在独立应用程序中模拟 IIS DefaultAppPool

Question

我的问题的描述听起来有些复杂，是什么让我觉得我的方法有缺陷，所以我也会感谢任何更好的想法。

简短说明：

给定到 MSSQL 2008 DB 的连接字符串和部署在 IIS6 上的网站名称，我想以编程方式验证网站是否能够连接到数据库。

详细说明：

1. 我有 MSSQL Server 数据库，我们称之为portal_db。
2. 我在 IIS6 上部署了一个应用程序，名为 portal。我可以通过 url http://localhost/portal 访问它。在 Web.config 文件中，我指定了到我的数据库的连接字符串，如下所示："server=(local)\SQLEXPRESS;trusted_connection=yes;database=portal_db"
3. Web 应用程序正在使用 System.Data.SqlClient.SqlConnection 访问数据库，没有任何包装器、ORM、映射等。
4. 网站配置为在 appool PortalAppPool 中运行。它使用ApplicationPoolIdentity 作为安全上下文。
5. 无法轻松修改 Web 应用程序代码（尤其是它访问数据库的方式）

当我的 Web 应用程序尝试连接到数据库时，它要么成功要么失败，这取决于用户 IIS APPPOOL\PortalAppPool 是否在 MSSQL 数据库中配置。这是我理解的一部分，但是在部署我的应用程序时，我经常忘记在数据库中为 apppool 虚拟帐户创建新用户/登录名。所以我想要做的是从单独的、独立的控制台应用程序（最好用 C# 编写，但不一定）验证我的 Web 应用程序是否可以通过以下方式访问数据库：

1. 从Web.config读取连接字符串
2. 读取应用程序池身份设置（由目录服务 API 管理）
3. 使用在应用程序池中定义的凭据模拟身份（使用我在此处找到的模拟类：http://platinumdogs.me/2008/10/30/net-c-impersonation-with-network-credentials/，它使用了许多其他地方（包括 MSDN）中的想法）
4. 使用从Web.config 读取的连接字符串打开SqlConnection

归结为以下sn-p：

using (new Impersonator("IIS APPPOOL\\PortalAppPool", "", ""))
{
    SqlConnection conn = new SqlConnection(databaseConnectString);
    conn.Open();
}

一切正常，当我的应用程序池安全上下文设置为除AppPoolIdentity 以外的任何其他值时 - 特定用户、本地系统等。当我将传递给Impersonator 的凭据更改为我的用户名和密码时，我获得所需的结果（当我在数据库中没有登录映射时例外，当我添加一个时一切正常）。但是我似乎无法模拟IIS APPPOOLS\PortalAppPool 虚拟帐户-只是不知道应该将哪些参数传递给LogonUser-如果它甚至不可能，我不会感到惊讶。也许我过于关注模拟方法（我正在使用它来访问其他用户的注册表项和服务并且效果很好），也许还有一些更好的方法。

如果您有任何其他更好的想法，或者需要对此问题进行更多解释，请告诉我。

Answer 1

我认为您不能模拟虚拟帐户（IIS 服务帐户）。它们是主要用于 IIS 安全的特殊服务帐户设置。它们仅用于本地服务，不能附加到任何域。 Windows Server 2008 R2 和 Windows 7 中的虚拟帐户是“托管本地帐户”，提供以下功能以简化服务管理：

• 不需要密码管理。
• 在域环境中使用计算机身份访问网络的能力。

您不能“登录”虚拟帐户，Windows 出于安全目的使用它们：

如果你有时间，可以读一些轻松的书：

• This gives a brief overview of MSAs and Virtual Accounts
• The differences between MSAs and Virtual Accounts
• The dirty details on each and how to manage them

要解决您最初的问题，您可以构建一个可以执行相同逻辑的应用，但检查 sql 服务器是否具有正确的用户设置，而不是简单地尝试使用帐户登录。