FIX：ASP.NET 在域控制器上使用預設 ASPNET 帳戶不能正常執行

本文介紹那些 Microsoft 不再提供支援的產品。因此本文按“原樣”提供，並且不再更新。

文章編號	:	315158
最後修改	:	2008年1月30日
修訂	:	5.3

本文的釋出號曾為 CHS315158

症狀

在域控制器或備份域控制器上安裝 Microsoft Visual Studio .NET 或 Microsoft .NET Framework 後，如果您嘗試執行 ASP.NET 應用程式，則瀏覽器會顯示下面的錯誤訊息： 伺服器應用程式不可用

您試圖在此 Web 伺服器上訪問的 Web 應用程式當前不可用。

請點選 Web 瀏覽器中的“重新整理”按鈕重試您的請求。 此外，系統應用程式事件日誌中會記錄以下事件： aspnet_wp.exe could not be launched because the username and/or password supplied in the processModel section of the config file are invalid.
aspnet_wp.exe could not be started.
HRESULT for the failure: 80004005 此問題涉及 Internet Information Services (IIS) 5.0 版或更高版本。

回到頂端

原因

預設情況下，為了提供更安全的環境，ASP.NET 用許可權較弱的帳戶（名為 ASPNET 的本地計算機帳戶）執行其輔助程序 (Aspnet_wp.exe)。在域控制器或備份域控制器上，所有的使用者帳戶都是域帳戶，而不是本地計算機帳戶。因此，Aspnet_wp.exe 會由於找不到名為“localmachinename/ASPNET”的本地帳戶而無法啟動。若要在域控制器上提供有效的使用者帳戶，必須在 Machine.config 檔案的 <processModel> 部分指定顯式帳戶，或者必須使用 SYSTEM 帳戶。

注意：如果在嘗試瀏覽頁面之前嘗試進行除錯（單擊“啟動”按鈕），也會遇到這一問題。

回到頂端

解決方案

要解決此問題，請使用下列方法之一：

•	建立具有正確許可權的弱帳戶，然後配置 Machine.config 檔案的 <processModel> 部分以使用該帳戶。
•	在 Machine.config 檔案的 <processModel> 部分，將 userName 屬性設定為 SYSTEM。
•	配置 Machine.config 檔案的 <processModel> 部分以使用管理員帳戶。

注意：如果允許 ASP.NET 應用程式作為 SYSTEM 或管理員帳戶執行，將帶來嚴重的安全問題。如果使用其中的任一種替代方法，在 Aspnet_wp.exe 程序中執行的程式碼都將有權訪問域控制器和域設定。從 Aspnet_wp.exe 程序啟動的可執行檔案在相同的上下文中執行，它們也有權訪問域控制器。

因此，Microsoft 建議使用第一種替代方法。若要使用第一種替代方法，請按照下列步驟操作：

1.	在計算機上建立名為 ASPUSER 的使用者帳戶，然後將此帳戶新增到使用者組中。 注意：如果更改了 .NET Framework 建立的 ASPNET 帳戶的密碼，也可以使用該帳戶。您必須知道此帳戶的密碼，因為需要在後面的步驟中將該密碼新增到 <processModel> 部分。
2.	授予 ASPUSER 或 ASPNET 帳戶“作為批處理作業登入”使用者許可權。確保此更改出現在“本地安全策略”設定中。 注意：若要向此帳戶授予“作為批處理作業登入”使用者許可權，可能必須在以下每一個安全策略中都授予此使用者許可權（從控制面板/管理工具開始操作）： • 域控制器安全策略 • 域安全策略 • 本地安全策略 注意：您可能必須重新啟動伺服器以使這些更改生效。
3.	確保 ASPUSER 或 ASPNET 帳戶有權訪問啟動 Aspnet_wp.exe 程序和為 ASP.NET 頁提供服務所必需的全部目錄和檔案。 有關必須授予此帳戶何種許可權的其他資訊，請單擊下面的文章編號，以檢視 Microsoft 知識庫中相應的文章： 317012 (http://support.microsoft.com/kb/317012/) ASP.NET 中的程序和請求標識
4.	開啟 Machine.config 檔案。該檔案的路徑是：%Systemroot%/Microsoft.NET/Framework/v1.0.3705/CONFIG。
5.	在 Machine.config 檔案的 <processModel> 部分，將 userName 和 password 屬性更改為您在步驟 1 中建立的帳戶的名稱和密碼。例如： userName="DomainName/ASPUSER" password="ASPUSERpassword"
6.	儲存對 Machine.config 檔案所做的更改。

回到頂端

狀態

Microsoft 已經確認這是在“這篇文章中的資訊適用於：”部分中列出的 Microsoft 產品中存在的錯誤。此錯誤在 ASP.NET（包括在 .NET Framework 中）1.1 版中得到了糾正。

回到頂端

參考

有關 ASP.NET 安全性的更多資訊，請單擊下面的文章編號，以檢視 Microsoft 知識庫中相應的文章： 306590 (http://support.microsoft.com/kb/306590/) INFO：ASP.NET 安全性概述 有關更多資訊，請單擊下面的文章編號，以檢視 Microsoft 知識庫中相應的文章： 316989 (http://support.microsoft.com/kb/316989/) 在建立從 ASP.NET 到 SQL Server 的受信任資料連線時出現錯誤訊息：“Login failed for user: 'AccountName'”（使用者 'AccountName' 登入失敗） 329290 (http://support.microsoft.com/kb/329290/) 如何使用 ASP.NET 工具加密憑據和會話狀態連線字串 317012 (http://support.microsoft.com/kb/317012/) ASP.NET 中的程序和請求標識

回到頂端

這篇文章中的資訊適用於:

•	Microsoft ASP.NET 1.0
•	Microsoft Internet Information Services 5.0
•	Microsoft Mobile Internet Toolkit 1.0

回到頂端

關鍵字：	kbproductlink kbfix kbbug kbconfig kbhttpruntime kbreadme kbsecurity KB315158

回到頂端

Microsoft和/或其各供應商對於為任何目的而在本伺服器上釋出的檔案及有關圖形所含資訊的適用性，不作任何宣告。 所有該等檔案及有關圖形均"依樣"提供，而不帶任何性質的保證。Microsoft和/或其各供應商特此宣告，對所有與該等資訊有關的保證和條件不負任何責任，該等保證和條件包括關於適銷性、符合特定用途、所有權和非侵權的所有默示保證和條件。在任何情況下，在由於使用或執行本伺服器上的資訊所引起的或與該等使用或執行有關的訴訟中，Microsoft和/或其各供應商就因喪失使用、資料或利潤所導致的任何特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤不負任何責任。