1. дома
  2. Вопрос и ответ
  3. Ошибка 5021, создающая «Учетную запись управляемой службы»

Ошибка 5021, создающая «Учетную запись управляемой службы»

2014-02-07 9 views
1

Я потратил несколько дней, пытаясь получить «управляемую учетную запись службы», настроенную на Windows Server 2012 для веб-приложения .NET. Начнем с ошибки и вернемся назад.Ошибка 5021, создающая «Учетную запись управляемой службы»

я получаю следующие события в истории раз, когда я пытаюсь получить доступ к странице на веб-сайте, где * это имя моего пула приложений:

  • Предупреждение 5021 - Идентичность пула приложений * недействителен , Имя пользователя или пароль, указанные для идентификации, могут быть неверными или у пользователя могут не быть права на вход в систему. Если личность не исправлена, пул приложений будет отключен, когда пул приложений получит свой первый запрос. Если права на пакетный вход в систему вызывают проблему, идентификатор в хранилище конфигурации IIS должен быть изменен после того, как права были предоставлены до того, как служба активации Windows (WAS) сможет повторить вход в систему. Если идентификатор остается недействительным после обработки первого запроса пула приложений, пул приложений будет отключен. Поле данных содержит номер ошибки.
  • Предупреждение 5057 - Пул приложений * отключен. Служба активации процессов Windows (WAS) не создала рабочий процесс для обслуживания пула приложений, так как идентификатор пула приложений недействителен.
  • Ошибка 5059 - Пул приложений * был отключен. Служба активации процессов Windows (WAS) обнаружила сбой при запуске рабочего процесса для обслуживания пула приложений.

~~~

Пока стоял новый сервер, я наткнулся на то, что кажется удивительным особенность, которую я не использовал раньше:

Поскольку я встаю в новое приложение с новой базой данных, это казалось прекрасной возможностью принять это за руль!

В конце концов я понял, как создать управляемую учетную запись службы с помощью следующих команд питания оболочки на контроллере домена:

  • импорт-модуль ActiveDirectory
  • нового ADServiceAccount -SAMACCOUNTname «SERVICE_ACCT $»
  • надстройку adComputerServiceAccount -Identity SERVER_NAMESERVICE_ACCT $

В этом же окне Powershell, я могу перечислить услуги счета для данного сервера с помощью этой команды Powershell:

  • получить-ADComputerServiceAccount SERVER_NAME

И мой управляемый счет услуг есть! Все хорошо до сих пор ...

Затем мне пришлось изменить нашу центральную групповую политику, чтобы включить учетную запись службы «Регистрация в качестве пакетного задания» и «Вход в систему как услуга». Они находились в разделе «Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя» на нашем контроллере домена (они не редактировались на локальном сервере, поскольку они были нажаты).

После изменений и перерывов на кофе права появляются на моем сервере!

Итак, теперь у меня (1) создана учетная запись управляемого сервиса, которая имеет (2) доступ к определенному серверу и на определенном сервере (3) учетная запись службы зарегистрирована как пакетное задание/права службы. Я также (4) дал и пулу приложений, и учетной записи службы изменить доступ к папке веб-сайта.

Я проверял, работает ли сайт с учетной записью AppPoolIdentity по умолчанию.

И ... Я все еще получаю ошибки выше (которые у меня были в течение всего этого процесса). Я должен что-то упустить, но я просто могу найти что-нибудь еще, чтобы попробовать!

С уважением,

Cooter

источник

2014-02-07 Stuart

ответ

3

я должен был поставить это на полку на некоторое время, но в конечном итоге удалось получить эту работу. Самый полезный ресурс, который я нашел, - это следующий YouTube на MSA.

http://www.youtube.com/watch?v=VNCGSQPhLuM

Подводя итог, есть немало требований и шаги

домена Требования:

  • Функция Домен - Windows Server 2008R2 +
  • Run ADPrep/ForestPrep

Требования к клиенту:

  • Windows Server 2008R2 +
  • .Net Framework 3.5
  • Модуль Active Directory для Windows PowerShell (это инсталлируется с AD DS, но я был в состоянии исключены все, кроме модуля во время процесса)

Поддерживаемое программное обеспечение:

  • IIS - да (приложение пулы)
  • SQL Server - не

На сервере, где MSA является не использовать, перейдите к Server Manager - Особенности - Добавить функции

  • Подтвердите 3.5 Framework установлен
  • Confirm Модуль Active Directory для Windows PowerShell установлен

На любом сервере с инструментами администрирования AD, Via PowerShell: ПРИМЕЧАНИЕ: Мой MSA является WorkProdDnnIIS и мой хозяин WorkProd2012.

  • C:> импорт-модуль ActiveDirectory
  • C:> New-ADServiceAccount -name WorkProdDnnIIS -enable $ верно
  • C:> Add-AdComputerServiceAccount -Identity WorkProd2012 -ServiceAccount WorkProdDnnIIS

На любом сервере с инструментами администрирования AD через AD Пользователи и компьютеры

  • новый MSA должны быть перечислены в разделе «Управляемые счета службы»

На сервере, на котором MSA является для использования, через PowerShell

  • C:> import-module activedirectory
  • С:> Установка-AdServiceAccount -Identity WorkProdDnnIIS

На сервере, на котором СУМЫ должны быть использован, с помощью диспетчера IIS

  • Изменения пула приложений идентичности (например, МОЩНОСТЬ \ WorkProdDnnIIS $ - знак доллара требуется на конце пароля оставьте пустым)

Наконец, локальные параметры политики, чтобы «Вход в качестве пакетного задания» и «Вход в систему в качестве службы» требуются для MSA для Пулы приложений IIS. Я бы заподозрил, что Install-ADServiceAccount сделает это, однако эти изменения не могут быть сделаны локально. Я вручную отредактировал групповую политику на контроллере домена для достижения того же конечного результата.

С уважением,

Cooter

источник

2014-03-27 19:11:28 Stuart

Смежные вопросы

 Смежные вопросы