当web.config文件放置在共享目录下（UNC），启动IIS会提示有错误信息500.19，伴随有错误代码0x80070003和错误代码0x80070005的解决办法

最近遇到一个很有意思的使用环境，操作人员将所有的网站应用内容投放到共享存储里面，并且使用微软的SMB协议将其以CIFS的方式共享出来，使用Windows Server 2008 R2的IIS将其连接起来。在多IIS主机的情况下，实现一次部署，多点生效的效果。

不过在使用的时候遇到了一些问题，在汉语世界里面似乎这样用的环境不多，特别总结一下这样的场景，撰文分享给大家。

错误代码：0x80070003

起初的想法，操作者使用了Windows的映射网络驱动器的方法将UNC路径转换成了一个Windows的盘符，默认的Windows会给整个计算机里的第一个映射Z盘，紧接着，在IIS里面添加这个网站，建个网站的根目录指向到这个Z盘下面的wwwroot文件夹下面，启动一下，浏览后就看到了该错误代码。搜索错误代码，最有用的信息是将其更换成UNC路径而非映射盘符。

错误代码：0x80070005

更换成UNC路径之后，再次浏览后就看到了该错误代码，提示“由于权限不足而无法读取配置文件”。

Figure 1错误提示很明显，权限不足

关于权限相关的问题我自然的想到了procmon工具，和权限有关的肯定逃不过procmon的法眼了！

Figure 2工具呈现出访问被拒绝（Access Denied），path是刚刚更换的unc路径

Figure 3进程选项卡内看到的该进程是由这个IIS资源池下的bbbb用户启动的，这个和我们新建的网站虚拟名称一致

罗列出来的这个IIS APPPOOL\bbbb的用户我们是在Windows传统的用户和用户组下面无法查看到的，而且即便是我们先前映射了Z盘，也是需要口令密码的，这个bbbb用户应该不会走系统层面去找对应的token的，况且机器会有重启，自动更新等操作，新起来之后还要认为的输入用户名和口令（非域环境下），这显然不科学。

网上搜来搜去有些结果，归类如下：

• 如果使用的是2003系统可以用一个vbs命令来获取到iusr用户的密码，创建网站的时候可以这样来填写认证信息，但是2008系统下面已经不能这样查看。
• 使用subst创建虚拟映射盘符，来欺骗2008认为这个是本地硬盘而非一个UNC路径，但是这个尝试之后又会回到起初的那个0x80070003错误。
• 还有的尝试使用mklink创建一个符号连接的方式映射到本地磁盘的固定目录，结果这个也会回到0x80070003错误。

从上面的经历来看，大家的思路有两个，一个是欺骗IIS、一个是使用破解的用户名密码去进行验证。

更换英文关键字接的搜索，突然在一个微软工程师anilr的回帖中找到了问题的解决办法，https://forums.iis.net/post/1905350.aspx

他说继续保持UNC路径，在"connect as"中输入用户名密码进行校验即可。

这个“connect as”对应中文应该是个什么呢？直译叫做“连接为”，这个好像在新建网站的时候见到过。

Figure 4添加网站的时候可以看到连接为，点开始后和凭证有关！

对于新网站可以这样操作，对于已经有的网站该怎么处理呢？

Figure 5通过搜索IIS的内置帮助，看看到底哪些地方会出现“连接为”，发现有物理路径这样的关键字出现

Figure 6顺而在网站的高级设置里面找到了物理路径凭据，下面的解释有需要填写用户名密码这类的要求。

根据需要在物理路径凭据下面输入可以访问那个UNC路径的用户名和密码。

这里补充说明一下，既然还是和微软的SMB协议有关，登陆验证也是基于NTLM的相同用户验证的策略，所以这里我们需要在IIS节点上创建一个和文件服务器用来共享这个UNC路径一致的用户。

否则如果你即便输入了映射时候的对端密码账号也是无效的，因为你本地IIS计算机节点上并没有这个用户。

Figure 7输入和对端一样的用户名密码之后点击确定，生效！

再次浏览问题全无，运行正常。

此时我们再请出Procmon看看。

Figure 8通过查看第一条访问文件的权限，我们看到Impersonating（伪装用户）已经是这个IIS节点上的有权限访问该UNC路径的用户了 。

至此，所有的疑惑已经解决，使用到的知识点都是基本的Windows操作原理，是从系统工作人员的角色解决WEB程序的报错的一个有意思的案例！

-=EOB=-