域环境下配置连接sql server 的asp.net网站

最近网站要上线，在部署项目环境时碰到了问题，简单记录一下

域控制器+数据库服务器  域名local
               window 2003  sp2
               sql server 2000 sp4     windows 认证

web服务器
               window 2003 sp2
               iis6   允许匿名登录  
               asp.net 1.1  系统网站  要求允许internet访问
               web.config  impersonate=false   authentication mode=”Forms”

连接采用 Intergrated Security=true(即Trusted Connection=true)
问题1：碰到no authority/network service(iis5下为 no authority/aspnet)
解决方案：网上搜了一下，要在sql server上添加network service相应的权限，可是在sql server上找了一圈也没有发现，后来找到了老外的一个帖子Installing SQL Server on a domain controller，大体意思就是不推荐把sql server安装到域控制器上，可能会导致帐户的权限等。

于是做了更改
数据库服务器
               window 2003  sp2
               sql server 2000 sp4     windows 认证

域控制器+web服务器   域名local
               window 2003 sp2
               iis6   允许匿名登录  
               asp.net 1.1  系统网站  要求允许internet访问
               web.config  impersonate=false   authentication mode=”Forms”

把域服务器安装到web服务器上,这个时候能够在sql server添加 local\Network Service 帐号，并且设置对具体数据库的权限。不过浏览页面的时候报 用户 'LOCAL\WIN03$' 登录失败，WIN03是我这里web服务器的机器名。
从网上查了一下
如果IIS启用了匿名访问
  1 如果asp.net应用程序启用模仿，则用IUSR_machinename发出请求
  2 如果asp.net应用程序未启用模仿，则用特定的ASP.NET进程帐户发出请求
所以将impersonate设为true,另外之前已经设置了IUSR_machinname(就是Network Service)在Sql Server的用户权限，页面能够正常浏览。
还要注意的是，如果启用了模仿，但IUSR_machinname在Sql Server中没有相应权限，会报用户 'LOCAL\IUSER_WIN03' 登录失败错误。

最后如果正在运行 Windows Server 2003，其中的 IIS 6.0 配置为运行在辅助进程隔离模式下（默认情况），则可通过将 ASP.NET 应用程序配置为在自定义应用程序池（在特定的域标识下运行）中运行来避免模拟。然后，可以使用指定的域标识访问资源而无需使用模拟。

 

补充:
今天从网上看到说不建议使用impersonate，可能会导致应用程序池工作不正常，于是尝试将impersonate设置为false,此时报用户 'LOCAL\WIN03$' 登录失败，可以在sql server中添加local\win03$用户权限，在虚拟机上测试能够正常访问。明天在服务器环境试一下。

 

今天在服务器环境下测试,发现外网用户不能访问(始终弹出用户名密码的登录对话框),在网上找到这样一段话

使用   Windows   集成安全性。此选择将用户的凭据传递到   SQL   Server。由于委托问题，这样做是切实可行的，条件是   SQL   Server   和   IIS   位于同一台计算机上，而且用户必须与   Web   服务器计算机位于同一域中。

看来,不使用模仿是无法解决这个问题的,但我有不想使用模仿,不知道还有没有其他办法.