IIS虚拟目录与UNC路径权限初探

ls0398

问题描述
　　某客户定制化项目(官网)，有一个图片上传的功能。客户的Web机器有10台，通过F5负载均衡分摊请求。
　　假设这10台机器的代号分别为：#1,#2,#3,#4,#5,#6,#7,#8,#9,#10
　　在没有应用虚拟目录时，访问者A访问官网，可能被分配至机器#1，上传图片，图片被保存在机器#1中；
　　再次查看时，访问者A可能被F5分配至机器#2，机器#2中没有这张图片，图片无法显示 --> 页面故障。
解决方案
　　服务器环境：Windows Server 2008 R2 Enterprise Service Pack 1，IIS7(7601)
　　1. 在所有web服务器上建立windows账户site_share，密码为123456(注意各服务器建立的用户名和密码必须相同)；隶属于 IIS_IUSRS组

　　2. 在文件存储服务器(如果有？或者这里我们从10台机器选一台，如#10机器)，站点根目录下，新建文件夹"ImgShare"，共享此文件夹，
　　授予Everyone和site_share用户读写权限。

　　3.在所有web服务器上，打开IIS，在站点下，新建虚拟目录 ShareFiles ，虚拟目录的路径全部指向#10机器的ImgShare文件夹，如：   \\#10机器ip\ImgShare；
　　点击"连接为"，路径凭据选择特定用户，输入第一步中建立的账户和密码。

　　4.设置站点的IIS身份验证(注意是站点，不是虚拟目录)
　　4.1 匿名身份验证

　　编辑匿名身份验证凭据，选择特定用户，输入第一步中建立的账户和密码。
　　此步骤完成后，各服务器的图片上传，都将被保存到#10机器的共享文件夹ImgShare中，并且可以看到图片上传成功，打开共享文件夹可以看到上传的图片。
　　但读取图片时，前端仍然无法通过  域名/ShareFiles(虚拟目录名称)/图片.jpg  的方式访问上传的图片。
　　这种现象，访问#10机器站点可以访问到图片，其它机器则报错：拒绝访问的异常。
　　为什么呢？
　　因为#10机器，也就是共享文件夹所在的机器，IIS进程池用户访问的是"本地"的文件，不存在权限问题；而其它9台机器，访问的是远程机器：
　　保存图片时，写的权限，操作的是独立的“共享”文件夹；
　　而读取图片时，通过url访问，不能绕过虚拟目录的“父亲”IIS站点，要向站点管理下的资源申请 url访问图片 的权限。
　　4.2 ASP.NET模拟
　　请选择界面操作，不要手动去修改web.config文件。即：

　　编辑ASP.NET模拟设置，选择特定用户，输入第一步中建立的账户和密码。
　　这样操作之后，访问机器#1的站点，IIS进程用户，就有权限去拿#10机器站点下的文件夹中的图片资源。/ShareFiles(虚拟目录名称)/图片.jpg访问成功。
总结
　　虚拟目录读取方法：

        /// 　　
        /// 获取上传目录        ///
　　
        ///
　　
        public static string GetUploadFolder()
　　
        {            return HttpContext.Current.Server.MapPath("~/虚拟目录名称/");
　　
        }

　　关于第一步中，建立的windows账户为何要归于 IIS_IUSRS用户组下的问题。这要从IIS应用程序池中寻找答案：

　　另外的小结：
　　1. IIS进程用户的权限是很低的 ，特别是A机器的IIS进程用户(IIS应用程序池)对B机器而言；
　　2. 本地机器的IIS执行权限通常很高(即使不高也够使用本地机器资源)，在单台服务器环境通常很难发现问题；