Ошибка при доступе к WEB-приложениям

Question

Возникла проблема при доступе к ArcGis Manager, приложениям на .NET и Silverlight, то есть на всех веб-клиентах.Выдало ошибку:

Произошла ошибка на сервере. Для дополнительной информации проверьте Журнал событий (приложение) на веб-сервере.
Отказано в доступе к временной папке. Идентификатор \"IIS APPPOOL\ArcGISApplicationsAppPool\", с помощью которого запущен XmlSerializer, не имеет разрешений, достаточных для получения доступа к временной папке. CodeDom будет производить компиляцию с помощью учетной записи пользователя, которая используется процессом; если пользователь не имеет разрешения на доступ к системной временной папке, то компиляция невозможна. Определить расположение временной папки можно с помощью интерфейса Path.GetTempPath() API.

Предположительно ошибка появилась после установки обновлений Framework 4 на сервер. Доступ к ArcGis серверу из ArcCatalog есть, управлять сервисами могу.

Здесьhttp://help.arcgis.com/en/arcgisserver/10.0/help/arcgis_server_dotnet_help/index.html#/Setting_up_users_and_roles_in_SQL_Server/0093000000q0000000/
есть описание настройки ролей но с использованием SQL Server 2008, такой авторизации у меня не настроено. Из глобальных изменений было включение сервера в домен организации. Но после включения доступ ко всем приложениям был. ArcGis Server PostInstal и WEB-Postinstal сделал - ошибка не исчезла.
Как это лечится?
Характеристики системы:

Win Server 2008
ArcGis Server 10.0
IIS 7

Answer 1

Скорее всего,у Вас не имеет доступа к временной папке (по умолчанию этоC:\Windows\Temp) встроенная Windows группа IIS_IUSRS.
При установке ArcGIS Server для Windows в IIS создаются два пула приложений,в которых будут выполнятся сервисы и приложения.

А вот сама группа должна иметь определенные права к временной папке, которая задается переменной окружения TEMP.
При введении компьютера в домен, на локальные компьютерах и для локальных учетных записях может применяться доменная политика,
которая может ограничивать права пользователей и локальных служб.
Поэтому сначала проверьте просто доступ группы IIS_IUSRS к папке TEMP,
а потом (если не поможет) включайте в решение проблемы системного администратора домена.

Answer 2

Григорий, спасибо за помощь! Помогло!
Видимо доменные политики сказались - переменная среда поменялась на .....App\local\temp.
Поменял переменную - и добавил прав группеIIS_IUSRS на папку темп.
Но почему то в этой группе был еще и пользователь ArcGisWebService.- удалил и ее - оставил так как у Вы написали.
Сейчас будет стоять задача по доменной авторизации пользователей. Пока в ArcGisManager доменных пользователей видит, но ролей пользователям не дает поменять.

Answer 3

Роли лучше заводить в самом ArcGIS Server.
А потом в них добавлять доменных пользователей.
В противном случае замучаетесь перераспределять в домене права пользователей на сервисы.
При выборе Windows-аутенфикации Вы должны также понимать, что постучаться к сервисамс компьютеров внедомена, может быть проблематично.

Answer 4

Григорий, а если распределять права только на WEB-приложение? То это только средствами IIS можно сделать или вArcGIS Server тоже надо будет прописывать роли?
Я планирую такой вариант:
средствами IIS - разрешать доступ пользователю к WEB приложению, а средствами AGS регулировать наполнение (доступ к сервисам) этого приложения. то есть один пользователь (условно) может видеть только объекты сервисы с ЛЭП (инструменты геокодирования и т.д.), а другой только сервисы с данными по дорогам (сервисы с моделированием маршрутов и т.д.).

Answer 5

Сами веб-сервисы (REST или WSDL)это тоже веб-приложения.
Если Вы полностью пишите своё веб-приложение, то сами можете выбирать способ аутентификации.
Если же будете пользоваться готовыми "шаблонами" от ESRI, то придется настраивать безопасность в ArcGISServer.
Никто не запретит пользователю подключиться напрямую к открытому сервису, минуя веб-приложение, если он знает ссылку.
А получить еёне сложно.