IIS虚拟目录与UNC路径权限初探

简介:

问题描述

某客户定制化项目(官网),有一个图片上传的功能。客户的Web机器有10台,通过F5负载均衡分摊请求。

假设这10台机器的代号分别为:#1,#2,#3,#4,#5,#6,#7,#8,#9,#10

在没有应用虚拟目录时,访问者A访问官网,可能被分配至机器#1,上传图片,图片被保存在机器#1中;

再次查看时,访问者A可能被F5分配至机器#2,机器#2中没有这张图片,图片无法显示 --> 页面故障。

解决方案

服务器环境:Windows Server 2008 R2 Enterprise Service Pack 1,IIS7(7601)

1. 在所有web服务器上建立windows账户site_share,密码为123456(注意各服务器建立的用户名和密码必须相同);隶属于 IIS_IUSRS组

2. 在文件存储服务器(如果有?或者这里我们从10台机器选一台,如#10机器),站点根目录下,新建文件夹"ImgShare",共享此文件夹,

    授予Everyone和site_share用户读写权限。

3.在所有web服务器上,打开IIS,在站点下,新建虚拟目录 ShareFiles ,虚拟目录的路径全部指向#10机器的ImgShare文件夹,如:   \\#10机器ip\ImgShare;

   点击"连接为",路径凭据选择特定用户,输入第一步中建立的账户和密码。

4.设置站点的IIS身份验证(注意是站点,不是虚拟目录)

  4.1 匿名身份验证

  编辑匿名身份验证凭据,选择特定用户,输入第一步中建立的账户和密码。

  此步骤完成后,各服务器的图片上传,都将被保存到#10机器的共享文件夹ImgShare中,并且可以看到图片上传成功,打开共享文件夹可以看到上传的图片。

  但读取图片时,前端仍然无法通过  域名/ShareFiles(虚拟目录名称)/图片.jpg  的方式访问上传的图片。

  这种现象,访问#10机器站点可以访问到图片,其它机器则报错:拒绝访问的异常。

  为什么呢?

  因为#10机器,也就是共享文件夹所在的机器,IIS进程池用户访问的是"本地"的文件,不存在权限问题;而其它9台机器,访问的是远程机器:

  保存图片时,写的权限,操作的是独立的“共享”文件夹;

  而读取图片时,通过url访问,不能绕过虚拟目录的“父亲”IIS站点,要向站点管理下的资源申请 url访问图片 的权限。

  4.2 ASP.NET模拟

  请选择界面操作,不要手动去修改web.config文件。即:

   

    编辑ASP.NET模拟设置,选择特定用户,输入第一步中建立的账户和密码。

    这样操作之后,访问机器#1的站点,IIS进程用户,就有权限去拿#10机器站点下的文件夹中的图片资源。/ShareFiles(虚拟目录名称)/图片.jpg访问成功。

总结

虚拟目录读取方法:

复制代码

        /// <summary>
        /// 获取上传目录        /// </summary>
        /// <returns></returns>
        public static string GetUploadFolder()
        {            return HttpContext.Current.Server.MapPath("~/虚拟目录名称/");
        }

复制代码

 关于第一步中,建立的windows账户为何要归于 IIS_IUSRS用户组下的问题。这要从IIS应用程序池中寻找答案:

另外的小结:

1. IIS进程用户的权限是很低的 ,特别是A机器的IIS进程用户(IIS应用程序池)对B机器而言;

2. 本地机器的IIS执行权限通常很高(即使不高也够使用本地机器资源),在单台服务器环境通常很难发现问题;


本文转自  zddnd  51CTO博客,原文链接:http://blog.51cto.com/13013666/1940089
相关文章
|
Windows
利用IIS虚拟目录写马至中文路径
利用IIS虚拟目录写马至中文路径
115 0
|
存储 缓存 文件存储
IIS应用使用虚拟目录功能,将数据目录存放到阿里云SMB文件系统上实现弹性存储
阿里云SMB文件系统具有超大容量以及弹性扩展的能力,但是兼容性和性能相比虚拟机系统盘有差距。针对这个特性,可以将IIS应用的数据部分存放在云上文件系统中,应用核心还是在系统盘上运行,通过IIS虚拟目录功能将IIS应用与阿里云SMB文件系统的目录相连。 本文详述了如何配置IIS虚拟目录到阿里云SMB文件系统,实现存储海量扩展。
1057 0
IIS应用使用虚拟目录功能,将数据目录存放到阿里云SMB文件系统上实现弹性存储
|
安全 网络安全 数据安全/隐私保护
IIS安全:配置web服务器权限更好地实现访问控制
IIS安全:配置web服务器权限更好地实现访问控制
1475 1
|
开发框架 安全 .NET
IIS6.0目录解析漏洞原理/复现
目录解析漏洞原理 IIS6.0版本存在目录解析漏洞 , ,asp格式命名的文件夹,其目录下的所有文件都会被IIS当做asp文件来解析 漏洞复现 环境准备 Windows 2003系统 , IIS 6.0 服务
239 0
IIS6.0目录解析漏洞原理/复现
|
.NET 开发框架
IIS7浏览虚拟目录显示根目录文件
IIS7浏览虚拟目录显示根目录文件 图例显示 1、开始-运行-输入InetMgr.exe回车(如图1-1)。 图 1-1 2、点击“Internet信息服务(IIS)管理根目录”(如图1-2中的“GP-PC”)-“网站”-“Default Web Site”-虚拟目录(如图1-2的MY24)-找到“默认文档”双击。
1557 0
|
.NET 开发框架
Windows7下“/”应用程序中的服务器错误。allowDefinition='MachineToApplication' 的节是错误的。如果在 IIS 中没有将虚拟目录配置为应用程序,则可能导致此错误。
原文 http://www.cnblogs.com/wsxg/archive/2012/02/19/2358031.html 错误显示 “/”应用程序中的服务器错误。 配置错误 说明: 在处理向该请求提供服务所需的配置文件时出错。
1121 0
|
6月前
|
网络协议
windows_server2012搭建iis并配置http重定向 iis转发
windows_server2012搭建iis并配置http重定向 iis转发
336 1
|
4月前
|
C++
【Azure云服务 Cloud Service】如何在部署云服务Cloud Service时候通过启动任务Start Task来配置IIS (如开启ARR)
【Azure云服务 Cloud Service】如何在部署云服务Cloud Service时候通过启动任务Start Task来配置IIS (如开启ARR)
|
4月前
|
开发框架 .NET 中间件
【Azure 云服务】在Cloud Service的代码中如何修改IIS Application Pool的配置呢? 比如IdleTimeout, startMode, Recycling.PeriodicRestart.Time等
【Azure 云服务】在Cloud Service的代码中如何修改IIS Application Pool的配置呢? 比如IdleTimeout, startMode, Recycling.PeriodicRestart.Time等
【Azure 云服务】在Cloud Service的代码中如何修改IIS Application Pool的配置呢? 比如IdleTimeout, startMode, Recycling.PeriodicRestart.Time等
|
6月前
|
Windows
iis配置http重定向302转发get请求并去掉最后的斜杠/ iis重定向 iis去除url最后的斜杠 iis重定向链接斜杠(已解决)
iis配置http重定向302转发get请求并去掉最后的斜杠/ iis重定向 iis去除url最后的斜杠 iis重定向链接斜杠(已解决)
192 0