IIS 7.5 部署ASP.NET失敗的解決方案_win伺服器

    近日在win7的IIS7.5上部署ASP.NET4.0 程式時，發現瀏覽網頁都出現錯誤碼為"503“的錯誤，但是我已經將對應用程式部署到IIS上了，怎麼會出現找不到頁面的情況呢？開始以為是ASP.Net 環境沒有安裝到IIS7.5中，執行了幾遍ASPNET_REGIIS -i都還是一樣，結果查看ASP.NET應用程式使用的【應用程式集區】-DefaultAppPool停止了，於是我馬上啟動,但是馬上它有恢複成【停止】狀態：

      於是，查看【windows事件檢視器】發現如下錯誤：

    發現錯誤是“沒有足夠的許可權”，

   

   於是看了一下【應用程式集區】的【進階設定】中的【進程模型】的【標識】設定的是“ApplicationPoolIdentity”，對於此設定的說明，參考了：http://www.jb51.net/article/65315.htm如下：

ApplicationPoolIdentity – 預設情況下，選擇“應用程式集區標識”帳戶。啟動應用程式集區時動態建立“應用程式集區標識”帳戶，因此，此帳戶對於您的應用程式來說是最安全的。

也就是說"ApplicationPoolIdentity"帳號是系統動態建立的“虛擬”帳號(說它是虛擬，是因為在使用者管理裡看不到該使用者或使用者組，在命令列下輸入net user也無法顯示，但該帳號又是確實存在的) 

如何驗證該帳號確實是存在的的？開啟工作管理員，觀察一下:

w3wp.exe即iis進程，上圖中高亮部分表明該iis進程正在以帳號luckty運行(注意這裡的luckty即為上圖中的應用程式集區名稱)

好了，搞清楚這個有什麼用?

先來做一個測試，比如我們在iis裡建立一個網站，主目錄設定為c:\2\，應用程式集區就指定剛才圖中的luckty

假如我們在該網站的default.aspx.cs裡寫入這樣一行代碼 :

File.AppendAllText("C:\\TestDir\\1.txt",DateTime.Now.ToString());

前提是c盤必須先建一個目錄TestDir，同時除Administrator,System保留完全控制權外，其它帳號的許可權都刪除掉

運行後，會提示異常： 對路徑“C:\TestDir\1.txt”的訪問被拒絕。

原因很明顯:該網站運行時是以應用程式集區(luckty)對應的虛擬帳號啟動並執行，而這個虛擬帳號不具備c:\TestDir的存取權限

這種情況在web伺服器（iis6）安全配置中很常見，比如我們把圖片上傳目錄，常常放在主目錄之外，同時以虛擬目錄形式掛於網站之下，另外在IIS6中不指定該目錄任何執行許可權 ，這樣即使有人非法上傳了asp/aspx木馬上去，也無法運行搞不成破壞!

言歸正傳，要想讓那一行測試代碼正常運行，解決辦法很簡單，把虛擬帳號的許可權加入檔案夾安全許可權中即可，但是問題來了：這個虛擬帳號我們是不可見的，如果你直接添加名為luckty的使用者到檔案夾安全帳號裡，根本通不過(提示找不到luckty使用者)，說明這個虛擬帳號名稱並不是"luckty"

關鍵：手動輸入 IIS AppPool\luckty （即IIS AppPool\應用程式集區名），再確定，這回ok了.

 

當然除了用"IIS AppPool\應用程式集區名"外，windows內部還有一個特殊的使用者組Authenticated Users，把這個組加入TestDir的安全許可權帳號裡也可以，不過個人覺得沒有"IIS AppPool\應用程式集區名"來得精確.

結束語：
IIS7.5的虛擬帳號設計確實很棒，想想傳統IIS6的時候，為了把同一伺服器上的各網站許可權分開(以防止木馬搗亂)，不得不建立一堆iuser_XXX,iwam_XXX帳號並指定密碼，再一個個站台指派過去，累死人！而虛擬帳號設計則讓這類管理輕鬆多了，也不用擔心密碼過於簡單或到期問題。So,還在等什麼，趕緊升級到win7/win2008 R2吧！

另外：如果沿用之前的做法，可將【標識】設定成"LocalSystem"亦可解決