WebDeploy (401) 未经授权的错误

Question

当尝试使用不是目标服务器上本地管理员的 Windows 用户远程部署应用程序时，我使用 NTLM 身份验证从 MsDeploy 收到未经授权的错误。我在目标框中的管理服务委派中设置了规则，并选中了所有提供商。在此规则下，我添加了 2 个具有允许权限的用户（“*”，以及正在进行远程部署的 Windows 用户）。此外，我已在我尝试部署的站点上授予 Windows 用户权限。如果我将 Windows 用户设置为目标框上的本地管理员并设置“允许管理员绕过规则”，则部署可以正常工作。如果 Windows 用户不是本地管理员，我会收到以下错误：

Web 部署任务失败。（无法联系远程代理（URL http://xxxxxxxx/MSDEPLOYAGENTSERVICE）。确保目标计算机上安装并启动了远程代理服务。）确保站点名称、用户名和密码正确。如果问题未解决，请联系您的本地或服务器管理员。错误详细信息：无法联系远程代理 (URL http://xxxxx/MSDEPLOYAGENTSERVICE)。确保目标计算机上安装并启动了远程代理服务。收到了不支持的回复。响应标头“MSDeploy.Response”为“V1”，但预期为“v1”。远程服务器返回错误：(401) 未经授权。在 Microsoft.Web.Publishing.targets(3588, 5)

Answer 1

如果您将委派配置为“允许管理员绕过规则”并且 msdeploy 命令成功，则您将通过 WMSvc 并且它会让您通过。否则，从响应来看，WMSvc 似乎拒绝了您，您将退回到 Web Deloy 代理。

将以下注册表值设置/添加到 WMSvc 注册表项：

reg add HKLM\Software\Microsoft\WebManagement\Server /v WindowsAuthenticationEnabled /t REG_DWORD /d 1

回收 WMSvc:

net stop wmsvc & net start wmsvc

再试一次。如果没有成功，您可以发布您的 msdeploy 命令行吗？

Answer 2

作为构建过程的一部分，我们已经部署了一台机器。由于没有明显的原因，部署停止工作，我们无法再远程访问任何管理共享（C$、ADMIN$ 等）。我们找到了管理共享的修复程序，也解决了部署问题。

我们按照这篇知识库文章中的步骤重新启用管理共享（仍然不知道为什么它们突然停止工作）。

http://support.microsoft.com/kb/947232

完成此操作后，msdeploy 所有突然又开始工作了。我认为 msdeploy 根本没有使用管理共享。我什至不确定这两者有什么关系，但我想我会把它扔在那里，以防它解决其他人的问题。

Answer 3

我终于能够使用 NTLM 运行自动化构建和部署。我只是想总结一下它的运行过程，以防对任何人有帮助。这是 IIS 7.5 的情况。

1. 设置注册表设置并重新启动 Web 管理服务 (WMSVC)：

   reg add HKLM\Software\Microsoft\WebManagement\Server /v WindowsAuthenticationEnabled /t REG_DWORD /d 1

2. 授予在网站目录中运行 TFS 构建服务的用户权限。

3. 以下是我使用的 MSBuild 参数。将各种名称替换为您的名字。我使用的是 DEV 和 Any CPU。我还需要允许不受信任的证书。

   /m /p:PublishProfile=DEV /p:Configuration=DEV /p:Platform="Any CPU" /p:DeployOnBuild=true /p:AllowUntrustedCertificate=true /p:authType=NTLM

4. 在具有目标的 IIS 管理器中选择网站，打开 IIS 管理器权限并允许用户运行 TFS 构建服务。

追踪对于诊断问题非常有帮助。您可以在 IIS 管理器的管理服务委派中打开跟踪。最初我在 IIS 管理器中看不到管理服务委派。为了演示，我必须从“添加程序”中“更改”Web 部署，以便安装管理服务委派。看起来它已经安装了，但我重置了下拉列表以安装到我的计算机并完成了安装。然后它出现在IIS管理器中。

Answer 4

不确定确切原因，但也许可以帮助您找到方法。

WebDeploy 根据远程服务器的配置（即运行的是 IIS6 还是 IIS7）使用两个入口点。

IIS 7 使用 IIS 部署处理程序，它由 Web 管理服务管理，并允许 msdeploy 直接配置 IIS。所有“管理服务委托”等设置都与此设置相关。

然而，IIS 6 没有 Web 管理服务，因此处理程序将无法工作。对于 IIS6 目标，使用名为 MS 部署代理服务 的服务。

奇怪的是，您的设置表明您正在使用 IIS 7，因为您能够设置委派设置等。但是，该 url“/MSDEPLOYAGENTSERVICE”表明您的计算机正在尝试使用该服务...几乎就像它一样认为它是 IIS 6。该服务需要管理员访问权限，这就是您收到该错误的原因。

根据错误，您似乎是从 MSbuild 调用此函数，很可能是直接从 Visual Studio 调用。您可能需要查看给定的设置，看看其中是否有任何内容导致此路径和/或服务器选择。

还要确保 Web 管理服务正在远程计算机上运行。

基本上，您希望看到它对不同的网址进行部署调用，http://<>/msdeploy.axd（如果我没记错的话）以正确调用处理程序。

Answer 5

这占用了我太多的时间。我已经在我的其他网站上使用了 Web Deploy。我决定向我的服务器添加一个新网站，并尝试对其进行部署（但由于过度的复制/粘贴错误，意外地留下了相同的“站点/应用程序”名称）。发布成功，但当我意识到我发布到错误的站点（而不是新站点）时，我更改了站点名称并尝试重新部署，但我不断收到此错误。我在 IIS 端尝试了一切。最后，我完全关闭了 Visual Studio 2010 实例。重新打开它，再次尝试发布，它成功了！

如有疑问，请问问自己：“您是否尝试过将其关闭并再次打开？”
我意识到这个建议并不能帮助每个人解决这个模棱两可的错误——只是少数人。

Answer 6

如果您的用户是管理员，但您仍然可以

ERROR_USER_IS_NOT_ADMIN

确保您使用的是完全限定的用户名。

MyMachineName\MyWebDeployUser

Answer 7

昨天我能够很好地部署，今天有完全相同的错误消息。经过一两个小时的故障排除后，我最终从我的用户名中删除了该域。之前是 DOMAIN\username，我将其更改为 [username]，瞧，它又开始工作了。我知道这不是一个很好的答案，但也许它会帮助遇到它的其他人。

Answer 8

昨天，在安装 MS15-025 和 MS15-027我们运行 Windows Server 2003 的域控制器之一。

我们检查了有关 Web 部署的所有建议，但无法解决 HTTP 401.2 错误。

现在，Microsoft 专门针对 Windows Server 2003（KB3033395-v2 和 KB3002657-v2）重新发布了这两个公告的补丁。安装更新的补丁并启动域控制器后，它立即再次工作。我们甚至不必重新启动 Web 服务器上的任何服务。

没有事件日志条目指向这一点，只是由于时间关系才变得明显。

Answer 9

还有另一种可能性：由于尝试使用 Web 部署进行部署失败次数过多，您的帐户已被锁定。重置您的帐户或让您的系统管理员为您执行此操作。非常令人沮丧。

Answer 10

我的问题是网络服务是Web 部署代理服务中的登录帐户，并且该帐户没有足够的权限来更改或读取 IIS 文件...

要解决您的问题，只需执行以下步骤：

打开服务面板（services.msc）
找到Web部署代理服务并
双击打开Web部署代理服务属性...
在“登录”选项卡中，将“登录身份”更改为管理员帐户...