Многие друзья столкнулись со многими проблемами при использовании IIS6 для создания веб-сайтов. Некоторые из этих проблем встречались в IIS5 в прошлом, а некоторые являются новыми. Я был занят весь день и провел много экспериментов. В сочетании с предыдущим я сделал это. резюме основано на моем опыте устранения неполадок. Надеюсь, оно поможет всем :)
Проблема 1. Родительские пути не включены.
Примеры симптомов:
Ошибка Server.MapPath() ASP 0175: 80004005
Символы пути не допускаются
/0709/dqyllhsub/news/OpenDatabase.asp, строка 4
Символы... не допускаются в параметре Path MapPath.
Анализ причин:
Многие веб-страницы используют такие операторы, как формат ../ (то есть возвращаются к предыдущей странице, то есть к родительскому пути). Однако по соображениям безопасности в IIS6.0 этот параметр отключен по умолчанию.
Решение:
В свойствах IIS->Домашний каталог->Конфигурация->Параметры. Установите флажок «Включить родительские пути». Подтвердите обновление.
Проблема 2. Неправильная настройка веб-расширения ASP (также применимо к ASP.NET, CGI).
Примеры симптомов:
Ошибка HTTP 404 — файл или каталог не найден.
Анализ причин:
В IIS6.0 появилась новая опция расширения веб-программ, с помощью которой можно разрешить или отключить ASP, ASP.NET, CGI, IDC и другие программы. По умолчанию ASP и другие программы запрещены.
Решение:
Выберите «Активные серверные страницы» в расширении веб-службы в IIS и нажмите «Разрешить».
Проблема 3. Неправильная конфигурация аутентификации.
Примеры симптомов:
Ошибка HTTP 401.2 — Несанкционировано: доступ запрещен из-за конфигурации сервера.
Анализ причин: IIS поддерживает следующие методы веб-аутентификации:
Анонимная аутентификация
IIS создает учетную запись IUSR_имя_компьютера (где имя_компьютера — это имя сервера, на котором работает IIS) для аутентификации анонимных пользователей при запросе веб-контента. Эта учетная запись предоставляет пользователю права локального входа в систему. Вы можете сбросить доступ анонимного пользователя, чтобы использовать любую действительную учетную запись Windows.
Базовая аутентификация
Используйте обычную аутентификацию, чтобы ограничить доступ к файлам на веб-сервере в формате NTFS. При базовой аутентификации пользователи должны вводить учетные данные, а доступ осуществляется на основе идентификатора пользователя. Идентификаторы пользователей и пароли передаются по сети в виде открытого текста.
Интегрированная проверка подлинности Windows
Встроенная проверка подлинности Windows более безопасна, чем базовая проверка подлинности, и хорошо работает в средах интрасети, где у пользователей есть учетные записи домена Windows. При встроенной проверке подлинности Windows браузер пытается использовать учетные данные, используемые текущим пользователем во время процесса входа в домен, и если попытка не удалась, пользователю предлагается ввести имя пользователя и пароль. Если вы используете встроенную проверку подлинности Windows, пароль пользователя не передается на сервер. Если пользователь вошел на локальный компьютер как пользователь домена, ему не нужно проходить повторную аутентификацию при доступе к сетевым компьютерам в этом домене.
Дайджест-аутентификация
Дайджест-аутентификация преодолевает многие недостатки базовой аутентификации. При использовании дайджест-аутентификации пароль не отправляется в виде открытого текста. Альтернативно вы можете использовать дайджест-аутентификацию через прокси-сервер. Дайджест-аутентификация использует механизм запроса/ответа (тот же механизм, который используется встроенной аутентификацией Windows), при котором пароль отправляется в зашифрованном виде.
Аутентификация паспорта .NET
Microsoft .NET Passport — это служба аутентификации пользователей, которая обеспечивает безопасность единого входа и повышает безопасность пользователей при доступе к веб-сайтам и службам с поддержкой .NET Passport. Сайты с поддержкой .NET Passport используют центральный сервер .NET Passport для аутентификации пользователей. Однако центральный сервер не разрешает и не запрещает конкретным пользователям доступ к отдельным сайтам с поддержкой .NET Passport.
Решение:
При необходимости настройте различные методы аутентификации (обычно анонимную аутентификацию, которая используется большинством сайтов). Параметры аутентификации настраиваются в разделе «Свойства IIS» -> «Безопасность» -> «Аутентификация и контроль доступа».
[Вырезанная страница]
Проблема 4. Ограничения по IP-адресам настроены неправильно.
Примеры симптомов:
Ошибка HTTP 403.6 — Запрещено: IP-адрес клиента отклонен.
Анализ причин:
IIS предоставляет механизм ограничения IP-адресов. Вы можете настроить его, чтобы ограничить доступ к сайту с определенных IP-адресов или ограничить доступ к сайту только с определенных IP-адресов, если клиент находится в заблокированном вами диапазоне IP-адресов или не разрешен вами. диапазона, появится сообщение об ошибке.
Решение:
Перейдите в «Свойства IIS» -> «Безопасность» -> «Ограничения IP-адресов и доменных имен». Если вы хотите ограничить доступ к определенным IP-адресам, вам нужно выбрать «Авторизованный доступ», нажать «Добавить», чтобы выбрать запрещенные IP-адреса. Напротив, вы можете разрешить доступ только с определенных IP-адресов.
Вопрос 5: учетная запись IUSR отключена
Примеры симптомов:
Ошибка HTTP 401.1 — Несанкционировано: доступ запрещен из-за неверных учетных данных.
Анализ причин:
Поскольку учетная запись, используемая пользователями для анонимного доступа, имеет имя IUSR_machine, если эта учетная запись отключена, пользователь не сможет получить доступ.
Решение:
Панель управления->Администрирование->Управление компьютером->Локальные пользователи и группы, включите учетную запись имени IUSR_machine.
Проблема 6. Неправильно установлены разрешения NTFS.
Примеры симптомов:
Ошибка HTTP 401.3 — Несанкционировано: доступ запрещен из-за набора ACL для запрошенного ресурса.
Анализ причин:
Пользователь веб-клиента принадлежит к группе пользователей. Поэтому, если NTFS-права файла недостаточны (например, нет разрешения на чтение), страница будет недоступна.
Решение:
Перейдите на вкладку безопасности папки и настройте права пользователя, хотя бы дайте разрешение на чтение. Я не буду здесь вдаваться в подробности о настройках разрешений NTFS.
Вопрос 7. Учетная запись IWAM не синхронизирована.
Примеры симптомов:
HTTP 500 — внутренняя ошибка сервера
Анализ причин:
Учетная запись IWAM — это встроенная учетная запись, автоматически создаваемая системой при установке IIS. После создания учетной записи IWAM она совместно используется Active Directory, базой данных метабазы IIS и приложением COM+. Пароль учетной записи сохраняется тремя сторонами соответственно, а операционная система отвечает за синхронизацию паролей IWAM, сохраненных этими тремя. вечеринки. Синхронизация паролей системы для учетных записей IWAM иногда дает сбой, что приводит к несогласованности паролей для учетных записей IWAM.
Решение:
Если AD существует, выберите Пуск->Программы->Администрирование->Пользователи и компьютеры Active Directory. Установите пароль для учетной записи IWAM.
Запустите c:InetpubAdminScripts>adsutil SET w3svc/WAMUserPass + пароль для синхронизации пароля базы данных метабазы IIS.
Запустите cscript c:inetpubadminscriptssynciwam.vbs -v, чтобы синхронизировать пароль учетной записи IWAM в приложении COM+.
Вопрос 8. Проблемы с настройками MIME препятствуют загрузке определенных типов файлов (на примере ISO)
Примеры симптомов:
Ошибка HTTP 404 — файл или каталог не найден.
Анализ причин:
В IIS6.0 отменена поддержка некоторых типов MIME, таких как ISO, что приводило к ошибкам загрузки клиента.
Решение:
В свойствах IIS->Заголовок HTTP->Тип MIME->Создать. В следующем диалоговом окне укажите расширение как .ISO и тип MIME как приложение.
Кроме того, блокировка межсетевого экрана, ошибки конфигурации ODBC, ограничения производительности веб-сервера, ограничения потоков и другие факторы также являются возможными причинами недоступности сервера IIS, которые не будут обсуждаться здесь по отдельности. Надеюсь, этот пост поможет решить большинство ваших проблем :)
Проблема 4. Ограничения по IP-адресам настроены неправильно.
Примеры симптомов:
Ошибка HTTP 403.6 — Запрещено: IP-адрес клиента отклонен.
Анализ причин:
IIS предоставляет механизм ограничения IP-адресов. Вы можете настроить его, чтобы ограничить доступ к сайту с определенных IP-адресов или ограничить доступ к сайту только с определенных IP-адресов, если клиент находится в заблокированном вами диапазоне IP-адресов или не разрешен вами. диапазона, появится сообщение об ошибке.
Решение:
Перейдите в «Свойства IIS» -> «Безопасность» -> «Ограничения IP-адресов и доменных имен». Если вы хотите ограничить доступ к определенным IP-адресам, вам нужно выбрать «Авторизованный доступ», нажать «Добавить», чтобы выбрать запрещенные IP-адреса. Напротив, вы можете разрешить доступ только с определенных IP-адресов.
Вопрос 5: учетная запись IUSR отключена
Примеры симптомов:
Ошибка HTTP 401.1 — Несанкционировано: доступ запрещен из-за неверных учетных данных.
Анализ причин:
Поскольку учетная запись, используемая пользователями для анонимного доступа, имеет имя IUSR_machine, если эта учетная запись отключена, пользователь не сможет получить доступ.
Решение:
Панель управления->Администрирование->Управление компьютером->Локальные пользователи и группы, включите учетную запись имени IUSR_machine.
Проблема 6. Неправильно установлены разрешения NTFS.
Примеры симптомов:
Ошибка HTTP 401.3 — Несанкционировано: доступ запрещен из-за набора ACL для запрошенного ресурса.
Анализ причин:
Пользователь веб-клиента принадлежит к группе пользователей. Поэтому, если NTFS-права файла недостаточны (например, нет разрешения на чтение), страница будет недоступна.
Решение:
Перейдите на вкладку безопасности папки и настройте права пользователя, хотя бы дайте разрешение на чтение. Я не буду здесь вдаваться в подробности о настройках разрешений NTFS.
Вопрос 7. Учетная запись IWAM не синхронизирована.
Примеры симптомов:
HTTP 500 — внутренняя ошибка сервера
Анализ причин:
Учетная запись IWAM — это встроенная учетная запись, автоматически создаваемая системой при установке IIS. После создания учетной записи IWAM она совместно используется Active Directory, базой данных метабазы IIS и приложением COM+. Пароль учетной записи сохраняется тремя сторонами соответственно, а операционная система отвечает за синхронизацию паролей IWAM, сохраненных этими тремя. вечеринки. Синхронизация паролей системы для учетных записей IWAM иногда дает сбой, что приводит к несогласованности паролей для учетных записей IWAM.
Решение:
Если AD существует, выберите Пуск->Программы->Администрирование->Пользователи и компьютеры Active Directory. Установите пароль для учетной записи IWAM.
Запустите c:InetpubAdminScripts>adsutil SET w3svc/WAMUserPass + пароль для синхронизации пароля базы данных метабазы IIS.
Запустите cscript c:inetpubadminscriptssynciwam.vbs -v, чтобы синхронизировать пароль учетной записи IWAM в приложении COM+.
Вопрос 8. Проблемы с настройками MIME препятствуют загрузке определенных типов файлов (на примере ISO)
Примеры симптомов:
Ошибка HTTP 404 — файл или каталог не найден.
Анализ причин:
В IIS6.0 отменена поддержка некоторых типов MIME, таких как ISO, что приводило к ошибкам загрузки клиента.
Решение:
В свойствах IIS->Заголовок HTTP->Тип MIME->Создать. В следующем диалоговом окне укажите расширение как .ISO и тип MIME как приложение.
Кроме того, блокировка межсетевого экрана, ошибки конфигурации ODBC, ограничения производительности веб-сервера, ограничения потоков и другие факторы также являются возможными причинами недоступности сервера IIS, которые не будут обсуждаться здесь по отдельности. Надеюсь, этот пост поможет решить большинство ваших проблем :)