Недавно нам пришлось изменить пароль администратора домена из-за проблемы с безопасностью. В результате на нашем веб-сервере prod мы видим большое количество ошибок с кодом события 4625, отображаемых в нашем журнале безопасности, связанном с пулом приложений IIS. У нас Windows 2012 R2 / IIS 8.5; В системе установлены ASP.NET 2.0 и 4.0.
Интересно то, что рассматриваемый пул приложений никогда не использовал учетную запись администратора домена в качестве своего удостоверения. Он всегда использовал готовый ApplicationPoolIdentity. Я также должен отметить, что сервер был отключен от системы с использованием этого затронутого пользователя задолго до смены пароля, и теперь для администрирования сервера используется новая учетная запись.
Однако сам сервер был фактически построен с использованием учетной записи администратора затронутого домена. Все роли / функции были добавлены при входе в систему под вышеупомянутой учетной записью. Имея это в виду, никакие службы не работают под учетной записью, то есть служба публикации в Интернете / служба администрирования IIS. Они работают как локальная система и всегда работали.
Никакая функциональность не нарушена, на веб-сервере все работает нормально. Проблема в том, что наша команда технических служб постоянно получает уведомления от своего программного обеспечения для мониторинга учетных записей о неудачных попытках входа в систему, и это мешает их работе. Полное раскрытие ... У нас еще не было возможности перезагрузить сервер с момента его производства, мы сделаем это сегодня вечером.
Проблема, похоже, связана с корнем сайта, папкой \ wwwroot. Разделение только корневого приложения в собственный пул приложений / отключение пула не является вариантом, поскольку оно обслуживает запросы файловой системы. Мы попытались явно установить удостоверение в пуле затронутых приложений, чтобы использовать локальную службу, а также обычного пользователя домена. Проблема сохраняется независимо от того:
Поэтому, естественно, мы надеемся, что перезагрузка позаботится об этом ... Возможно, старый пароль застрял в кеше Kerberos, но это просто странно, поскольку этот пул приложений никогда не использовал идентификатор в качестве своего идентификатора, что он продолжает отображаться. Любые мысли приветствуются, спасибо!