問題1：未啟用父路徑

癥狀舉例：
Server.MapPath() 錯(cuò)誤 'ASP 0175 : 80004005'
不允許的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp，行 4
在 MapPath 的 Path 參數(shù)中不允許字符 '..'。

原因分析：
許多Web頁面里要用到諸如../格式的語句（即回到上一層的頁面，也就是父路徑），而IIS6.0出于安全考慮，這一選項(xiàng)默認(rèn)是關(guān)閉的。

解決方法：
在IIS中屬性->主目錄->配置->選項(xiàng)中。把”啟用父路徑“前面打上勾。確認(rèn)刷新。

問題2：ASP的Web擴(kuò)展配置不當(dāng)（同樣適用于ASP.NET、CGI）

癥狀舉例：
HTTP 錯(cuò)誤 404 - 文件或目錄未找到。

原因分析：
在IIS6.0中新增了web程序擴(kuò)展這一選項(xiàng)，你可以在其中對ASP、ASP.NET、CGI、IDC等程序進(jìn)行允許或禁止，默認(rèn)情況下ASP等程序是禁止的。

解決方法：
在IIS中的Web服務(wù)擴(kuò)展中選中Active Server Pages，點(diǎn)擊“允許”。

問題3：身份認(rèn)證配置不當(dāng)

癥狀舉例：
HTTP 錯(cuò)誤 401.2 - 未經(jīng)授權(quán)：訪問由于服務(wù)器配置被拒絕。

原因分析：IIS 支持以下幾種 Web 身份驗(yàn)證方法：
匿名身份驗(yàn)證
IIS 創(chuàng)建 IUSR_計(jì)算機(jī)名稱帳戶（其中計(jì)算機(jī)名稱是正在運(yùn)行 IIS 的服務(wù)器的名稱），用來在匿名用戶請求 Web 內(nèi)容時(shí)對他們進(jìn)行身份驗(yàn)證。此帳戶授予用戶本地登錄權(quán)限。你可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。
基本身份驗(yàn)證
使用基本身份驗(yàn)證可限制對 NTFS 格式 Web 服務(wù)器上的文件的訪問。使用基本身份驗(yàn)證，用戶必須輸入憑據(jù)，而且訪問是基于用戶 ID 的。用戶 ID 和密碼都以明文形式在網(wǎng)絡(luò)間進(jìn)行發(fā)送。
Windows 集成身份驗(yàn)證
Windows 集成身份驗(yàn)證比基本身份驗(yàn)證安全，而且在用戶具有 Windows 域帳戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成的 Windows 身份驗(yàn)證中，瀏覽器嘗試使用當(dāng)前用戶在域登錄過程中使用的憑據(jù)，如果嘗試失敗，就會(huì)提示該用戶輸入用戶名和密碼。如果你使用集成的 Windows 身份驗(yàn)證，則用戶的密碼將不傳送到服務(wù)器。如果該用戶作為域用戶登錄到本地計(jì)算機(jī)，則他在訪問此域中的網(wǎng)絡(luò)計(jì)算機(jī)時(shí)不必再次進(jìn)行身份驗(yàn)證。
摘要身份驗(yàn)證
摘要身份驗(yàn)證克服了基本身份驗(yàn)證的許多缺點(diǎn)。在使用摘要身份驗(yàn)證時(shí)，密碼不是以明文形式發(fā)送的。另外，你可以通過代理服務(wù)器使用摘要身份驗(yàn)證。摘要身份驗(yàn)證使用一種挑戰(zhàn)/響應(yīng)機(jī)制（集成 Windows 身份驗(yàn)證使用的機(jī)制），其中的密碼是以加密形式發(fā)送的。
.NET Passport 身份驗(yàn)證
Microsoft .NET Passport 是一項(xiàng)用戶身份驗(yàn)證服務(wù)，它允許單一簽入安全性，可使用戶在訪問啟用了 .NET Passport 的 Web 站點(diǎn)和服務(wù)時(shí)更加安全。啟用了 .NET Passport 的站點(diǎn)會(huì)依靠 .NET Passport 中央服務(wù)器來對用戶進(jìn)行身份驗(yàn)證。但是，該中心服務(wù)器不會(huì)授權(quán)或拒絕特定用戶訪問各個(gè)啟用了 .NET Passport 的站點(diǎn)。

解決方法：
根據(jù)需要配置不同的身份認(rèn)證（一般為匿名身份認(rèn)證，這是大多數(shù)站點(diǎn)使用的認(rèn)證方法）。認(rèn)證選項(xiàng)在IIS的屬性->安全性->身份驗(yàn)證和訪問控制下配置。


問題4：IP限制配置不當(dāng)

癥狀舉例：
HTTP 錯(cuò)誤 403.6 - 禁止訪問：客戶端的 IP 地址被拒絕。

原因分析：
IIS提供了IP限制的機(jī)制，你可以通過配置來限制某些IP不能訪問站點(diǎn)，或者限制僅僅只有某些IP可以訪問站點(diǎn)，而如果客戶端在被你阻止的IP范圍內(nèi)，或者不在你允許的范圍內(nèi)，則會(huì)出現(xiàn)錯(cuò)誤提示。

解決方法：
進(jìn)入IIS的屬性->安全性->IP地址和域名限制。如果要限制某些IP地址的訪問，需要選擇授權(quán)訪問，點(diǎn)添加選擇不允許的IP地址。反之則可以只允許某些IP地址的訪問。


問題5：IUSR賬號被禁用

癥狀舉例：
HTTP 錯(cuò)誤 401.1 - 未經(jīng)授權(quán)：訪問由于憑據(jù)無效被拒絕。

原因分析：
由于用戶匿名訪問使用的賬號是IUSR_機(jī)器名，因此如果此賬號被禁用，將造成用戶無法訪問。

解決辦法：
控制面板->管理工具->計(jì)算機(jī)管理->本地用戶和組，將IUSR_機(jī)器名賬號啟用。


問題6：NTFS權(quán)限設(shè)置不當(dāng)

癥狀舉例：
HTTP 錯(cuò)誤 401.3 - 未經(jīng)授權(quán)：訪問由于 ACL 對所請求資源的設(shè)置被拒絕。

原因分析：
Web客戶端的用戶隸屬于user組，因此，如果該文件的NTFS權(quán)限不足（例如沒有讀權(quán)限），則會(huì)導(dǎo)致頁面無法訪問。

解決辦法：
進(jìn)入該文件夾的安全選項(xiàng)卡，配置user的權(quán)限，至少要給讀權(quán)限。關(guān)于NTFS權(quán)限設(shè)置這里不再饋述。


問題7：IWAM賬號不同步

癥狀舉例：
HTTP 500 - 內(nèi)部服務(wù)器錯(cuò)誤

原因分析：
IWAM賬號是安裝IIS時(shí)系統(tǒng)自動(dòng)建立的一個(gè)內(nèi)置賬號。IWAM賬號建立后被Active Directory、IIS metabase數(shù)據(jù)庫和COM+應(yīng)用程序三方共同使用，賬號密碼被三方分別保存，并由操作系統(tǒng)負(fù)責(zé)這三方保存的IWAM密碼的同步工作。系統(tǒng)對IWAM賬號的密碼同步工作有時(shí)會(huì)失效，導(dǎo)致IWAM賬號所用密碼不統(tǒng)一。

解決辦法：
如果存在AD，選擇開始->程序->管理工具->Active Directory用戶和計(jì)算機(jī)。為IWAM賬號設(shè)置密碼。
運(yùn)行c:"Inetpub"AdminScripts>adsutil SET w3svc/WAMUserPass +密碼同步IIS metabase數(shù)據(jù)庫密碼
運(yùn)行cscript c:"inetpub"adminscripts"synciwam.vbs -v 同步IWAM賬號在COM+應(yīng)用程序中的密碼


問題8：MIME設(shè)置問題導(dǎo)致某些類型文件無法下載（以ISO為例）

癥狀舉例：
HTTP 錯(cuò)誤 404 - 文件或目錄未找到。

原因分析：
IIS6.0取消了對某些MIME類型的支持，例如ISO，致使客戶端下載出錯(cuò)。

解決方法：
在IIS中屬性->HTTP頭->MIME類型->新建。在隨后的對話框中，擴(kuò)展名填入.ISO，MIME類型是application。


問題9：無法在網(wǎng)站后臺(tái)上傳超過200k的文件。




原因：
在 IIS 6.0 中，默認(rèn)設(shè)置是特別嚴(yán)格和安全的，這樣可以最大限度地減少因以前太寬松的超時(shí)和限制而造成的攻擊。
配置數(shù)據(jù)庫屬性實(shí)施的最大 ASP 張貼大小為 204,800 個(gè)字節(jié)，并將各個(gè)字段限制為 100 KB。在 IIS 6.0 之前的版本中，沒有張貼限制。

這就造成了文件上傳不能超過200k，而事實(shí)上是提交數(shù)據(jù)不能超過200k,你可以發(fā)一個(gè)很長的帖子試試，也會(huì)出現(xiàn)這個(gè)錯(cuò)誤

解決辦法：


然后在服務(wù)里關(guān)閉iis admin service服務(wù)
找到windows"system32"inesrv"下的metabase.xml,
打開，找到ASPMaxRequestEntityAllowed 把他修改為需要的值，默認(rèn)為204800，即200K
然后重啟iis admin service服務(wù)
把它修改為51200000（50M）

其他問題：

動(dòng)態(tài)或靜態(tài)內(nèi)容錯(cuò)誤

禁止應(yīng)用程序?qū)Y源進(jìn)行訪問

在全新安裝之后，iis 6.0 以工作進(jìn)程隔離模式運(yùn)行。默認(rèn)情況下，以此模式運(yùn)行的應(yīng)用程序使用網(wǎng)絡(luò)服務(wù)標(biāo)識。"網(wǎng)絡(luò)服務(wù)"是具有極少用戶權(quán)限的帳戶，因此可通過限制對 web 服務(wù)器上資源的訪問來提供更高的安全性。如果在服務(wù)器處于工作進(jìn)程隔離模式時(shí)將應(yīng)用程序遷移到 iis 6.0，并且應(yīng)用程序先前作為本地系統(tǒng)在進(jìn)程內(nèi)運(yùn)行（在 inetinfo.exe 中），則應(yīng)用程序可能由于網(wǎng)絡(luò)服務(wù)標(biāo)識設(shè)定的限制無法訪問資源。本地系統(tǒng)帳戶擁有操作系統(tǒng)上幾乎所有資源的訪問權(quán)限，因此，可能會(huì)產(chǎn)生嚴(yán)重的安全隱患。盡可能不要使用本地系統(tǒng)帳戶。如果必須使用本地系統(tǒng)帳戶來運(yùn)行某個(gè)應(yīng)用程序，則在其自己的虛擬目錄中的新應(yīng)用程序池中運(yùn)行該應(yīng)用程序，以便通過隔離該應(yīng)用程序來減少攻擊面?；蛘?，如果應(yīng)用程序需要使用可信計(jì)算庫 (tcb) 的權(quán)限，則以可配置的身份運(yùn)行該應(yīng)用程序，并給該可配置的身份指派 tcb 權(quán)限。但是，這種方法仍存在安全隱患，因?yàn)榭赏ㄟ^ tcb 權(quán)限執(zhí)行很多操作。

詳細(xì)信息，請參閱配置工作進(jìn)程標(biāo)識和 iis 和內(nèi)置帳戶。

動(dòng)態(tài)內(nèi)容請求返回 404 錯(cuò)誤

為了更好地預(yù)防惡意用戶和攻擊者的攻擊，iis 是在高度安全和鎖定模式下安裝的。在默認(rèn)情況下，iis 僅處理靜態(tài)內(nèi)容，這意味著除非啟用 asp、asp.net、在服務(wù)器端的包含文件、webdav 發(fā)布、frontpage® server extensions 和通用網(wǎng)關(guān)接口等功能，否則無法使用這些功能。如果在安裝 iis 后沒有啟用此功能，則在拒絕此類服務(wù)時(shí)，iis 默認(rèn)返回常規(guī) 404 自定義錯(cuò)誤頁以防止泄漏配置信息。默認(rèn)情況下，iis 還將 404 錯(cuò)誤及子狀態(tài)代碼 2 (404.2) 寫入到 w3c 擴(kuò)展日志文件中。

要點(diǎn)您必須是本地計(jì)算機(jī)上 administrators 組的成員或者您必須被委派相應(yīng)的權(quán)限才能執(zhí)行下列步驟。作為安全性的最佳操作，請使用不屬于 administrators 組的帳戶登錄計(jì)算機(jī)，然后使用運(yùn)行方式命令以管理員身份運(yùn)行 iis 管理器。在命令提示符下，鍵入 runas /user:administrative_accountname "mmc %systemroot%"system32"inetsrv"iis.msc"。

啟用或禁用 web 服務(wù)擴(kuò)展

在 iis 管理器中，展開本地計(jì)算機(jī)，然后單擊"web 服務(wù)擴(kuò)展"。
在詳細(xì)信息窗格中，單擊要啟用或禁用的 web 服務(wù)擴(kuò)展。
要啟用已禁用的 web 服務(wù)擴(kuò)展，請單擊"允許"。
要禁用已啟用的 web 服務(wù)擴(kuò)展，請單擊"禁止"。
單擊"確定"。
要以編程方式啟用或禁用 web 服務(wù)擴(kuò)展，請參閱 websvcextrestrictionlist。

靜態(tài)文件請求返回 404 錯(cuò)誤

對于靜態(tài)內(nèi)容請求，此版本的 iis 僅處理具有已知文件擴(kuò)展名的文件請求，此功能稱為"已知擴(kuò)展名"。如果所請求資源的文件擴(kuò)展名沒有映射到 mimemap 屬性中的已知擴(kuò)展名，則 iis 就會(huì)拒絕該請求，并默認(rèn)在 w3c 擴(kuò)展日志文件中記錄 404 錯(cuò)誤和子狀態(tài)代碼 3 (404.3)。要防止泄漏配置信息，可以將 iis 配置為在拒絕此類服務(wù)時(shí)默認(rèn)返回常規(guī) 404 自定義錯(cuò)誤頁。您可以使用 iis 管理器添加或編輯多用途 internet 郵件交換 (mime) 映射。要關(guān)閉"已知擴(kuò)展名"功能并允許 iis 處理具有任何擴(kuò)展名的文件，可以將 *,application/octet-stream 值添加到 mime 映射列表中。如果更新全局 mime 映射，則在工作進(jìn)程回收或重新啟動(dòng)萬維網(wǎng)發(fā)布服務(wù)（www 服務(wù)）后，更改才會(huì)生效。如果更新單個(gè)網(wǎng)站 mime 映射，則更改會(huì)立即生效。

有關(guān)添加或編輯 mime 映射的詳細(xì)信息，請參閱使用 mime 類型。

工作進(jìn)程回收丟失應(yīng)用程序會(huì)話狀態(tài)

默認(rèn)情況下，工作進(jìn)程在 120 分鐘后回收。如果在回收工作進(jìn)程時(shí) asp 應(yīng)用程序并不存儲(chǔ)會(huì)話狀態(tài)，則該 asp 應(yīng)用程序中的會(huì)話狀態(tài)可能會(huì)丟失。要解決此問題，可以將會(huì)話狀態(tài)存儲(chǔ)在數(shù)據(jù)庫中，或者禁用工作進(jìn)程回收。

禁用工作進(jìn)程回收

在 iis 管理器中，展開本地計(jì)算機(jī)，展開"應(yīng)用程序池"，右鍵單擊該應(yīng)用程序池，然后單擊"屬性"。
在"回收"選項(xiàng)卡上，清除"回收工作進(jìn)程（分鐘）"復(fù)選框。
單擊"確定"。

在服務(wù)器端的包含文件指令 (＃i nclude) 返回 404 錯(cuò)誤（對于 .stm 文件）或 0131 錯(cuò)誤（對于 .asp 文件）

如果 asp 頁使用＃i nclude 在服務(wù)器端的包含文件指令和 ".." 記號來引用某個(gè)父目錄，則除非重新配置了 aspenableparentpaths 配置數(shù)據(jù)庫屬性，否則，該指令將返回一條錯(cuò)誤。默認(rèn)情況下，將該屬性設(shè)置為 false。如果將該屬性設(shè)置為 true，則可能會(huì)產(chǎn)生潛在的安全隱患，因?yàn)榘募窂娇梢栽L問應(yīng)用程序根目錄外的關(guān)鍵或機(jī)密文件。

通過 iis 管理器啟用父路徑

在 iis 管理器中，展開本地計(jì)算機(jī)，右鍵單擊要配置的應(yīng)用程序的開始位置目錄，然后單擊"屬性"。
單擊"目錄"選項(xiàng)卡，然后單擊"配置"。
單擊"選項(xiàng)"選項(xiàng)卡。
在"應(yīng)用程序配置"部分，選擇"啟用父路徑"復(fù)選框。
單擊"確定"。

asp 在事件日志中給 global.asa 生成"權(quán)限被拒絕"錯(cuò)誤

由于早期版本的 asp 在事件中沒有用戶上下文，因此只能在宿主進(jìn)程的安全上下文（或用戶標(biāo)識）中執(zhí)行事件。這將會(huì)導(dǎo)致一些問題，例如在將文件寫入 session_onend 事件中時(shí)發(fā)生拒絕訪問錯(cuò)誤。在當(dāng)前版本中，asp 默認(rèn)匿名運(yùn)行 global.asa 事件、application_onend 和 session_onend（默認(rèn)值為 true）。

要以編程方式更改此設(shè)置，請參閱 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/iis/55aa5aaf-813a-40f0-9679-0032001f8305.mspx?mfr=true。

cgi 進(jìn)程不啟動(dòng)

如果 cgi 進(jìn)程沒有運(yùn)行，則確保已啟用了 cgi web 服務(wù)擴(kuò)展。請參閱本主題中的動(dòng)態(tài)內(nèi)容請求返回 404 錯(cuò)誤。另外，除非給運(yùn)行 cgi 進(jìn)程使用的帳戶指派了某些用戶權(quán)限，否則，cgi 不會(huì)啟用。您可以將該帳戶添加為 iis_wpg 組的成員，并為它分配以下兩種用戶權(quán)限：
調(diào)整進(jìn)程的內(nèi)存配額
替換進(jìn)程級令牌
為本地計(jì)算機(jī)上的帳戶分配用戶權(quán)限
從"開始"菜單中，指向"管理工具"，然后單擊"本地安全策略"。
展開"安全設(shè)置"，雙擊"本地策略"，然后雙擊"用戶權(quán)限分配"。
在詳細(xì)信息窗格中，雙擊要更改的策略。
單擊"添加用戶或組"。
在"輸入對象名稱來選擇"框中，輸入用戶或組的名稱。
單擊"確定"。

將 asp.net 頁作為靜態(tài)文件返回

如果安裝了 iis 6.0 而沒有安裝 asp.net，則將 asp.net 文件作為靜態(tài)文件返回。如果重新安裝了 iis 6.0 而沒有重新注冊 asp.net，則也可能會(huì)出現(xiàn)該錯(cuò)誤。要了解如何糾正此問題，請參閱 asp.net iis 注冊工具和使用 i 選項(xiàng)。

windows nt server 的協(xié)作數(shù)據(jù)對象失敗

microsoft® windows nt® server 的協(xié)作數(shù)據(jù)對象 (cdonts) 已從 microsoft windows® server 2003 家族中刪除。如果 web 應(yīng)用程序使用 cdonts，則可以將它們轉(zhuǎn)換為 microsoft 協(xié)作數(shù)據(jù)對象 (cdo)。cdonts 中的大多數(shù)方法在 cdo 中都有相匹配的方法，但是名稱可能不同。

有關(guān)平臺(tái)軟件開發(fā)工具包 (psdk) 中 cdo 的參考資料，請參閱 msdn online 上的 overview of cdo。

連接錯(cuò)誤

客戶端請求收到 503 錯(cuò)誤

檢查錯(cuò)誤事件日志以確定 503 錯(cuò)誤是在 http.sys 中還是在萬維網(wǎng)發(fā)布服務(wù)（www 服務(wù)）中檢測到的。如果該錯(cuò)誤是在 http.sys 中檢測到的，則可能是由于隊(duì)列中的請求太多，而導(dǎo)致 http.sys 超過其應(yīng)用程序池隊(duì)列長度限制。要解決此問題，請?jiān)黾討?yīng)用程序池隊(duì)列長度限制。

更改應(yīng)用程序池隊(duì)列長度限制

在 iis 管理器中，展開本地計(jì)算機(jī)，展開"應(yīng)用程序池"文件夾，右鍵單擊應(yīng)用程序，然后單擊"屬性"。
單擊"性能"選項(xiàng)卡。
在"請求隊(duì)列限制"部分中，選中"核心請求隊(duì)列限制為"復(fù)選框，然后鍵入隊(duì)列請求的最大數(shù)量。
單擊"確定"。
如果在 www 服務(wù)中檢測到 503 錯(cuò)誤，則問題可能是 iis 已啟動(dòng)了快速失敗保護(hù)，因?yàn)樵诮o定一段時(shí)間內(nèi)為應(yīng)用程序池分配的許多工作進(jìn)程都處于不正常的運(yùn)行狀態(tài)。要解決此問題，請?jiān)黾訂?dòng)快速失敗保護(hù)前出現(xiàn)的故障數(shù)量或時(shí)間。您應(yīng)該測試應(yīng)用程序是否存在內(nèi)存泄漏或者其他使工作進(jìn)程處于不正常狀態(tài)的問題。

配置快速失敗保護(hù)

在 iis 管理器中，展開本地計(jì)算機(jī)，展開"應(yīng)用程序池"，右鍵單擊該應(yīng)用程序池，然后單擊"屬性"。
單擊"運(yùn)行狀況"選項(xiàng)卡。
在"失敗數(shù)"框中，鍵入在禁用工作進(jìn)程之前要檢測的工作進(jìn)程失敗數(shù)量。
在"時(shí)間段"框中，鍵入累積失敗總數(shù)的時(shí)間長短（分鐘）。
單擊"確定"。

進(jìn)行子驗(yàn)證登錄的匿名帳戶 (iusr_computername) 收到 401 錯(cuò)誤

默認(rèn)情況下，在 iis 6.0 中不啟用子驗(yàn)證組件 iissuba.dll。在早期版本中，iissuba.dll 允許 iis 管理匿名帳戶的密碼，這會(huì)產(chǎn)生潛在的安全隱患。在 iis 6.0 中，您可以使用子驗(yàn)證管理匿名帳戶的密碼，但必須滿足以下條件：

對于授權(quán)匿名訪問的應(yīng)用程序，工作進(jìn)程以本地系統(tǒng)身份運(yùn)行。
注冊了子驗(yàn)證組件 iissuba.dll。
啟用了 anonymouspasswordsynch 配置數(shù)據(jù)庫屬性（設(shè)置為 true）。
對于 iis 6.0 全新安裝和從配置了子驗(yàn)證的 iis 安裝升級到 iis 6.0，為滿足以上要求所采取的操作是不同的。

有關(guān)配置子驗(yàn)證的步驟的信息，請參閱匿名身份驗(yàn)證。

客戶端不能連接到服務(wù)器

windows server 2003 家族提供基于軟件的防火墻，以防止從遠(yuǎn)程計(jì)算機(jī)對服務(wù)器進(jìn)行未經(jīng)授權(quán)的訪問。默認(rèn)情況下禁用 internet 連接防火墻 (icf)。不過，如果您在安裝 windows server 2003 家族成員之后和安裝 iis 之前以默認(rèn)配置方式啟用了防火墻，客戶端將不能連接到您的服務(wù)器。以下步驟將配置 icf，以便允許客戶端啟動(dòng)連接到服務(wù)器的 web 和其他 iis 相關(guān)連接。

為 iis 配置 internet 連接防火墻

從"開始"菜單中，單擊"控制面板"。
雙擊"網(wǎng)絡(luò)連接"。
右鍵單擊"本地連接"，然后單擊"屬性"。
單擊"高級"選項(xiàng)卡。
如果不想使用 icf，請確保沒有選中"通過限制或阻止來自 internet 的對此計(jì)算機(jī)的訪問來保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)"復(fù)選框，然后單擊"確定"。
如果想使用 icf，請確保選中了"通過限制或阻止來自 internet 的對此計(jì)算機(jī)的訪問來保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)"復(fù)選框，然后單擊"設(shè)置"。
在"服務(wù)"選項(xiàng)卡上，啟用要允許客戶端訪問的服務(wù)。
在啟用服務(wù)之后出現(xiàn)的"服務(wù)設(shè)置"對話框中，執(zhí)行以下某個(gè)操作：
如果要在正在使用的同一臺(tái)計(jì)算機(jī)上啟用某項(xiàng)服務(wù)，這時(shí)正確的計(jì)算機(jī)名稱已經(jīng)填入。單擊"確定"。
如果要在網(wǎng)絡(luò)上的另一臺(tái)計(jì)算機(jī)上啟用服務(wù)，請鍵入要啟用的主持此服務(wù)計(jì)算機(jī)的名稱或 ip 地址，然后單擊"確定"。
重復(fù)第 7 步和第 8 步，直到希望客戶端可訪問的服務(wù)都已啟用。

unc 連接被拒絕訪問

通用命名約定 (unc) 驗(yàn)證方法也稱為"unc passthrough 驗(yàn)證"，它確定獲得遠(yuǎn)程計(jì)算機(jī)上 unc 共享訪問使用的憑據(jù)。從 iis 6.0 開始，unc 驗(yàn)證使用以下方法查看請求用戶和配置數(shù)據(jù)庫 uncusername 和 uncpassword 屬性中存儲(chǔ)的憑據(jù)，以確定傳送到具有 unc 共享的計(jì)算機(jī)上的憑據(jù)：

如果指定了 uncusername（非空）并且 uncpassword 有效，則將配置數(shù)據(jù)庫用戶憑據(jù)作為訪問的用戶標(biāo)識發(fā)送到遠(yuǎn)程共享。如果指定了 uncusername（非空）但是 uncpassword 無效，則向客戶端發(fā)送"500 內(nèi)部服務(wù)器錯(cuò)誤：用戶名或密碼無效"消息。
如果 uncusername 為空，則將請求用戶的憑據(jù)（用于已驗(yàn)證請求的一組驗(yàn)證的憑據(jù)或用于匿名請求的 iusr_computername 憑據(jù)）作為訪問的用戶標(biāo)識發(fā)送到遠(yuǎn)程共享。
注意不再將 uncauthenticationpassthrough 配置數(shù)據(jù)庫項(xiàng)用于 unc 驗(yàn)證。

禁止訪問 system32 目錄中的控制臺(tái)應(yīng)用程序

除非提出請求的遠(yuǎn)程用戶是 administrators 組中經(jīng)過驗(yàn)證的成員，否則，使用 windows system32 目錄中控制臺(tái)應(yīng)用程序（如 cmd.exe）的請求被拒絕訪問。這種拒絕訪問是由于以下原因造成的：windows system32 目錄中所有控制臺(tái)應(yīng)用程序的特殊訪問控制列表 (acl) 僅限管理員、本地系統(tǒng)、交互用戶和服務(wù)能夠訪問。acl 限制并不影響擁有訪問權(quán)限的本地登錄用戶，也不會(huì)影響您自己的自定義 cgi 可執(zhí)行程序。

[pagesplitxx]

客戶端請求出現(xiàn)錯(cuò)誤或超時(shí)

在 iis 6.0 中，默認(rèn)設(shè)置是特別嚴(yán)格和安全的，這樣可以最大限度地減少因以前太寬松的超時(shí)和限制而造成的攻擊。iis 在連接級別強(qiáng)制實(shí)施以下超時(shí)限制：

響應(yīng)緩沖限制：aspbufferinglimit 配置數(shù)據(jù)庫屬性的默認(rèn)值為 4 mb。如果 asp 腳本緩沖大于此值，就會(huì)出現(xiàn)錯(cuò)誤。在 iis 6.0 之前的版本中，沒有緩沖限制。
張貼限制：aspmaxrequestentityallowed 配置數(shù)據(jù)庫屬性實(shí)施的最大 asp 張貼大小為 204,800 個(gè)字節(jié)，并將各個(gè)字段限制為 100 kb。在 iis 6.0 之前的版本中，沒有張貼限制。
serverlistentimeout 配置數(shù)據(jù)庫屬性不再存在： serverlistentimeout 已被以下配置數(shù)據(jù)庫屬性代替：
connectiontimeout：此屬性指定在斷開非活動(dòng)連接前服務(wù)器等待的時(shí)間（以秒為單位）。
minfilebytespersec：當(dāng) iis 響應(yīng)客戶端請求時(shí)，minfilebytespersec 屬性決定了客戶端收到整個(gè)響應(yīng)的時(shí)間長短。如果客戶機(jī)接收整個(gè)響應(yīng)所花費(fèi)的時(shí)間太長，則內(nèi)核模式驅(qū)動(dòng)程序 http.sys 會(huì)根據(jù)超時(shí)值終止連接。
headerwaittimeout：在客戶端連接到 web 服務(wù)器時(shí)，會(huì)給客戶機(jī)指定發(fā)送請求的所有標(biāo)題的時(shí)間限制（用結(jié)尾的雙 "r"n 來區(qū)分）。如果在 headerwaittimeout 指示的時(shí)間內(nèi)沒有收到請求的完整標(biāo)題集，則 http.sys 將重置該連接。您可以對 headerwaittimeout 的值進(jìn)行配置。
標(biāo)題大小限制：默認(rèn)情況下，http.sys 僅接受標(biāo)題小于 16 kb 的請求。這意味著，如果 http.sys 收到的 16 kb 中不包含結(jié)尾的 <crlf><crlf> 序列，則 http.sys 認(rèn)為請求是惡意的并將終止連接。通過調(diào)整 maxrequestbytes 注冊表項(xiàng)中的值，您可以更改標(biāo)題大小限制。

其他錯(cuò)誤

對 unix 或 linux 服務(wù)器的文件請求返回錯(cuò)誤的文件或錯(cuò)誤信息
如果 iis 必須訪問 unix 或 linux 系統(tǒng)上的文件，除非在 iis 中啟用了網(wǎng)絡(luò)文件系統(tǒng) (nfs) 支持，否則文件名大小寫區(qū)分可能會(huì)引起問題。

unix 和 linux 均支持混合大小寫的文件名，而 iis 完全支持以區(qū)分大小寫的方式請求靜態(tài)文件。然而，當(dāng) iis 隨后從其靜態(tài)文件緩存中請求文件時(shí)，會(huì)出現(xiàn)問題。因?yàn)樗械奈募麜?huì)在 iis 緩存中轉(zhuǎn)換為大寫字母，從 iis 靜態(tài)文件緩存進(jìn)行完第一次請求之后，所有的請求都可能失敗或返回錯(cuò)誤的文件。

解決該問題的方法是禁用 iis 靜態(tài)文件緩存，以便所有文件請求都以全新形式發(fā)出，從而保持正確的文件名大小寫?？梢葬槍W(wǎng)站上的單個(gè)虛擬目錄禁用靜態(tài)文件緩存，也可以針對所有站點(diǎn)在全局禁用。

注意更改該設(shè)置不會(huì)影響緩存 asp 文件和模板的方式。

為特定網(wǎng)站虛擬目錄禁用靜態(tài)文件緩存

編輯配置數(shù)據(jù)庫，并將 md_vr_no_cache 屬性設(shè)置為 1。

針對所有站點(diǎn)禁用靜態(tài)文件緩存

編輯注冊表并將二進(jìn)制值 disablestaticfilecache=1 添加到 hkey_local_machine"system"currentcontrolset"services"inetinfo"parameters 項(xiàng)中。

找不到 /scripts 或 /msadc 目錄

默認(rèn)情況下，iis 5.0 中的 /scripts 和 /msadc 目錄允許運(yùn)行腳本和可執(zhí)行文件。在 iis 6.0 中刪除了這些目錄，因?yàn)槿绻麗阂庥脩裟軌蛟L問這些目錄之一，該用戶就可以運(yùn)行腳本或可執(zhí)行文件，并有可能會(huì)控制 web 服務(wù)器。如果服務(wù)器配置需要此類目錄，則需要?jiǎng)?chuàng)建一個(gè)目錄并為其指派適當(dāng)?shù)?/SPAN> ntfs 權(quán)限。

isapi 篩選器在 ui 中沒有顯示為"已加載"

在 iis 6.0 中，為了優(yōu)化資源，直到所請求的網(wǎng)站需要 isapi 篩選器時(shí)才會(huì)加載它。直到提出此類請求時(shí)，iis 管理器才會(huì)顯示 isapi 篩選器的狀態(tài)。另外，如果 isapi 篩選器需要 sf_notify_read_raw_data 篩選器通知，則當(dāng) iis 以工作進(jìn)程隔離模式運(yùn)行時(shí)，不會(huì)加載該篩選器。檢查 w3svc-wp 中事件的應(yīng)用程序事件以驗(yàn)證是否加載該篩選器。要解決此問題，請以 iis 5.0 隔離模式運(yùn)行 iis，或者與 isapi 篩選器供應(yīng)商聯(lián)系以獲得有關(guān)兼容性的更新程序。

要點(diǎn)如果由于訪問控制列表 (acl) 的限制而使 iis 工作進(jìn)程標(biāo)識無法加載 isapi 篩選器，則請求收到 503 錯(cuò)誤。要解決此問題，請?jiān)?/SPAN> isapi 篩選器 dll 上設(shè)置 acl 以允許訪問 iis_wpg 組。

將 iis 配置為 iis 5.0 隔離模式

在"iis 管理器"中，展開本地計(jì)算機(jī)，右鍵單擊"網(wǎng)站"，然后單擊"屬性"。
單擊"服務(wù)"選項(xiàng)卡，選中"以 iis 5.0 隔離模式運(yùn)行 www 服務(wù)"復(fù)選框，然后單擊"確定"。
要啟動(dòng) www 服務(wù)，請單擊"是"。

下面還有一些呵呵

      1.如何讓asp腳本以system權(quán)限運(yùn)行?

　　修改你asp腳本所對應(yīng)的虛擬目錄，把"應(yīng)用程序保護(hù)"修改為"低"....

　　2.如何防止asp木馬?

　　基于filesystemobject組件的asp木馬

　　cacls %systemroot%"system32"scrrun.dll /e /d guests //禁止guests使用

　　regsvr32 scrrun.dll /u /s //刪除

　　基于shell.application組件的asp木馬

　　cacls %systemroot%"system32"shell32.dll /e /d guests //禁止guests使用

　　regsvr32 shell32.dll /u /s //刪除

　　3.如何加密asp文件?

　　從微軟免費(fèi)下載到sce10chs.exe 直接運(yùn)行即可完成安裝過程。

　　安裝完畢后，將生成screnc.exe文件，這是一個(gè)運(yùn)行在dos promapt的命令工具。

　　運(yùn)行screnc - l vbscript source.asp destination.asp

　　生成包含密文asp腳本的新文件destination.asp

　　用記事本打開看凡是""之內(nèi)的，不管是否注解，都變成不可閱讀的密文了

　　但無法加密中文。

　　4.如何從iislockdown中提取urlscan?

　　iislockd.exe /q /c /t:c:"urlscan

　　5.如何防止content-location標(biāo)頭暴露了web服務(wù)器的內(nèi)部ip地址?

　　執(zhí)行

　　cscript c:"inetpub"adminscripts"adsutil.vbs set w3svc/usehostname true

　　最后需要重新啟動(dòng)iis

　　6.如何解決http500內(nèi)部錯(cuò)誤?

　　iis http500內(nèi)部錯(cuò)誤大部分原因

　　主要是由于iwam賬號的密碼不同步造成的。

　　我們只要同步iwam_myserver賬號在com+應(yīng)用程序中的密碼即可解決問題。

　　執(zhí)行

　　cscript c:"inetpub"adminscripts"synciwam.vbs -v

　　7.如何增強(qiáng)iis防御syn flood的能力?

　　windows registry editor version 5.00

　　[hkey_local_machine"system"currentcontrolset"services"tcpip"parameters]

　　'啟動(dòng)syn攻擊保護(hù)。缺省項(xiàng)值為0，表示不開啟攻擊保護(hù)，項(xiàng)值為1和2表示啟動(dòng)syn攻擊保護(hù)，設(shè)成2之后

　　'安全級別更高，對何種狀況下認(rèn)為是攻擊，則需要根據(jù)下面的tcpmaxhalfopen和tcpmaxhalfopenretried值

　　'設(shè)定的條件來觸發(fā)啟動(dòng)了。這里需要注意的是，nt4.0必須設(shè)為1，設(shè)為2后在某種特殊數(shù)據(jù)包下會(huì)導(dǎo)致系統(tǒng)重啟。

　　"synattackprotect"=dword:00000002

　　'同時(shí)允許打開的半連接數(shù)量。所謂半連接，表示未完整建立的tcp會(huì)話，用netstat命令可以看到呈syn_rcvd狀態(tài)

　　'的就是。這里使用微軟建議值，服務(wù)器設(shè)為100，高級服務(wù)器設(shè)為500。建議可以設(shè)稍微小一點(diǎn)。

　　"tcpmaxhalfopen"=dword:00000064

　　'判斷是否存在攻擊的觸發(fā)點(diǎn)。這里使用微軟建議值，服務(wù)器為80，高級服務(wù)器為400。

　　"tcpmaxhalfopenretried"=dword:00000050

　　'設(shè)置等待syn-ack時(shí)間。缺省項(xiàng)值為3，缺省這一過程消耗時(shí)間45秒。項(xiàng)值為2，消耗時(shí)間為21秒。

　　'項(xiàng)值為1，消耗時(shí)間為9秒。最低可以設(shè)為0，表示不等待，消耗時(shí)間為3秒。這個(gè)值可以根據(jù)遭受攻擊規(guī)模修改。

　　'微軟站點(diǎn)安全推薦為2。

　　"tcpmaxconnectresponseretransmissions"=dword:00000001

　　'設(shè)置tcp重傳單個(gè)數(shù)據(jù)段的次數(shù)。缺省項(xiàng)值為5，缺省這一過程消耗時(shí)間240秒。微軟站點(diǎn)安全推薦為3。

　　"tcpmaxdataretransmissions"=dword:00000003

　　'設(shè)置syn攻擊保護(hù)的臨界點(diǎn)。當(dāng)可用的backlog變?yōu)?/SPAN>0時(shí)，此參數(shù)用于控制syn攻擊保護(hù)的開啟，微軟站點(diǎn)安全推薦為5。

　　"tcpmaxportsexhausted"=dword:00000005

　　'禁止ip源路由。缺省項(xiàng)值為1，表示不轉(zhuǎn)發(fā)源路由包，項(xiàng)值設(shè)為0，表示全部轉(zhuǎn)發(fā)，設(shè)置為2，表示丟棄所有接受的

　　'源路由包，微軟站點(diǎn)安全推薦為2。

　　"disableipsourcerouting"=dword:0000002

　　'限制處于time_wait狀態(tài)的最長時(shí)間。缺省為240秒，最低為30秒，最高為300秒。建議設(shè)為30秒。

　　"tcptimedwaitdelay"=dword:0000001e

　　8.如何避免*mdb文件被下載?

　　安裝ms發(fā)布的urlscan工具，可以從根本上解決這個(gè)問題。

　　同時(shí)它也是一個(gè)強(qiáng)大的安全工具，你可以從ms的網(wǎng)站上獲取更為詳細(xì)的信息。

　　9.如何讓iis的最小ntfs權(quán)限運(yùn)行?

　　依次做下面的工作:

　　a.選取整個(gè)硬盤：

　　system：完全控制

　　administrator：完全控制

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　b."program files"common files：

　　everyone：讀取及運(yùn)行

　　列出文件目錄

　　讀取

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　c."inetpub"wwwroot：

　　iusr_machine：讀取及運(yùn)行

　　列出文件目錄

　　讀取

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　e."winnt"system32：

　　選擇除inetsrv和centsrv以外的所有目錄，

　　去除"允許將來自父系的可繼承性權(quán)限傳播給對象"選框，復(fù)制。

　　f."winnt：

　　選擇除了downloaded program files、help、iis temporary compressed files、

　　offline web pages、system32、tasks、temp、web以外的所有目錄

　　去除"允許將來自父系的可繼承性權(quán)限傳播給對象"選框，復(fù)制。

　　g."winnt：

　　everyone：讀取及運(yùn)行

　　列出文件目錄

　　讀取

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　h."winnt"temp：（允許訪問數(shù)據(jù)庫并顯示在asp頁面上）

　　everyone：修改

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　10.如何隱藏iis版本?

　　一個(gè)黑客可以可以輕易的telnet到你的web端口，發(fā)送get命令來獲取很多信息

　　iis存放iis banner的所對應(yīng)的dll文件如下：

　　web:c:"winnt"system32"inetsrv"w3svc.dll

　　ftp:c:"winnt"system32"inetsrv"ftpsvc2.dll

　　smtp:c:"winnt"system32"inetsrv"smtpsvc.dll

　　你可以用16進(jìn)制編輯器去修改那些dll文件的關(guān)鍵字，比如iis的microsoft-iis/5.0

　　具體過程如下:

　　1.停掉iis iisreset /stop

　　2.刪除%systemroot%"system32"dllcache目錄下的同名文件

　　3.修改


另外，防火墻阻止，ODBC配置錯(cuò)誤，Web服務(wù)器性能限制，線程限制等因素也是造成IIS服務(wù)器無法訪問的可能原因，這里就不再一一饋述了。希望此帖能解決大家的大部分問題：）

最新評論