在 IIS 7 中使用自定义帐户作为应用程序池时出现 500 错误

Question 1

问题解决：本地安全策略中的“身份验证后模拟客户端”缺少 IIS_IUSRS 组。

Answer

问题解决：本地安全策略中的“身份验证后模拟客户端”缺少 IIS_IUSRS 组。

Question 2

在我的环境中，由于组策略设置，我不允许更改“身份验证后模拟客户端”设置，也不允许添加应用程序池用户本地管理员，因此我开始寻找模拟发生的原因。默认情况下，匿名身份验证设置为使用 IUSR 用户，因此应用程序池用户正在尝试模拟它。

我已将匿名用户身份更改为“应用程序池身份”，因此无需模拟。

Answer

在我的环境中，由于组策略设置，我不允许更改“身份验证后模拟客户端”设置，也不允许添加应用程序池用户本地管理员，因此我开始寻找模拟发生的原因。默认情况下，匿名身份验证设置为使用 IUSR 用户，因此应用程序池用户正在尝试模拟它。

我已将匿名用户身份更改为“应用程序池身份”，因此无需模拟。

Question 3

Windows Server 2016，IIS 10。

当我赋予自定义账户管理员权限时，这个问题可以解决。但我担心全局管理员会删除此账户的管理员权限。所以我不得不寻找其他解决方案。

我无法添加“身份验证后模拟客户端”。图片描述

我也尝试了 Petar Weigand 的方法，但是对我没有作用。

经过多次尝试，我发现将自定义账户添加到“连接为”可以解决问题。图片描述

Answer

Windows Server 2016，IIS 10。

当我赋予自定义账户管理员权限时，这个问题可以解决。但我担心全局管理员会删除此账户的管理员权限。所以我不得不寻找其他解决方案。

我无法添加“身份验证后模拟客户端”。图片描述

我也尝试了 Petar Weigand 的方法，但是对我没有作用。

经过多次尝试，我发现将自定义账户添加到“连接为”可以解决问题。图片描述

Question 4

除了布朗尼的回答（这是正确的，您必须将此权限授予应用程序池帐户）；如果在您使用 WCF 客户端调用它时 IIS 向您发送此错误（+ 在 IIS 中启用了 Windows 身份验证），则可能是因为给予 IIS 的 NTLM 令牌的标志不允许它模拟调用者。

修改您的客户端的配置（默认）：

<behavior name="NewBehavior">
  <clientCredentials>
    <windows allowedImpersonationLevel="Identification" />
  </clientCredentials>
</behavior>

对此：

<behavior name="NewBehavior">
  <clientCredentials>
    <windows allowedImpersonationLevel="Impersonation" />
  </clientCredentials>
</behavior>

有关详细信息，请查看此文章：WCF 中的模拟和委托

Answer

除了布朗尼的回答（这是正确的，您必须将此权限授予应用程序池帐户）；如果在您使用 WCF 客户端调用它时 IIS 向您发送此错误（+ 在 IIS 中启用了 Windows 身份验证），则可能是因为给予 IIS 的 NTLM 令牌的标志不允许它模拟调用者。

修改您的客户端的配置（默认）：

<behavior name="NewBehavior">
  <clientCredentials>
    <windows allowedImpersonationLevel="Identification" />
  </clientCredentials>
</behavior>

对此：

<behavior name="NewBehavior">
  <clientCredentials>
    <windows allowedImpersonationLevel="Impersonation" />
  </clientCredentials>
</behavior>

有关详细信息，请查看此文章：WCF 中的模拟和委托

相关内容