在WIN7系统上,一个使用Windows身份验证连接SQL Server的ASP.NET网站在开发环境正常,但在IIS 7.5上发布后出现无法连接数据库的异常。通过两种方法尝试解决:1) 改为账号密码访问,但不符合需求;2) 将应用程序池标识更改为LocalSystem,但存在安全风险。最终解决方案是保留最安全的ApplicationPoolIdentity,为SQL Server中对应的数据库添加此标识的权限,确保帐户名与异常信息一致,从而成功访问数据库。
操作系统使用的是WIN7,IIS版本为7.5,其他IIS版本未做测试,不一定适用本文所述方法。
之前用ASP.NET做了一个小网站,通过Windows身份验证来连接SQL Server数据库。
在开发环境中使用时也一直没有问题。
然而,把网站发布到IIS上进行测试的时候出现了异常,提示无法连接到数据库。
查了资料,找到以下两种方法:
1、将数据库连接方式改为通过帐号密码来访问
这种方式可以解决问题,但不是我所需要的,此处就不做过多的说明了。
2、在IIS管理器中,找到网站使用的应用程序池,在高级配置中,找到[标识]
可以看到默认选中的是ApplicationPoolIdentity
将[标识]改为LocalSystem即可
这种方式也可以解决问题,但是却使用了更高的用户权限
以具有高级别用户权限的帐户运行应用程序池存在严重的安全风险,因此不推荐使用
那么问题就来了,怎么做才更好呢?
解决问题的关键点还是在于这个默认选中的标识ApplicationPoolIdentity,这是几个选项中最安全的
在启动应用程序池时动态创建了一个跟“应用程序池标识”同名的帐户
此时,在访问数据库时也是通过这个帐户来访问的
那么问题就好解决了,在SQL Server中,在相应的数据库中添加这个帐户对数据库的相关权限就可以了
需要注意的是:再添加的时候,帐户名要跟异常信息中提示的那个帐户名一致
例如:
应用程序池名为:ASP.NET v4.0
对应的帐户名为:ASP.NET v4.0
在SQL中添加为:IIS APPPOOL\ASP.NET v4.0
数据库--安全性--用户,右键新建用户
用户名:IIS APPPOOL\ASP.NET v4.0
登录名:IIS APPPOOL\ASP.NET v4.0
再设置该帐户的数据库角色成员身份并保存
参考资料:
“应用程序池标识”对话框
http://technet.microsoft.com/zh-cn/library/cc731981.aspx
扫一扫
2816
到【灌水乐园】发言
