Der IIS-Identitätswechsel funktioniert nicht, wenn der App-Pool mit einem Domänenkonto ausgeführt wird ⇐ C#

[Anonymous]

Ich habe eine ASP.net-Anwendung, die in einer Windows-Intranet-Umgebung ausgeführt wird. Ich muss bestimmte Datenbankaktualisierungen als der aktuell angemeldete Benutzer durchführen.

IIS-/Serverinformationen:

• IIS-Version 10
• Windows Server 2019
• ASP.net-Webformularanwendung
• .NET 4.7
• Windows-Authentifizierung aktiviert
• Identitätswechsel und anonyme Authentifizierung sind deaktiviert
• Der App-Pool verwendet eine integrierte Pipeline
• Der App-Pool wird mit einem Domänendienstkonto für seine Identität ausgeführt, das bei Bedarf über Rechte zum Zugriff auf andere Ressourcen verfügt.

Weitere Details:

• Alle meine Datenbankverbindungszeichenfolgen sind so eingestellt, dass integrated security=true
• in Active Directory eine eingeschränkte Delegation zwischen dem Webserver und dem SQL-Server konfiguriert hat, was MSSQLSvc : 1433 und erlaubt MSSQLSvc (kein Port)
• Das Domänendienstkonto ist Mitglied der lokalen Administratorengruppe auf dem Webserver (nur zu Testzwecken)

Wenn ich die Datenbankaktualisierungen durchführe, die als aktuell angemeldeter Benutzer durchgeführt werden müssen, imitiere ich sie auf diese Weise:

Code: Select all

 var windowsIdentity = User.Identity as WindowsIdentity;
WindowsIdentity.RunImpersonated(windowsIdentity.AccessToken, () =>
{
// perform database update
});

Dies löst eine Ausnahme aus –

Code: Select all

System.Data.SqlClient.SqlException: Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'

Wenn ich die App-Pool-Identität ändere, um AppPoolIdentity (die Standard-App-Pool-Identität) zu verwenden, funktioniert der Identitätswechsel ordnungsgemäß.

Warum funktioniert dieser Identitätswechsel mit AppPoolIdentity, aber nicht mit meinem Domänendienstkonto?