Muitos amigos encontraram muitos problemas ao usar o IIS6 para construir sites. Alguns desses problemas foram encontrados no IIS5 no passado e alguns são novos. Estive ocupado a tarde toda e fiz muitos experimentos. resumo com base na minha experiência de solução de problemas, espero que possa ajudar a todos :)
Problema 1: os caminhos pais não estão habilitados
Exemplos de sintomas:
Erro Server.MapPath() ASP 0175: 80004005
Caracteres de caminho não permitidos
/0709/dqyllhsub/news/OpenDatabase.asp, linha 4
Caracteres... não são permitidos no parâmetro Path do MapPath.
Análise do motivo:
Muitas páginas da Web usam instruções como ../ format (ou seja, retornando à página anterior, ou seja, o caminho pai). No entanto, por motivos de segurança no IIS6.0, essa opção está desativada por padrão.
Solução:
Em Propriedades do IIS-> Diretório Inicial-> Configuração-> Opções. Marque a caixa ao lado de "Ativar caminhos pai". Confirme a atualização.
Problema 2: Configuração inadequada da extensão Web do ASP (também se aplica a ASP.NET, CGI)
Exemplos de sintomas:
Erro HTTP 404 – Arquivo ou diretório não encontrado.
Análise do motivo:
No IIS6.0, há uma nova opção de extensão de programa web, na qual você pode permitir ou desabilitar ASP, ASP.NET, CGI, IDC e outros programas. Por padrão, ASP e outros programas são proibidos.
Solução:
Selecione Active Server Pages na extensão de serviço da Web no IIS e clique em “Permitir”.
Problema 3: configuração de autenticação inadequada
Exemplos de sintomas:
Erro HTTP 401.2 - Não autorizado: acesso negado devido à configuração do servidor.
Análise de causa: o IIS oferece suporte aos seguintes métodos de autenticação da Web:
Autenticação anônima
O IIS cria a conta IUSR_nomedocomputador (onde nomedocomputador é o nome do servidor em que o IIS está sendo executado) para autenticar usuários anônimos quando eles solicitam conteúdo da Web. Esta conta concede permissões de login local ao usuário. Você pode redefinir o acesso de usuário anônimo para usar qualquer conta válida do Windows.
Autenticação básica
Use a autenticação Básica para restringir o acesso a arquivos em um servidor Web formatado em NTFS. Com a autenticação básica, os usuários devem inserir credenciais e o acesso é baseado na ID do usuário. IDs de usuário e senhas são enviadas pela rede em texto não criptografado.
Autenticação Integrada do Windows
A Autenticação Integrada do Windows é mais segura que a Autenticação Básica e funciona bem em ambientes de intranet onde os usuários possuem contas de domínio do Windows. Na autenticação integrada do Windows, o navegador tenta usar as credenciais usadas pelo usuário atual durante o processo de login no domínio e, se a tentativa falhar, o usuário será solicitado a fornecer um nome de usuário e uma senha. Se você usar a Autenticação Integrada do Windows, a senha do usuário não será transmitida ao servidor. Se o usuário estiver conectado ao computador local como usuário de domínio, ele não precisará se autenticar novamente ao acessar computadores da rede nesse domínio.
Autenticação resumida
A autenticação Digest supera muitas das desvantagens da autenticação Básica. Ao usar a autenticação digest, a senha não é enviada em texto não criptografado. Como alternativa, você pode usar a autenticação Digest por meio de um servidor proxy. A autenticação Digest usa um mecanismo de desafio/resposta (o mesmo mecanismo usado pela Autenticação Integrada do Windows) onde a senha é enviada de forma criptografada.
Autenticação de passaporte .NET
O Microsoft .NET Passport é um serviço de autenticação de usuário que permite segurança de logon único para tornar os usuários mais seguros ao acessar sites e serviços habilitados para .NET Passport. Os sites habilitados para .NET Passport dependem de um servidor central .NET Passport para autenticar usuários. No entanto, o servidor central não autoriza nem nega acesso de usuários específicos a sites individuais habilitados para .NET Passport.
Solução:
Configure diferentes métodos de autenticação conforme necessário (geralmente autenticação anônima, que é o método de autenticação usado pela maioria dos sites). As opções de autenticação são configuradas em Propriedades do IIS->Segurança->Autenticação e Controle de Acesso
[Página cortada]
Problema 4: as restrições de IP não estão configuradas corretamente
Exemplos de sintomas:
Erro HTTP 403.6 - Proibido: o endereço IP do cliente foi negado.
Análise do motivo:
O IIS fornece um mecanismo de restrição de IP. Você pode configurá-lo para restringir o acesso de determinados IPs ao site ou restringir apenas o acesso de determinados IPs ao site se o cliente estiver na faixa de IP bloqueada por você ou não for permitido por você dentro do. intervalo, uma mensagem de erro aparecerá.
Solução:
Vá para Propriedades do IIS-> Segurança-> Restrições de endereço IP e nome de domínio. Se quiser restringir o acesso a determinados endereços IP, você precisa selecionar Acesso autorizado e clicar em Adicionar para selecionar os endereços IP que não são permitidos. Pelo contrário, você só pode permitir o acesso de determinados endereços IP.
Pergunta 5: a conta IUSR está desativada
Exemplos de sintomas:
Erro HTTP 401.1 - Não autorizado: acesso negado devido a credenciais inválidas.
Análise do motivo:
Como a conta usada pelos usuários para acesso anônimo é IUSR_machine name, se esta conta for desativada, o usuário não conseguirá acessar.
Solução:
Painel de controle->Ferramentas administrativas->Gerenciamento do computador->Usuários e grupos locais, habilite a conta de nome IUSR_machine.
Problema 6: definir permissões NTFS incorretamente
Exemplos de sintomas:
Erro HTTP 401.3 - Não autorizado: acesso negado devido à ACL definida no recurso solicitado.
Análise do motivo:
O usuário do cliente web pertence ao grupo de usuários. Portanto, se as permissões NTFS do arquivo forem insuficientes (por exemplo, não houver permissão de leitura), a página ficará inacessível.
Solução:
Vá até a aba de segurança da pasta e configure as permissões do usuário, pelo menos dê permissão de leitura. Não entrarei em detalhes sobre as configurações de permissão NTFS aqui.
Pergunta 7: a conta IWAM está fora de sincronia
Exemplos de sintomas:
HTTP 500 - Erro interno do servidor
Análise do motivo:
A conta IWAM é uma conta interna criada automaticamente pelo sistema durante a instalação do IIS. Depois que a conta IWAM é estabelecida, ela é usada em conjunto pelo Active Directory, banco de dados da metabase IIS e aplicativo COM+. A senha da conta é salva pelas três partes, respectivamente, e o sistema operacional é responsável pela sincronização das senhas IWAM salvas por essas três. festas. O trabalho de sincronização de senha do sistema para contas IWAM às vezes falha, resultando em senhas inconsistentes para contas IWAM.
Solução:
Se o AD existir, selecione Iniciar->Programas->Ferramentas Administrativas->Usuários e Computadores do Active Directory. Defina uma senha para a conta IWAM.
Execute c:InetpubAdminScripts>adsutil SET w3svc/WAMUserPass + password para sincronizar a senha do banco de dados da metabase do IIS
Execute cscript c:inetpubadminscriptssynciwam.vbs -v para sincronizar a senha da conta IWAM no aplicativo COM+
Pergunta 8: Problemas de configuração MIME impedem o download de certos tipos de arquivos (tomando ISO como exemplo)
Exemplos de sintomas:
Erro HTTP 404 – Arquivo ou diretório não encontrado.
Análise do motivo:
O IIS6.0 cancelou o suporte para alguns tipos MIME, como ISO, causando erros de download do cliente.
Solução:
Em Propriedades do IIS->Cabeçalho HTTP->Tipo MIME->Novo. Na caixa de diálogo subsequente, preencha a extensão como .ISO e o tipo MIME como aplicativo.
Além disso, bloqueio de firewall, erros de configuração ODBC, limitações de desempenho do servidor Web, limitações de thread e outros fatores também são possíveis motivos para a inacessibilidade do servidor IIS, que não serão discutidos um por um aqui. Espero que esta postagem possa resolver a maioria dos seus problemas :)
Problema 4: as restrições de IP não estão configuradas corretamente
Exemplos de sintomas:
Erro HTTP 403.6 - Proibido: o endereço IP do cliente foi negado.
Análise do motivo:
O IIS fornece um mecanismo de restrição de IP. Você pode configurá-lo para restringir o acesso de determinados IPs ao site ou restringir apenas o acesso de determinados IPs ao site se o cliente estiver na faixa de IP bloqueada por você ou não for permitido por você dentro do. intervalo, uma mensagem de erro aparecerá.
Solução:
Vá para Propriedades do IIS-> Segurança-> Restrições de endereço IP e nome de domínio. Se quiser restringir o acesso a determinados endereços IP, você precisa selecionar Acesso autorizado e clicar em Adicionar para selecionar os endereços IP que não são permitidos. Pelo contrário, você só pode permitir o acesso de determinados endereços IP.
Pergunta 5: a conta IUSR está desativada
Exemplos de sintomas:
Erro HTTP 401.1 - Não autorizado: acesso negado devido a credenciais inválidas.
Análise do motivo:
Como a conta usada pelos usuários para acesso anônimo é IUSR_machine name, se esta conta for desativada, o usuário não conseguirá acessar.
Solução:
Painel de controle->Ferramentas administrativas->Gerenciamento do computador->Usuários e grupos locais, habilite a conta de nome IUSR_machine.
Problema 6: definir permissões NTFS incorretamente
Exemplos de sintomas:
Erro HTTP 401.3 - Não autorizado: acesso negado devido à ACL definida no recurso solicitado.
Análise do motivo:
O usuário do cliente web pertence ao grupo de usuários. Portanto, se as permissões NTFS do arquivo forem insuficientes (por exemplo, não houver permissão de leitura), a página ficará inacessível.
Solução:
Vá até a aba de segurança da pasta e configure as permissões do usuário, pelo menos dê permissão de leitura. Não entrarei em detalhes sobre as configurações de permissão NTFS aqui.
Pergunta 7: a conta IWAM está fora de sincronia
Exemplos de sintomas:
HTTP 500 - Erro interno do servidor
Análise do motivo:
A conta IWAM é uma conta interna criada automaticamente pelo sistema durante a instalação do IIS. Depois que a conta IWAM é estabelecida, ela é usada em conjunto pelo Active Directory, banco de dados da metabase IIS e aplicativo COM+. A senha da conta é salva pelas três partes, respectivamente, e o sistema operacional é responsável pela sincronização das senhas IWAM salvas por essas três. festas. O trabalho de sincronização de senha do sistema para contas IWAM às vezes falha, resultando em senhas inconsistentes para contas IWAM.
Solução:
Se o AD existir, selecione Iniciar->Programas->Ferramentas Administrativas->Usuários e Computadores do Active Directory. Defina uma senha para a conta IWAM.
Execute c:InetpubAdminScripts>adsutil SET w3svc/WAMUserPass + password para sincronizar a senha do banco de dados da metabase do IIS
Execute cscript c:inetpubadminscriptssynciwam.vbs -v para sincronizar a senha da conta IWAM no aplicativo COM+
Pergunta 8: Problemas de configuração MIME impedem o download de certos tipos de arquivos (tomando ISO como exemplo)
Exemplos de sintomas:
Erro HTTP 404 – Arquivo ou diretório não encontrado.
Análise do motivo:
O IIS6.0 cancelou o suporte para alguns tipos MIME, como ISO, causando erros de download do cliente.
Solução:
Em Propriedades do IIS->Cabeçalho HTTP->Tipo MIME->Novo. Na caixa de diálogo subsequente, preencha a extensão como .ISO e o tipo MIME como aplicativo.
Além disso, bloqueio de firewall, erros de configuração ODBC, limitações de desempenho do servidor Web, limitações de thread e outros fatores também são possíveis motivos para a inacessibilidade do servidor IIS, que não serão discutidos um por um aqui. Espero que esta postagem possa resolver a maioria dos seus problemas :)