 我可以在不使用 Windows 身份验证的情况下托管远程共享吗？

可以使用基本身份验证或表单身份验证等其他身份验证机制。

5. 如何监控和故障排除 IIS 中的虚拟目录问题？

使用 IIS 日志文件和事件查看器来监控活动并识别错误。