Discussione:
Problema di "Access Denied"
(troppo vecchio per rispondere)
xgodfathers
2009-02-27 08:36:46 UTC
Permalink
Ciao a tutti,


questo è il mio scenario:
- Windows 2008 Server
- IIS 7
- Sito: www.mysite.it - ASP.NET 2.0
- Nome application pool: app_www.mysite.it
- Application pool Pipeline Mode: Classic
- Application pool viene avviato con l'utente "IUSR_MYSITE" (user
creato nel mio computer, è membro dei gruppi "USERS" e "IIS_IUSRS")
- La cartella "C:\Windows\Temp" ha autorizzazione di lettura per
"IUSR_MYSITE"

Il sito viene avviato correttamente, ma quando effettuo la connessione
all'AS/400 ricevo l'errore "Access Denied".
Premetto che non è un problema di accesso all'AS/400 in quanto dallo
stesso web server, ma da un altro sito, tutto funziona correttamente.
Impostando all'application pool un utente che sul pc ha i diritti di
amministratore la connessione funziona, quindi è un problema di
permessi su qualche cartella. Inoltre non funziona neanche l'avvio
avviene con Network Service o Local Service.
Così, eseguento il tracing da IIS 7.0 ottengo questo warning:

- MODULE_SET_RESPONSE_ERROR_STATUS
ModuleName: IsapiModule
Notification: 128
HttpStatus: 500
HttpReason: Internal Server Error
HttpSubStatus: 0
ErrorCode: 0
ConfigExceptionInfo:
Notification: EXECUTE_REQUEST_HANDLER
ErrorCode Operazione completata. (0x0)

Sapete darmi qualche indicazione, per favore?

Grazie
Edoardo Benussi [MVP]
2009-02-27 10:43:19 UTC
Permalink
Post by xgodfathers
Ciao a tutti,
- Windows 2008 Server
- IIS 7
- Sito: www.mysite.it - ASP.NET 2.0
- Nome application pool: app_www.mysite.it
- Application pool Pipeline Mode: Classic
- Application pool viene avviato con l'utente "IUSR_MYSITE" (user
creato nel mio computer, è membro dei gruppi "USERS" e "IIS_IUSRS")
- La cartella "C:\Windows\Temp" ha autorizzazione di lettura per
"IUSR_MYSITE"
Il sito viene avviato correttamente, ma quando effettuo la connessione
all'AS/400 ricevo l'errore "Access Denied".
Premetto che non è un problema di accesso all'AS/400 in quanto dallo
stesso web server, ma da un altro sito, tutto funziona correttamente.
Impostando all'application pool un utente che sul pc ha i diritti di
amministratore la connessione funziona, quindi è un problema di
permessi su qualche cartella. Inoltre non funziona neanche l'avvio
avviene con Network Service o Local Service.
- MODULE_SET_RESPONSE_ERROR_STATUS
ModuleName: IsapiModule
Notification: 128
HttpStatus: 500
HttpReason: Internal Server Error
HttpSubStatus: 0
ErrorCode: 0
Notification: EXECUTE_REQUEST_HANDLER
ErrorCode Operazione completata. (0x0)
Sapete darmi qualche indicazione, per favore?
l'account IUSR_MYSITE ha il diritto di navigare sulla rete
oppure è un utente solo locale ?
anche sull'altro web server c'è l'account IUSR_MYSITE ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-02-27 11:54:09 UTC
Permalink
Post by Edoardo Benussi [MVP]
l'account IUSR_MYSITE ha il diritto di navigare sulla rete
oppure è un utente solo locale ?
anche sull'altro web server c'è l'account IUSR_MYSITE ?
Al momento il server non naviga verso l'esterno, deve?
Non penso serva navigare dal momento che dallo stesso web server, ma
da un altro sito, tutto funziona correttamente.
Grazie per l'aiuto.
Edoardo Benussi [MVP]
2009-02-27 12:16:18 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
l'account IUSR_MYSITE ha il diritto di navigare sulla rete
oppure è un utente solo locale ?
anche sull'altro web server c'è l'account IUSR_MYSITE ?
Al momento il server non naviga verso l'esterno, deve?
Non penso serva navigare dal momento che dallo stesso web server, ma
da un altro sito, tutto funziona correttamente.
Grazie per l'aiuto.
intendevo navigare sulla rete locale.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-01 12:58:44 UTC
Permalink
Post by Edoardo Benussi [MVP]
intendevo navigare sulla rete locale.
Ciao Edoardo,
si, nella rete locale naviga, comunque per sicurezza ho provato ad
abilitare anche la navigazione esterna, ma continua a non funzionare.
Ho notato che l'unica condizione affinchè la connessione all'AS/400
funzioni anche da questo sito è creare un utente a livello di macchina
con i diritti di amministratore, se lo creo con l'appartenenza ai soli
gruppi USERS e IIS_IUSRS non funziona, sembra che tenti di scrivere in
qualche cartella dove l'utente di avvio dell'application pool non ha i
permessi. Non riesco però a capire in quale cartella (se quello è il
problema).
Non capisco però come un altro sito presente sullo stesso server
(sempre con IIS7), utenza di avvio dell'application pool con
l'appartenenza ai soli gruppi USERS e IIS_IUSRS, e che ha la stessa
funzionalità di connessione funzioni correttamente...
Grazie e buon lavoro
Edoardo Benussi [MVP]
2009-03-01 16:20:29 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
intendevo navigare sulla rete locale.
Ciao Edoardo,
si, nella rete locale naviga, comunque per sicurezza ho provato ad
abilitare anche la navigazione esterna, ma continua a non funzionare.
Ho notato che l'unica condizione affinchè la connessione all'AS/400
funzioni anche da questo sito è creare un utente a livello di macchina
con i diritti di amministratore, se lo creo con l'appartenenza ai soli
gruppi USERS e IIS_IUSRS non funziona, sembra che tenti di scrivere in
qualche cartella dove l'utente di avvio dell'application pool non ha i
permessi. Non riesco però a capire in quale cartella (se quello è il
problema).
Non capisco però come un altro sito presente sullo stesso server
(sempre con IIS7), utenza di avvio dell'application pool con
l'appartenenza ai soli gruppi USERS e IIS_IUSRS, e che ha la stessa
funzionalità di connessione funzioni correttamente...
Grazie e buon lavoro
usando filemon e regmon di sysinternal che scarichi dal sito
microsoft puoi andare a vedere quali files o cartelle o chiavi di registro
sono bloccate per l'account con cui gira l'application pool
su questo sito.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
m***@gmail.com
2009-03-02 06:41:32 UTC
Permalink
Post by Edoardo Benussi [MVP]
usando filemon e regmon di sysinternal che scarichi dal sito
microsoft puoi andare a vedere quali files o cartelle o chiavi di registro
sono bloccate per l'account con cui gira l'application pool
su questo sito.
Ok grazie, provo e poi ti dico.
Buon lavoro
xgodfathers
2009-03-02 08:15:30 UTC
Permalink
ho provato a utilizzare i due tool. Non mi viene indicato nessuna
chiave di registro o file bloccato.
Non so se può essere un indicazione utili, ma ho notato però che
associando all'application pool un utente amministratore
viene fatto accesso al registro mentre utilizzando un utente non
amministratore questo non viene fatto.
Edoardo Benussi [MVP]
2009-03-05 13:24:21 UTC
Permalink
Post by xgodfathers
ho provato a utilizzare i due tool. Non mi viene indicato nessuna
chiave di registro o file bloccato.
Non so se può essere un indicazione utili, ma ho notato però che
associando all'application pool un utente amministratore
viene fatto accesso al registro mentre utilizzando un utente non
amministratore questo non viene fatto.
puoi dire qualcosa di più su questa
applicazione ? com'è fatta ? cosa deve fare ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-05 15:58:57 UTC
Permalink
Post by Edoardo Benussi [MVP]
puoi dire qualcosa di più su questa
applicazione ? com'è fatta ? cosa deve fare ?
Questo è il codice utilizzato per il test e che produce l'errore.
Grazie per l'aiuto.


File "as400.aspx"

<%@ Page Language="VB" AutoEventWireup="false"
CodeFile="as400.aspx.vb" Inherits="as400" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://
www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
<title>Pagina senza titolo</title>
</head>
<body>

</body>
</html>


File "as400.aspx.vb"

Imports System.Data
Imports IBM.Data.DB2.iSeries

Partial Class as400
Inherits System.Web.UI.Page

Dim connStr As String =
"DataSource=indirizzoip;SSL=True;UserID=utente;Password=pwd;DefaultCollection=db"

Protected Sub Connessione()
Dim cn As New iDB2Connection(connStr)

Try
cn.Open()
cn.Close()
Response.Write("Connessione ok!")

Dim da As New iDB2DataAdapter("SELECT * FROM tabella WHERE
campo = 'xxx'", cn)
Dim dt As New DataTable
Try
da.Fill(dt)
Response.Write("<br />Dataset ok!")
Catch ex As Exception
Response.Write("<br />Dataset ko: " & ex.Message)
End Try
Catch ex As Exception
Response.Write("Connessione ko: " & ex.Message)
End Try
End Sub

Protected Sub Page_Load(ByVal sender As Object, ByVal e As
System.EventArgs) Handles Me.Load
Connessione()
End Sub
End Class
Edoardo Benussi [MVP]
2009-03-06 08:07:36 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
puoi dire qualcosa di più su questa
applicazione ? com'è fatta ? cosa deve fare ?
Questo è il codice utilizzato per il test e che produce l'errore.
Grazie per l'aiuto.
ferma un attimo.
ho riletto tutto.
hai detto che la connessione verso l'AS400
da un sito sullo stesso server funziona e in questo non
funziona, giusto ?
i due siti girano con application pool diversi ?
se si, con quali identità girano i due diversi application pool ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-06 09:12:59 UTC
Permalink
Post by Edoardo Benussi [MVP]
ferma un attimo.
ho riletto tutto.
hai detto che la connessione verso l'AS400
da un sito sullo stesso server funziona e in questo non
funziona, giusto ?
i due siti girano con application pool diversi ?
se si, con quali identità girano i due diversi application pool ?
I due siti girano con due application pool diversi.
Il sito "A" che funziona usa l'utente "IUSR_SITE1" .
Il sito "B" che non funziona usa l'utente "IUSR_MYSITE".
Entrambi sono user creati nel mio web server e sono entrambi membri
dei gruppi "USERS" e "IIS_IUSRS"

Se avvio il sito "B" (quello che non funziona) con l'application pool
del sito "A" (quello che funziona) tutto funziona, ma non è corretto
in quanto userei uno stesso application pool per due siti distinti.
L'unica condizione affinchè il sito "B" (quello che non funziona)
funzioni è dare all'utente di avvio dell'application pool dedicato
l'appartenenza al gruppo Administrator.

Grazie ancora per lo "sbattimento"...
Edoardo Benussi [MVP]
2009-03-06 09:49:09 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
ferma un attimo.
ho riletto tutto.
hai detto che la connessione verso l'AS400
da un sito sullo stesso server funziona e in questo non
funziona, giusto ?
i due siti girano con application pool diversi ?
se si, con quali identità girano i due diversi application pool ?
I due siti girano con due application pool diversi.
Il sito "A" che funziona usa l'utente "IUSR_SITE1" .
Il sito "B" che non funziona usa l'utente "IUSR_MYSITE".
Entrambi sono user creati nel mio web server e sono entrambi membri
dei gruppi "USERS" e "IIS_IUSRS"
Se avvio il sito "B" (quello che non funziona) con l'application pool
del sito "A" (quello che funziona) tutto funziona, ma non è corretto
in quanto userei uno stesso application pool per due siti distinti.
L'unica condizione affinchè il sito "B" (quello che non funziona)
funzioni è dare all'utente di avvio dell'application pool dedicato
l'appartenenza al gruppo Administrator.
credo che non ci stiamo capendo!

tu mi parli degli account IUSR_nomemacchina
che sono gli account per l'accesso anonimo
al sito web, mentre io ti parlo di "application pool"
nei quali di solito si configurano gli utenti
IWAM_nomemacchina oppure "network service" o
ancora "localsystem" (sconsigliato) ma non certo IUSR_nomemacchina.

puoi verificare meglio ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-06 10:50:20 UTC
Permalink
Post by Edoardo Benussi [MVP]
credo che non ci stiamo capendo!
tu mi parli degli account IUSR_nomemacchina
che sono gli account per l'accesso anonimo
al sito web, mentre io ti parlo di "application pool"
nei quali di solito si configurano gli utenti
IWAM_nomemacchina oppure "network service" o
ancora "localsystem" (sconsigliato) ma non certo IUSR_nomemacchina.
puoi verificare meglio ?
Dentro l'application pool specifico, nella sezione "Modello di
Processo" ho modificato l'identità associandogli l'utenza che mi sono
creato, io l'ho chiamato "IUSR_MYSITE", ma potevo anche chiamarlo
"PIPPO". Non so se è quello che mi stai chiedendo...
Anche se io metto "Network Service" come identità il problema è il
medesimo, funziona come localsystem, ma come mi hai detto te non è
consigliabile utilizzarlo.
Edoardo Benussi [MVP]
2009-03-06 11:05:31 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
credo che non ci stiamo capendo!
tu mi parli degli account IUSR_nomemacchina
che sono gli account per l'accesso anonimo
al sito web, mentre io ti parlo di "application pool"
nei quali di solito si configurano gli utenti
IWAM_nomemacchina oppure "network service" o
ancora "localsystem" (sconsigliato) ma non certo IUSR_nomemacchina.
puoi verificare meglio ?
Dentro l'application pool specifico, nella sezione "Modello di
Processo" ho modificato l'identità associandogli l'utenza che mi sono
creato, io l'ho chiamato "IUSR_MYSITE", ma potevo anche chiamarlo
"PIPPO". Non so se è quello che mi stai chiedendo...
Anche se io metto "Network Service" come identità il problema è il
medesimo, funziona come localsystem, ma come mi hai detto te non è
consigliabile utilizzarlo.
mentre l'altro sito (quello che funziona) cos'ha
nell'identità dell'application pool ?
perchè non metti il medesimo account del sito funzionante ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-06 11:23:12 UTC
Permalink
Post by Edoardo Benussi [MVP]
mentre l'altro sito (quello che funziona) cos'ha
nell'identità dell'application pool ?
perchè non metti il medesimo account del sito funzionante ?
La cosa strana è che se associo lo stesso utente sul sito "B" continua
a non funzionare, mentre funziona per il sito "A", funziona solamente
se al sito "B" associo lo stesso application pool del sito "A".
Sembra che si siano dei permessi validi solo per l'application pool
del sito "A"...

I casi provati sono questi:

1)
Sito "A", app pool "appSitoA", identità "IUSR_SITE1" -> OK
Sito "B", app pool "appSitoB", identità "IUSR_MYSITE" -> KO

2)
Sito "A", app pool "appSitoA", identità "IUSR_SITE1" -> OK
Sito "B", app pool "appSitoB", identità "IUSR_SITE1" -> KO

3)
Sito "A", app pool "appSitoA", identità "IUSR_SITE1" -> OK
Sito "B", app pool "appSitoA", identità "IUSR_SITE1" -> OK
Edoardo Benussi [MVP]
2009-03-06 11:36:39 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
mentre l'altro sito (quello che funziona) cos'ha
nell'identità dell'application pool ?
perchè non metti il medesimo account del sito funzionante ?
La cosa strana è che se associo lo stesso utente sul sito "B" continua
a non funzionare, mentre funziona per il sito "A", funziona solamente
se al sito "B" associo lo stesso application pool del sito "A".
Sembra che si siano dei permessi validi solo per l'application pool
del sito "A"...
1)
Sito "A", app pool "appSitoA", identità "IUSR_SITE1" -> OK
Sito "B", app pool "appSitoB", identità "IUSR_MYSITE" -> KO
2)
Sito "A", app pool "appSitoA", identità "IUSR_SITE1" -> OK
Sito "B", app pool "appSitoB", identità "IUSR_SITE1" -> KO
3)
Sito "A", app pool "appSitoA", identità "IUSR_SITE1" -> OK
Sito "B", app pool "appSitoA", identità "IUSR_SITE1" -> OK
sul tuo iis posizionati su
"Applicazion Pools",
fai click destro e scegli "New",
scegli di copiare l'application pool che funziona con
"Use exixting application pool as template",
poi a questo nuovo application pool prova
ad abbinare il tuo account IUSR_MYSITE
ed infine abbina il sito a questo nuovo application pool
e dimmi se funziona.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-06 11:58:40 UTC
Permalink
Post by Edoardo Benussi [MVP]
sul tuo iis posizionati su
"Applicazion Pools",
fai click destro e scegli "New",
scegli di copiare l'application pool che funziona con
"Use exixting application pool as template",
poi a questo nuovo application pool prova
ad abbinare il tuo account IUSR_MYSITE
ed infine abbina il sito a questo nuovo application pool
e dimmi se funziona.
ciao.
Ora non ho accesso alla sala server, alle 14 provo e ti dico, grazie e
buon appetito
xgodfathers
2009-03-06 13:37:47 UTC
Permalink
Post by Edoardo Benussi [MVP]
sul tuo iis posizionati su
"Applicazion Pools",
fai click destro e scegli "New",
scegli di copiare l'application pool che funziona con
"Use exixting application pool as template",
poi a questo nuovo application pool prova
ad abbinare il tuo account IUSR_MYSITE
ed infine abbina il sito a questo nuovo application pool
e dimmi se funziona.
ciao.
Su IIS 7 non c'è questa funzionalità, è una cosa che esisteva solo su
IIS 6, è possibile?
Edoardo Benussi [MVP]
2009-03-08 17:50:56 UTC
Permalink
Post by xgodfathers
Su IIS 7 non c'è questa funzionalità, è una cosa che esisteva solo su
IIS 6, è possibile?
si, è possibile.
ok, proviamo in altro modo.
se apri le proprietà dei due application pools
noti delle differenze a parte l'identity ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-09 06:37:48 UTC
Permalink
Post by Edoardo Benussi [MVP]
si, è possibile.
ok, proviamo in altro modo.
se apri le proprietà dei due application pools
noti delle differenze a parte l'identity ?
Ciao Edoardo,
i 2 application pools sono identifici come proprietà, se vuoi ti posto
l'img della videata.
Buona settimana
Edoardo Benussi [MVP]
2009-03-09 09:26:04 UTC
Permalink
Post by xgodfathers
Ciao Edoardo,
i 2 application pools sono identifici come proprietà, se vuoi ti posto
l'img della videata.
se lo dici tu ti credo.
altro tentativo da fare sarebbe quello
di verificare gli user rights dei due account iusr
per vedere se quello che funziona ha qualche diritto in più
rispetto all'altro. puoi fare questa verifica ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-09 11:21:19 UTC
Permalink
Post by Edoardo Benussi [MVP]
se lo dici tu ti credo.
altro tentativo da fare sarebbe quello
di verificare gli user rights dei due account iusr
per vedere se quello che funziona ha qualche diritto in più
rispetto all'altro. puoi fare questa verifica ?
I due account IUSR fanno parte degli stessi gruppi, USERS e IIS_IUSRS
(vedi link)
http://tinyurl.com/73kcfp
Edoardo Benussi [MVP]
2009-03-09 11:35:09 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
se lo dici tu ti credo.
altro tentativo da fare sarebbe quello
di verificare gli user rights dei due account iusr
per vedere se quello che funziona ha qualche diritto in più
rispetto all'altro. puoi fare questa verifica ?
I due account IUSR fanno parte degli stessi gruppi, USERS e IIS_IUSRS
(vedi link)
http://tinyurl.com/73kcfp
non è sufficiente questo!
potresti aver aggiunto il primo iusr
nel diritto di fare un qualcosa ma non il secondo
senza ricorrere ai gruppi.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-09 12:00:13 UTC
Permalink
Post by Edoardo Benussi [MVP]
non è sufficiente questo!
potresti aver aggiunto il primo iusr
nel diritto di fare un qualcosa ma non il secondo
senza ricorrere ai gruppi.
Ma c'è un modo automatico per capirlo o devo sfogliarmi manualmente
tutte le cartelle e vedere gli utenti?
Sicuramente avevo dato i diritti di accesso a "windows\temp" e
"microsoft.net\framework\versione".
Edoardo Benussi [MVP]
2009-03-09 12:58:55 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
non è sufficiente questo!
potresti aver aggiunto il primo iusr
nel diritto di fare un qualcosa ma non il secondo
senza ricorrere ai gruppi.
Ma c'è un modo automatico per capirlo o devo sfogliarmi manualmente
tutte le cartelle e vedere gli utenti?
Sicuramente avevo dato i diritti di accesso a "windows\temp" e
"microsoft.net\framework\versione".
non mi riferisco alle cartelle bensì agli user rights
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-09 14:15:51 UTC
Permalink
Post by Edoardo Benussi [MVP]
non mi riferisco alle cartelle bensì agli user rights
Scusa, ma come faccio a verificare? dove devo andare?
Grazie ancora
xgodfathers
2009-03-10 12:38:42 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
non mi riferisco alle cartelle bensì agli user rights
Scusa, ma come faccio a verificare? dove devo andare?
Grazie ancora
Ciao Edoardo,
ho trovato gli user rights, te li posto a questo link...
http://tinyurl.com/cggftq
Nel pomeriggio vedo cosa trovo, anche se facilmente girerò a vuoto.
Grazie
Edoardo Benussi [MVP]
2009-03-10 14:28:39 UTC
Permalink
Post by xgodfathers
Ciao Edoardo,
ho trovato gli user rights, te li posto a questo link...
http://tinyurl.com/cggftq
Nel pomeriggio vedo cosa trovo, anche se facilmente girerò a vuoto.
Grazie
non so come tu pretenda che io riesca a capire le cose da un'immagine :)
comunque domanda:

di quali gruppi fa parte IUSR_SITE1
e di quali gruppi fa parte IUSR_MYSITE ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-10 14:46:36 UTC
Permalink
Post by Edoardo Benussi [MVP]
non so come tu pretenda che io riesca a capire le cose da un'immagine :)
Hai ragione :) ma non saprei risponderti, a me sembra tutto corretto,
anzi, grazie per l'aiuto, lo so, è difficile aiutare a "distanza"
Post by Edoardo Benussi [MVP]
di quali gruppi fa parte IUSR_SITE1
e di quali gruppi fa parte IUSR_MYSITE ?
entrambi fanno parte di USERS e IIS_USRS
Edoardo Benussi [MVP]
2009-03-10 14:54:17 UTC
Permalink
Post by xgodfathers
Post by Edoardo Benussi [MVP]
non so come tu pretenda che io riesca a capire le cose da
Hai ragione :) ma non saprei risponderti, a me sembra tutto corretto,
anzi, grazie per l'aiuto, lo so, è difficile aiutare a "distanza"
Post by Edoardo Benussi [MVP]
di quali gruppi fa parte IUSR_SITE1
e di quali gruppi fa parte IUSR_MYSITE ?
entrambi fanno parte di USERS e IIS_USRS
ok.
allora passati tutti gli user rights
uno ad uno e cerca dove c'è solo
IUSR_SITE1 oppure solo IUSR_MYSITE.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-10 15:20:58 UTC
Permalink
Post by Edoardo Benussi [MVP]
ok.
allora passati tutti gli user rights
uno ad uno e cerca dove c'è solo
IUSR_SITE1 oppure solo IUSR_MYSITE.
Ho verificato nella videata che ti ho inviato e non è presente alcun
riferimento a IUSR_SITE1 o IUSR_MYSITE, l'unico oggetto diverso da
quelli standard e presente è il gruppo IIS_USRS.
Strano, vero?
Edoardo Benussi [MVP]
2009-03-11 11:35:45 UTC
Permalink
Post by xgodfathers
Ho verificato nella videata che ti ho inviato e non è presente alcun
riferimento a IUSR_SITE1 o IUSR_MYSITE, l'unico oggetto diverso da
quelli standard e presente è il gruppo IIS_USRS.
Strano, vero?
sei andato a controllare diritto per diritto ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-11 12:06:35 UTC
Permalink
Post by Edoardo Benussi [MVP]
sei andato a controllare diritto per diritto ?
Ho guardato ora, non è presente nè IUSR_SITE1 nè IUSR_MYSITE, però ho
notato che alla voce "Accedi come Servizio" di default dovrebbe
esserci "SERVIZIO DI RETE", mentre in realtà l'elenco è vuoto. Non so
però se questa voce influisce sull'esecuzione dei processi di IIS...
xgodfathers
2009-03-11 13:03:31 UTC
Permalink
Post by xgodfathers
Ho guardato ora, non è presente nè IUSR_SITE1 nè IUSR_MYSITE, però ho
notato che alla voce "Accedi come Servizio" di default dovrebbe
esserci "SERVIZIO DI RETE", mentre in realtà l'elenco è vuoto. Non so
però se questa voce influisce sull'esecuzione dei processi di IIS...
Aggiornamento, senza aver toccato niente sul server o alcun
riavvio...non funziona neanche più l'application pool con l'utente
IUSR_MYSITE che precedentemente funzionava...almeno adesso la
situazione è uguale...comunque l'ho messo nel gruppo "Administrators"
e tutto ha ripreso a funzionare regolarmente, strano...
Vabbè!
Edoardo Benussi [MVP]
2009-03-11 13:28:27 UTC
Permalink
Post by xgodfathers
Aggiornamento, senza aver toccato niente sul server o alcun
riavvio...non funziona neanche più l'application pool con l'utente
IUSR_MYSITE che precedentemente funzionava...almeno adesso la
situazione è uguale...comunque l'ho messo nel gruppo "Administrators"
e tutto ha ripreso a funzionare regolarmente, strano...
Vabbè!
almeno questo mi fa rivedere l'informatica
come qualcosa di stabile e razionalmente spiegabile :)
rimane quindi un problema di permessi
che il gruppo administrators ha e gli altri no
quindi torniamo alle acl su cartelle o su chiavi di registro
perciò di nuovo filemon o regmon
oppure dovresti far debuggare l'applicazione
(con gli utenti come stanno ora) ed ottenere un esplicito
codice di errore.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
xgodfathers
2009-03-11 16:58:42 UTC
Permalink
Post by Edoardo Benussi [MVP]
almeno questo mi fa rivedere l'informatica
come qualcosa di stabile e razionalmente spiegabile :)
rimane quindi un problema di permessi
che il gruppo administrators ha e gli altri no
quindi torniamo alle acl su cartelle o su chiavi di registro
perciò di nuovo filemon o regmon
oppure dovresti far debuggare l'applicazione
(con gli utenti come stanno ora) ed ottenere un esplicito
codice di errore.
Questo è il messaggio di errore durante l'istanziamento della dll di
connessione al DB2:

L'inizializzatore di tipo di 'IBM.Data.DB2.iSeries.iDB2Trace' ha
generato un'eccezione.

Domani provo con i tools che mi hai segnalato.
Grazie e buona serata
xgodfathers
2009-03-17 07:58:44 UTC
Permalink
Post by xgodfathers
Questo è il messaggio di errore durante l'istanziamento della dll di
L'inizializzatore di tipo di 'IBM.Data.DB2.iSeries.iDB2Trace' ha
generato un'eccezione.
Domani provo con i tools che mi hai segnalato.
Grazie e buona serata
Ciao Edoardo,
i tools non mi segnalano niente, il risultato è sempre quello
descritto diversi post fa.
Visto che abbiamo il contratto di assistenza con IBM apro una chiamata
a loro e vedo se possono essermi d'aiuto.
Mi viene da pensare che per qualche motivo l'utenza non ha i diritti
di accesso a qualche cartella e/o file correlati alla dll in oggetto,
vedremo...
Intanto grazie molte per il tuo prezioso aiuto e buon lavoro
xgodfathers
2009-04-15 10:21:30 UTC
Permalink
Ciao Edoardo,
ti aggiorno sul problema in oggetto.
Contattato IBM abbiamo ricevuto da loro assistenza diretta e il
problema è dovuto ad un bug della loro dll "IBM.Data.DB2.ISeries.dll";
mi hanno così fornito una versione creta ad hoc e verrà rilasciata nel
prossimo service pack del Client Access.
Ti ringrazio per la disponibilità offerta, sei stato comunque utile
per arrivare al problema.
Buon lavoro
Edoardo Benussi [MVP]
2009-04-17 15:35:09 UTC
Permalink
Post by xgodfathers
Ciao Edoardo,
ti aggiorno sul problema in oggetto.
Contattato IBM abbiamo ricevuto da loro assistenza diretta e il
problema è dovuto ad un bug della loro dll "IBM.Data.DB2.ISeries.dll";
mi hanno così fornito una versione creta ad hoc e verrà rilasciata nel
prossimo service pack del Client Access.
Ti ringrazio per la disponibilità offerta, sei stato comunque utile
per arrivare al problema.
Buon lavoro
grazie per esser tornato a riferire.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Continua a leggere su narkive:
Loading...