疑难解答

Internet 信息服务 (IIS) 6.0 中的很多设计修改是为了直接满足保护整个万维网发布服务（WWW 服务）以及特定网站和 FTP 站点安全的需要。如果您没有启用某些默认锁定或禁用的功能或服务，就会出现错误。本主题描述这些错误的某些症状以及纠正这些错误的过程（或指向描述如何纠正错误的主题的链接）。有关 IIS 6.0 中更改的完整列表（包括安全性更改和新进程模型的简短解释），请参阅更改的内容。

动态或静态内容错误

• 禁止应用程序对资源进行访问
• 动态内容请求返回 404 错误
• 静态文件请求返回 404 错误
• 工作进程回收丢失应用程序会话状态
• 在服务器端的包含文件指令 (#include) 返回 404 错误（对于 .stm 文件）或 0131 错误（对于 .asp 文件）
• ASP 在事件日志中给 global.asa 生成“权限被拒绝”错误
• CGI 进程不启动
• 将 ASP.NET 页作为静态文件返回
• Windows NT Server 的协作数据对象失败

连接错误

• 客户端请求收到 503 错误
• 进行子验证登录的匿名帐户 (IUSR_computername) 收到 401 错误
• 客户端无法连接到服务器
• UNC 连接被拒绝访问
• 禁止访问 System32 目录中的控制台应用程序
• 客户端请求出现错误或超时

其他错误

• 对 UNIX 或 Linux 服务器的文件请求返回错误的文件或错误信息
• 找不到 /Scripts 或 /Msadc 目录
• ISAPI 筛选器在 UI 中没有显示为“已加载”

动态或静态内容错误

禁止应用程序对资源进行访问

在全新安装之后，IIS 6.0 以工作进程隔离模式运行。默认情况下，以此模式运行的应用程序使用网络服务标识。“网络服务”是具有极少用户权限的帐户，因此可通过限制对 Web 服务器上资源的访问来提供更高的安全性。如果在服务器处于工作进程隔离模式时将应用程序迁移到 IIS 6.0，并且应用程序先前作为本地系统在进程内运行（在 Inetinfo.exe 中），则应用程序可能由于网络服务标识设定的限制无法访问资源。本地系统帐户拥有操作系统上几乎所有资源的访问权限，因此，可能会产生严重的安全隐患。尽可能不要使用本地系统帐户。如果必须使用本地系统帐户来运行某个应用程序，则在其自己的虚拟目录中的新应用程序池中运行该应用程序，以便通过隔离该应用程序来减少攻击面。或者，如果应用程序需要使用可信计算库 (TCB) 的权限，则以可配置的身份运行该应用程序，并给该可配置的身份指派 TCB 权限。但是，这种方法仍存在安全隐患，因为可通过 TCB 权限执行很多操作。

详细信息，请参阅配置工作进程标识和 IIS 和内置帐户。

动态内容请求返回 404 错误

为了更好地预防恶意用户和攻击者的攻击，IIS 是在高度安全和锁定模式下安装的。在默认情况下，IIS 仅处理静态内容，这意味着除非启用 ASP、ASP.NET、在服务器端的包含文件、WebDAV 发布、FrontPage® Server Extensions 和通用网关接口等功能，否则无法使用这些功能。如果在安装 IIS 后没有启用此功能，则在拒绝此类服务时，IIS 默认返回常规 404 自定义错误页以防止泄漏配置信息。默认情况下，IIS 还将 404 错误及子状态代码 2 (404.2) 写入到 W3C 扩展日志文件中。

要点 您必须是本地计算机上 Administrators 组的成员或者您必须被委派相应的权限才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

启用或禁用 Web 服务扩展

1. 在 IIS 管理器中，展开本地计算机，然后单击“Web 服务扩展”。
2. 在详细信息窗格中，单击要启用或禁用的 Web 服务扩展。
3. 要启用已禁用的 Web 服务扩展，请单击“允许”。
4. 要禁用已启用的 Web 服务扩展，请单击“禁止”。
5. 单击“确定”。

要以编程方式启用或禁用 Web 服务扩展，请参阅 WebSvcExtRestrictionList。

静态文件请求返回 404 错误

对于静态内容请求，此版本的 IIS 仅处理具有已知文件扩展名的文件请求，此功能称为“已知扩展名”。如果所请求资源的文件扩展名没有映射到 MimeMap 属性中的已知扩展名，则 IIS 就会拒绝该请求，并默认在 W3C 扩展日志文件中记录 404 错误和子状态代码 3 (404.3)。要防止泄漏配置信息，可以将 IIS 配置为在拒绝此类服务时默认返回常规 404 自定义错误页。您可以使用 IIS 管理器添加或编辑多用途 Internet 邮件交换 (MIME) 映射。要关闭“已知扩展名”功能并允许 IIS 处理具有任何扩展名的文件，可以将 *,application/octet-stream 值添加到 MIME 映射列表中。如果更新全局 MIME 映射，则在工作进程回收或重新启动万维网发布服务（WWW 服务）后，更改才会生效。如果更新单个网站 MIME 映射，则更改会立即生效。

有关添加或编辑 MIME 映射的详细信息，请参阅使用 MIME 类型。

工作进程回收丢失应用程序会话状态

默认情况下，工作进程在 120 分钟后回收。如果在回收工作进程时 ASP 应用程序并不存储会话状态，则该 ASP 应用程序中的会话状态可能会丢失。要解决此问题，可以将会话状态存储在数据库中，或者禁用工作进程回收。

禁用工作进程回收

1. 在 IIS 管理器中，展开本地计算机，展开“应用程序池”，右键单击该应用程序池，然后单击“属性”。
2. 在“回收”选项卡上，清除“回收工作进程（分钟）”复选框。
3. 单击“确定”。

在服务器端的包含文件指令 (#include) 返回 404 错误（对于 .stm 文件）或 0131 错误（对于 .asp 文件）

如果 ASP 页使用 #include 在服务器端的包含文件指令和 ".." 记号来引用某个父目录，则除非重新配置了 AspEnableParentPaths 配置数据库属性，否则，该指令将返回一条错误。默认情况下，将该属性设置为 false。如果将该属性设置为 true，则可能会产生潜在的安全隐患，因为包含文件路径可以访问应用程序根目录外的关键或机密文件。

通过 IIS 管理器启用父路径

1. 在 IIS 管理器中，展开本地计算机，右键单击要配置的应用程序的开始位置目录，然后单击“属性”。
2. 单击“目录”选项卡，然后单击“配置”。
3. 单击“选项”选项卡。
4. 在“应用程序配置”部分，选择“启用父路径”复选框。
5. 单击“确定”。

ASP 在事件日志中给 Global.asa 生成“权限被拒绝”错误

由于早期版本的 ASP 在事件中没有用户上下文，因此只能在宿主进程的安全上下文（或用户标识）中执行事件。这将会导致一些问题，例如在将文件写入 Session_OnEnd 事件中时发生拒绝访问错误。在当前版本中，ASP 默认匿名运行 global.asa 事件、Application_OnEnd 和 Session_OnEnd（默认值为 true）。

要以编程方式更改此设置，请参阅 AspRunOnEndAnonymously。

CGI 进程不启动

如果 CGI 进程没有运行，则确保已启用了 CGI Web 服务扩展。请参阅本主题中的动态内容请求返回 404 错误。另外，除非给运行 CGI 进程使用的帐户指派了某些用户权限，否则，CGI 不会启用。您可以将该帐户添加为 IIS_WPG 组的成员，并为它分配以下两种用户权限：

• 调整进程的内存配额
• 替换进程级令牌

将 ASP.NET 页作为静态文件返回

Windows NT Server 的协作数据对象失败

Microsoft® Windows NT® Server 的协作数据对象 (CDONTS) 已从 Microsoft Windows® Server 2003 家族中删除。如果 Web 应用程序使用 CDONTS，则可以将它们转换为 Microsoft 协作数据对象 (CDO)。CDONTS 中的大多数方法在 CDO 中都有相匹配的方法，但是名称可能不同。

有关平台软件开发工具包 (PSDK) 中 CDO 的参考资料，请参阅 MSDN Online 上的 Overview of CDO。

连接错误

客户端请求收到 503 错误

检查错误事件日志以确定 503 错误是在 HTTP.sys 中还是在万维网发布服务（WWW 服务）中检测到的。如果该错误是在 HTTP.sys 中检测到的，则可能是由于队列中的请求太多，而导致 HTTP.sys 超过其应用程序池队列长度限制。要解决此问题，请增加应用程序池队列长度限制。

更改应用程序池队列长度限制

1. 在 IIS 管理器中，展开本地计算机，展开“应用程序池”文件夹，右键单击应用程序，然后单击“属性”。
2. 单击“性能”选项卡。
3. 在“请求队列限制”部分中，选中“核心请求队列限制为”复选框，然后键入队列请求的最大数量。
4. 单击“确定”。

如果在 WWW 服务中检测到 503 错误，则问题可能是 IIS 已启动了快速失败保护，因为在给定一段时间内为应用程序池分配的许多工作进程都处于不正常的运行状态。要解决此问题，请增加启动快速失败保护前出现的故障数量或时间。您应该测试应用程序是否存在内存泄漏或者其他使工作进程处于不正常状态的问题。

配置快速失败保护

1. 在 IIS 管理器中，展开本地计算机，展开“应用程序池”，右键单击该应用程序池，然后单击“属性”。
2. 单击“运行状况”选项卡。
3. 在“失败数”框中，键入在禁用工作进程之前要检测的工作进程失败数量。
4. 在“时间段”框中，键入累积失败总数的时间长短（分钟）。
5. 单击“确定”。

进行子验证登录的匿名帐户 (IUSR_computername) 收到 401 错误

默认情况下，在 IIS 6.0 中不启用子验证组件 Iissuba.dll。在早期版本中，Iissuba.dll 允许 IIS 管理匿名帐户的密码，这会产生潜在的安全隐患。在 IIS 6.0 中，您可以使用子验证管理匿名帐户的密码，但必须满足以下条件：

• 对于授权匿名访问的应用程序，工作进程以本地系统身份运行。
• 注册了子验证组件 Iissuba.dll。
• 启用了 AnonymousPasswordSynch 配置数据库属性（设置为 true）。

对于 IIS 6.0 全新安装和从配置了子验证的 IIS 安装升级到 IIS 6.0，为满足以上要求所采取的操作是不同的。

有关配置子验证的步骤的信息，请参阅匿名身份验证。

客户端不能连接到服务器

Windows Server 2003 家族提供基于软件的防火墙，以防止从远程计算机对服务器进行未经授权的访问。默认情况下禁用 Internet 连接防火墙 (ICF)。不过，如果您在安装 Windows Server 2003 家族成员之后和安装 IIS 之前以默认配置方式启用了防火墙，客户端将不能连接到您的服务器。以下步骤将配置 ICF，以便允许客户端启动连接到服务器的 Web 和其他 IIS 相关连接。

UNC 连接被拒绝访问

通用命名约定 (UNC) 验证方法也称为“UNC Passthrough 验证”，它确定获得远程计算机上 UNC 共享访问使用的凭据。从 IIS 6.0 开始，UNC 验证使用以下方法查看请求用户和配置数据库 UNCUserName 和 UNCPassword 属性中存储的凭据，以确定传送到具有 UNC 共享的计算机上的凭据：

1. 如果指定了 UNCUserName（非空）并且 UNCPassword 有效，则将配置数据库用户凭据作为访问的用户标识发送到远程共享。如果指定了 UNCUserName（非空）但是 UNCPassword 无效，则向客户端发送“500 内部服务器错误：用户名或密码无效”消息。
2. 如果 UNCUserName 为空，则将请求用户的凭据（用于已验证请求的一组验证的凭据或用于匿名请求的 IUSR_computername 凭据）作为访问的用户标识发送到远程共享。

注意 不再将 UNCAuthenticationPassthrough 配置数据库项用于 UNC 验证。

禁止访问 System32 目录中的控制台应用程序

除非提出请求的远程用户是 Administrators 组中经过验证的成员，否则，使用 Windows System32 目录中控制台应用程序（如 Cmd.exe）的请求被拒绝访问。这种拒绝访问是由于以下原因造成的：Windows System32 目录中所有控制台应用程序的特殊访问控制列表 (ACL) 仅限管理员、本地系统、交互用户和服务能够访问。ACL 限制并不影响拥有访问权限的本地登录用户，也不会影响您自己的自定义 CGI 可执行程序。

客户端请求出现错误或超时

在 IIS 6.0 中，默认设置是特别严格和安全的，这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。IIS 在连接级别强制实施以下超时限制：

• 响应缓冲限制：ASPBufferingLimit 配置数据库属性的默认值为 4 MB。如果 ASP 脚本缓冲大于此值，就会出现错误。在 IIS 6.0 之前的版本中，没有缓冲限制。
• 张贴限制：AspMaxRequestEntityAllowed 配置数据库属性实施的最大 ASP 张贴大小为 204,800 个字节，并将各个字段限制为 100 KB。在 IIS 6.0 之前的版本中，没有张贴限制。
• ServerListenTimeout 配置数据库属性不再存在： ServerListenTimeout 已被以下配置数据库属性代替：
  • ConnectionTimeout：此属性指定在断开非活动连接前服务器等待的时间（以秒为单位）。
  • MinFileBytesPerSec：当 IIS 响应客户端请求时，MinFileBytesPerSec 属性决定了客户端收到整个响应的时间长短。如果客户机接收整个响应所花费的时间太长，则内核模式驱动程序 HTTP.sys 会根据超时值终止连接。
  • HeaderWaitTimeout：在客户端连接到 Web 服务器时，会给客户机指定发送请求的所有标题的时间限制（用结尾的双 \r\n 来区分）。如果在 HeaderWaitTimeout 指示的时间内没有收到请求的完整标题集，则 HTTP.sys 将重置该连接。您可以对 HeaderWaitTimeout 的值进行配置。
• 标题大小限制：默认情况下，HTTP.sys 仅接受标题小于 16 KB 的请求。这意味着，如果 HTTP.sys 收到的 16 KB 中不包含结尾的 <CRLF><CRLF> 序列，则 HTTP.sys 认为请求是恶意的并将终止连接。通过调整 MaxRequestBytes 注册表项中的值，您可以更改标题大小限制。

其他错误

对 UNIX 或 Linux 服务器的文件请求返回错误的文件或错误信息

如果 IIS 必须访问 UNIX 或 Linux 系统上的文件，除非在 IIS 中启用了网络文件系统 (NFS) 支持，否则文件名大小写区分可能会引起问题。

UNIX 和 Linux 均支持混合大小写的文件名，而 IIS 完全支持以区分大小写的方式请求静态文件。然而，当 IIS 随后从其静态文件缓存中请求文件时，会出现问题。因为所有的文件名会在 IIS 缓存中转换为大写字母，从 IIS 静态文件缓存进行完第一次请求之后，所有的请求都可能失败或返回错误的文件。

解决该问题的方法是禁用 IIS 静态文件缓存，以便所有文件请求都以全新形式发出，从而保持正确的文件名大小写。可以针对网站上的单个虚拟目录禁用静态文件缓存，也可以针对所有站点在全局禁用。

注意 更改该设置不会影响缓存 ASP 文件和模板的方式。

为特定网站虚拟目录禁用静态文件缓存

• 编辑配置数据库，并将 MD_VR_NO_CACHE 属性设置为 1。

针对所有站点禁用静态文件缓存

• 编辑注册表并将二进制值 DisableStaticFileCache=1 添加到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\Parameters 项中。

找不到 /Scripts 或 /Msadc 目录

默认情况下，IIS 5.0 中的 /scripts 和 /msadc 目录允许运行脚本和可执行文件。在 IIS 6.0 中删除了这些目录，因为如果恶意用户能够访问这些目录之一，该用户就可以运行脚本或可执行文件，并有可能会控制 Web 服务器。如果服务器配置需要此类目录，则需要创建一个目录并为其指派适当的 NTFS 权限。

ISAPI 筛选器在 UI 中没有显示为“已加载”

在 IIS 6.0 中，为了优化资源，直到所请求的网站需要 ISAPI 筛选器时才会加载它。直到提出此类请求时，IIS 管理器才会显示 ISAPI 筛选器的状态。另外，如果 ISAPI 筛选器需要 SF_NOTIFY_READ_RAW_DATA 筛选器通知，则当 IIS 以工作进程隔离模式运行时，不会加载该筛选器。检查 W3SVC-WP 中事件的应用程序事件以验证是否加载该筛选器。要解决此问题，请以 IIS 5.0 隔离模式运行 IIS，或者与 ISAPI 筛选器供应商联系以获得有关兼容性的更新程序。

要点 如果由于访问控制列表 (ACL) 的限制而使 IIS 工作进程标识无法加载 ISAPI 筛选器，则请求收到 503 错误。要解决此问题，请在 ISAPI 筛选器 DLL 上设置 ACL 以允许访问 IIS_WPG 组。

将 IIS 配置为 IIS 5.0 隔离模式

1. 在“IIS 管理器”中，展开本地计算机，右键单击“网站”，然后单击“属性”。
2. 单击“服务”选项卡，选中“以 IIS 5.0 隔离模式运行 WWW 服务”复选框，然后单击“确定”。
3. 要启动 WWW 服务，请单击“是”。

© 1997-2003 Microsoft Corporation。保留所有权利。