Hvilken IIS version?
Hvilket OS?

Det er en Windows Server 2003 og IIS-versionen er 6.0 som standard i sådan et OS.

Undskyld forsinkelsen med svaret.

Hvilke NTFS rettigheder er der på mappen med problemer?

Lav evt. nogle skærmdumps af Egenskabs dialogboksen på den pågældende mappe.

Jeg har sådan set prøvet alt mht. rettigheder. Givet Full Control til "Everyone", til Internet Guest Account og til den security group vi har lavet for at give adgang til alle ansatte.

Jeg ved ikke, hvad jeg ellers skal gøre for at give de rette rettigheder.

Har du nogen deny politikker?

Du ved godt at en deny regel vinder over en allow regel.

Har du fjernet de nedarvede objekter, så der ikke er nogen deny regler som nedarves.

Der er ingen deny politikker på den mappe. Også selvom der er nedarvede objekter så har jeg aldrig sat en deny politik op.

Prøv at køre AccessChk fra www.sysinternals.com og se hvem der har hvilke rettigheder.

Du finder det her: http://technet.microsoft.com/ (...)

Du kan også se den her: http://support.microsoft.com/ (...)

Det ser ud til, sådan som jeg ser det nu, at Internet Guest Account på web-serveren konstant går hen og låser dig selv ude. Altså at kontoen er Locked Out.

Hvordan kan man undgå, at den konstant går i locked out mode?

Får du nogen fejl i eventloggen?

Den laver følgende fejl i Event Loggen under Security:


Logon attempt by:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account:    IUSR_F02WEB-DKVAM01
Source Workstation:    F02WEB-DKVAM01
Error Code:    0xC0000234

eller

Logon attempt by:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account:    IUSR_F02WEB-DKVAM01
Source Workstation:    F02WEB-DKVAM01
Error Code:    0xC000006A


Næste "Failure Audit" siger så følgende:

Logon Failure:
    Reason:        Unknown user name or bad password
    User Name:    IUSR_F02WEB-DKVAM01
    Domain:        F02WEB-DKVAM01
    Logon Type:    8
    Logon Process:    Advapi 
    Authentication Package:    Negotiate
    Workstation Name:    F02WEB-DKVAM01
    Caller User Name:    F02WEB-DKVAM01$
    Caller Domain:    ZF
    Caller Logon ID:    (0x0,0x3E7)
    Caller Process ID:    3048
    Transited Services:    -
    Source Network Address:    -
    Source Port:    -


Når Accounten så er locked out, og man igen forsøger at logge på anonymt eller via IUSR_F02WEB-DKVAM01, så kommer den med følgende fejl.


Logon Failure:
    Reason:        Account locked out
    User Name:    IUSR_F02WEB-DKVAM01
    Domain:    F02WEB-DKVAM01
    Logon Type:    8
    Logon Process:    Advapi 
    Authentication Package:    Negotiate
    Workstation Name:    F02WEB-DKVAM01
    Caller User Name:    F02WEB-DKVAM01$
    Caller Domain:    ZF
    Caller Logon ID:    (0x0,0x3E7)
    Caller Process ID: 11500
    Transited Services: -
    Source Network Address:    -
    Source Port:    -


Jeg vil gå ud fra, at det er et forkert password, men folk bliver ikke spurgt om password for at få lov til at bruge Internet Guest Account. Hvad er egentlig standard passwordet til den bruger?

Den logon process som laver ballade, ser ud til at være Advapi.

Hvis man googler: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 fejlen, så støder man på flere meddelelser om at det er en virus. Men også flere som absolut ikke handler om virus.

Se nedenstående links og få foretaget en virus scanning af computeren. For at få udelukket at det er en virus der driller.

http://www.spycheck.dk/ (...)

http://blogs.msdn.com/ (...)

Næste gang du får fejlen, så identificer den process ID som laver fejlen, så er der lidt mere at fejlsøge på. Der vil være en Caller Process ID: xxx i eventloggen. Brug Process Explorer fra www.sysinternals.com til at få fat i Process ID'en

Hej kgkg

Undskyld den lange ventetid. Work-loadet på arbejdet har været sindssygt.

Jeg forsøgte at finde den process ID, som lavede fejlen, og kørte også en virus scanning (som ikke gav noget resultat). Det viser sig, at det er en proces, der hedder w3wp.exe, som forårsager fejlen (Process ID: 13492). Den fil er åbenbart en form for IIS Worker Process.

What to do nu? :)

Jeg er ved at løbe tør for ideer. Men kan pt. komme på 2:

1. Reset IUSR_xxx password.

Se artiklen her:
http://technet.microsoft.com/ (...)

Hvis du ikke lige har lyst til dette, så ville jeg:

1a. Afinstallere IIS'en.
Omdøbe Internet Guest Accounten til noget andet. Den oprettes automatisk igen ved installation af IIS'en. Men det er vigtigt at den ikke eksistere mere, da den ellers ikke oprettes på ny med de rette credentials.

2a. Omdøbe Inetpub mappen, så den og oprettes på ny med de rette credentials.

3a. Kopier filer fra gammel InetPub mappe og sæt NTFS rettigheder på upload mappen.


Husk backup inden du begynder at lege...

Jeg må indrømme, at jeg også var ved at løbe tør for ideer.

Jeg prøvede i går at gå helt tilbage til basics og resette IUSR-passwordet og sørgede også for, at passwordet var ens under Egenskaber for Default Website. Det viste sig åbenbart at klare tricket. Den ryger ihvertfald ikke længere i Failure Audit, og det er jo positivt.

MEN - så fik jeg pludselig et andet problem. Og det problem var, at ALLE pludselig loggede på som anonym bruger, og det fuckede min PHP-programmering op. Grunden til det er nemlig, at jeg i programmeringen har lavet en $_SERVER["REMOTE_USER"]. Den gør, at brugeren ikke behøver logge ind for at udfylde en formular, men at formularen tager login-navnet fra computeren og lægger i databasen. Den virkede pludselig ikke, og det gav ramaskrig i organisationen.

Jeg fjernede derfor helt muligheden for at logge på anonymt via Internet Guest Account og lod folks Windows Credentials være det, der identificerer deres færden på intranettet. Det viste sig at være den ultimative løsning, da de nu KAN se de uploadede ting, som var det oprindelige problem, jeg havde - udover at alt andet selvfølgelig stadig virker som det skal.

Jeg vil gerne give dig pointsene alligevel for en super og ihærdig indsats. Læg et svar, og så får du dem :)

Det lyder meget fornuftigt at du har fjernet den anonyme adgang.

Og her har du et svar:)

Så er der givet points. Mange tak for hjælpen igen!!