IIS 7 AppPool IDをSQL Serverログオンとして追加する

統合パイプラインモードの AppPoolでIIS 7 Webサイトを実行しています。AppPoolsはNetworkServiceなどのIDでは（目的によって）実行されませんが、独自のAppPool Identitiy（IIS AppPool \ MyAppPool）を使用します。

これは、いわゆるサービスアカウントまたは仮想アカウントです。（完全なアカウントではないユーザーアカウント...）

このサービスアカウント（IIS AppPool \ MyAppPool）に、SQL Server 2008 Express（混合認証モードで実行）に接続するためのアクセス許可を付与します。

SQL Serverは通常のユーザーアカウントを追加できますが、IIS AppPool \ MyAppPool仮想アカウントを有効なログオンに追加することはできません（SQL Serverでは、アカウントが見つからないとしています）。

仮想アカウントを機能させるために有効にする必要があるトリックはありますか？（w3wp.exeプロセスはtaskmgrに従ってこのIDで実行されますが、NTFSセキュリティでアカウントを使用することもできません...）

ご協力いただきありがとうございます！

「IIS APPPOOL \ AppPoolName」は機能しますが、前述のように、有効なAD名ではないため、[ユーザーまたはグループの選択]ダイアログボックスで検索しても表示されません（実際には、それは見つかりますが、実際のシステムアカウントと見なされ、そのようなものとして扱われます...これは機能せず、見つからないというエラーメッセージが表示されます）。

それを機能させる方法は次のとおりです。

1. SQL Server Management Studioで、セキュリティフォルダー（各データベース内のセキュリティフォルダーではなく、データベース、サーバーオブジェクトなどのフォルダーと同じレベルのセキュリティフォルダー）を探します。
2. ログインを右クリックし、「新しいログイン」を選択します
3. [ログイン名]フィールドに「IIS APPPOOL \ YourAppPoolName」と入力します -検索をクリックしないでください
4. 他の好きな値をすべて入力します（つまり、認証タイプ、デフォルトデータベースなど）。
5. OKをクリックします

AppPool名が実際に存在する限り、ログインを作成する必要があります。

CREATE LOGIN [IIS APPPOOL\MyAppPool] FROM WINDOWS;
CREATE USER MyAppPoolUser FOR LOGIN [IIS APPPOOL\MyAppPool];

複数のマシンを使用する場合は、NETWORK SERVICE、LOCAL SYSTEM、ドメインアカウント、またはSQL 2008 R2（ある場合）を使用する必要があります。管理されたサービスアカウント（そのようなインフラストラクチャがある場合は、これが私の好みです） 。Active Directoryドメインに表示されないアカウントは使用できません。

サイドノートとして、仮想アカウント（NT Service \ MyServiceおよびIIS AppPool \ MyAppPool）を使用するプロセスは、この投稿がhttp://www.adopenstatic.com/cs/blogs/ken/で示唆しているように、「NETWORK SERVICE」アカウントでまだ実行されています。 archive / 2008/01/29 / 15759.aspx。唯一の違いは、これらのプロセスが"NT Service \ MyService"または "IIS AppPool \ MyAppPool"グループのメンバーであることです（これらは実際にはグループであり、ユーザーではないため）。これは、プロセスがネットワークサービスアカウントと同じ方法でマシンとしてネットワークで認証する理由でもあります。

アクセスを保護する方法は、このアカウントにNETWORK SERVICE権限がないことに依存するのではなく、「NT Service \ MyService」または「IIS AppPool \ MyAppPool」に特別なアクセス許可を付与し、必要に応じて「ユーザー」のアクセス許可を削除することです。

誰かがより正確または矛盾する情報を持っている場合は投稿してください。

見てください：http : //www.iis.net/learn/manage/configuring-security/application-pool-identities

USE master
GO
sp_grantlogin 'IIS APPPOOL\<AppPoolName>'

USE <yourdb>
GO
sp_grantdbaccess 'IIS APPPOOL\<AppPoolName>', '<AppPoolName>'
sp_addrolemember 'aspnet_Membership_FullAccess', '<AppPoolName>'
sp_addrolemember 'aspnet_Roles_FullAccess', '<AppPoolName>'

これはあなたが探しているものかもしれません...

http://technet.microsoft.com/en-us/library/cc730708%28WS.10%29.aspx

制限付き権限のドメインユーザーを検討することを長期的に推奨します。サイロマシンのシナリオでは問題なく機能しますが、DBサーバーの別のマシンに移動する場合は変更を加える必要があります。

私は試行錯誤によってそれを理解しました...鎧の本当の隙間は、IIS Configuration EditorのWebサイトのほとんど知られていない設定でした

Section: system.webServer/security/authentication/windowsAuthentication

From: ApplicationHost.config <locationpath='ServerName/SiteName' />

と呼ばれますuseAppPoolCredentials（これはFalseデフォルトで設定されています。これをに設定するTrueと、人生は再び素晴らしいものになります!!!これが次の人の痛みを救うことを願っています...

私の場合、問題は、Visual Studio / Episerver拡張機能を使用してMVC Alloyサンプルプロジェクトをゼロから作成し始めたことで、ローカルのVisual Studio iis Expressを使用して実行すると問題なく動作しました。ただし、デフォルトではSQLデータベースをLocalDBにポイントし、サイトをローカルIISに展開すると、次のようにして解決した初期エラーのいくつかをエラーに出し始めました：1.ローカルサイトのURLバインディングをC：/ Windows / System32 / drivers / etc / hosts 2.次に、application.configを編集して、Visual Studioを使用してサイトを実行し、ローカルIISのURLのバインドを追加したときに、画面の右下にあるIISエクスプレスを右クリックしてファイルの場所を見つけました。3.最後に、「データベースエラーにアクセスできない」という問題に直面しました。