У нас есть приложение, предоставляемое поставщиком, которое работает внутри (LAN) на сервере Windows / MS-SQL 2012, обеспечивая доступ через IIS на том же самом устройстве. Приложение может хранить прикрепленные документы - они физически хранятся в общей папке на этом сервере.
Мы пытаемся запустить новый компонент - сервер 2008R2 / IIS 7.5 на основе DMZ, который предназначен для предоставления загружаемых доступ к тем же документам, но для внешних пользователей.
Мы изо всех сил пытаемся разобраться в разрешениях, чтобы сервер DMZ мог получить доступ к внутреннему ресурсу, и мне интересно, возможно ли то, что мы пытаемся сделать. Поставщики пытаются использовать учетную запись NetworkService для доступа к документам, но поскольку сервер DMZ не является частью какого-либо домена, мы изо всех сил пытаемся установить соответствующие разрешения для внутреннего общего ресурса (я даже пытался предоставить всем полный доступ к внутреннему каталогу общего ресурса ).
Ситуация осложняется тем, что мы не «управляем» инфраструктурой сети / брандмауэра.
Я читал об учетных записях пула приложений и других способах работы, но это не самая большая моя область опыт, и я подозреваю, что поставщики тоже немного борются. Наша настройка сети / брандмауэра кажется немного более сложной, чем их внутренние лаборатории, и некоторые из их предложений кажутся ошибочными (например, они говорили о встроенном брандмауэре Windows, когда мы указывали, что наш брандмауэр может блокировать порт). Мы первые последователи системы версии 1.0.0.1
Если это поможет лучше понять, у нас был открыт порт 445 из DMZ на внутренний сервер. Это позволяет серверу DMZ попытаться получить внутренний документ (когда внешний пользователь щелкает гиперссылку в приложении), но затем это не удается из-за отсутствия разрешений (я полагаю) с ошибкой:
Доступ к пути '\ servername \ sharename \ documentfolder \ 9f4585db-14b9-4a93-8b4b-bfd12b5f5930.pdf 'запрещен.
Кто-нибудь может предложить какую-либо помощь / руководство? Я рад предоставить больше информации, где смогу.
Заранее большое спасибо.
Возможно, вам придется запустить caspol.exe на сервере IIS DMZ, в ответ на этот вопрос: Проблема с разрешениями виртуального каталога на путь UNC
Также используйте учетную запись службы для пула приложений. Конечно, он должен иметь то же имя и пароль в домене и, что и локальная учетная запись на сервере DMZ.