Недавно нам пришлось сменить пароль администратора домена из-за проблем с безопасностью. В результате на нашем веб-сервере prod в журнале безопасности, связанном с пулом приложений IIS, обнаруживается большое количество ошибок с кодом 4625. Мы находимся на Windows 2012 R2 / IIS 8.5; ASP. NET 2.0 и 4.0 установлены в системе.
Интересно, что рассматриваемый пул приложений никогда не использовал учетную запись администратора домена в качестве своей личности. Это всегда использовало из коробки ApplicationPoolIdentity. Следует также отметить, что сервер был отключен с использованием этого уязвимого пользователя задолго до смены пароля, и теперь для администрирования сервера используется новая учетная запись.
Хотя сам сервер фактически был построен с использованием затронутого домена учетная запись администратора. Все роли / функции были добавлены при входе в систему как вышеупомянутая учетная запись. С учетом этого ни одна из служб не работает в качестве учетной записи, ie Служба публикации в Интернете / служба администратора IIS. Они работают как локальная система и всегда имеют.
Функциональность не была скомпрометирована, на веб-сервере все работает нормально. Проблема заключается в том, что наша служба технической поддержки постоянно получает уведомления от своего программного обеспечения для мониторинга учетных записей о неудачных попытках входа в систему и препятствует их работе. Полное раскрытие ... У нас еще не было возможности перезагрузить сервер с момента его производства, мы будем этим заниматься сегодня вечером.
Проблема, похоже, относится к root сайта, \ wwwroot папка. Отделение только приложения root от собственного пула приложений / отключение пула не вариант, так как он обслуживает запросы файловой системы. Мы попытались явно установить удостоверение в соответствующем пуле приложений для использования локальной службы, а также обычного пользователя домена. Проблема сохраняется независимо от:
Естественно, мы надеемся, что перезагрузка позаботится об этом ... Возможно, старый пароль застрял в кэше Kerberos, но это просто странно, так как этот пул приложений никогда не использовал идентификатор в качестве своей идентичности, что он продолжает появляться. Любые мысли приветствуются, спасибо!