問題1：未啟用父路徑

癥狀舉例：
Server.MapPath() 錯誤 'ASP 0175 : 80004005'
不允許的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp，行 4
在 MapPath 的 Path 參數(shù)中不允許字符 '..'。

原因分析：
許多Web頁面里要用到諸如../格式的語句（即回到上一層的頁面，也就是父路徑），而IIS6.0出于安全考慮，這一選項默認(rèn)是關(guān)閉的。

解決方法：
在IIS中屬性->主目錄->配置->選項中。把”啟用父路徑“前面打上勾。確認(rèn)刷新。

問題2：ASP的Web擴展配置不當(dāng)（同樣適用于ASP.NET、CGI）

癥狀舉例：
HTTP 錯誤 404 - 文件或目錄未找到。

原因分析：
在IIS6.0中新增了web程序擴展這一選項，你可以在其中對ASP、ASP.NET、CGI、IDC等程序進行允許或禁止，默認(rèn)情況下ASP等程序是禁止的。

解決方法：
在IIS中的Web服務(wù)擴展中選中Active Server Pages，點擊“允許”。

問題3：身份認(rèn)證配置不當(dāng)

癥狀舉例：
HTTP 錯誤 401.2 - 未經(jīng)授權(quán)：訪問由于服務(wù)器配置被拒絕。

原因分析：IIS 支持以下幾種 Web 身份驗證方法：
匿名身份驗證
IIS 創(chuàng)建 IUSR_計算機名稱帳戶（其中計算機名稱是正在運行 IIS 的服務(wù)器的名稱），用來在匿名用戶請求 Web 內(nèi)容時對他們進行身份驗證。此帳戶授予用戶本地登錄權(quán)限。你可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。
基本身份驗證
使用基本身份驗證可限制對 NTFS 格式 Web 服務(wù)器上的文件的訪問。使用基本身份驗證，用戶必須輸入憑據(jù)，而且訪問是基于用戶 ID 的。用戶 ID 和密碼都以明文形式在網(wǎng)絡(luò)間進行發(fā)送。
Windows 集成身份驗證
Windows 集成身份驗證比基本身份驗證安全，而且在用戶具有 Windows 域帳戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成的 Windows 身份驗證中，瀏覽器嘗試使用當(dāng)前用戶在域登錄過程中使用的憑據(jù)，如果嘗試失敗，就會提示該用戶輸入用戶名和密碼。如果你使用集成的 Windows 身份驗證，則用戶的密碼將不傳送到服務(wù)器。如果該用戶作為域用戶登錄到本地計算機，則他在訪問此域中的網(wǎng)絡(luò)計算機時不必再次進行身份驗證。
摘要身份驗證
摘要身份驗證克服了基本身份驗證的許多缺點。在使用摘要身份驗證時，密碼不是以明文形式發(fā)送的。另外，你可以通過代理服務(wù)器使用摘要身份驗證。摘要身份驗證使用一種挑戰(zhàn)/響應(yīng)機制（集成 Windows 身份驗證使用的機制），其中的密碼是以加密形式發(fā)送的。
.NET Passport 身份驗證
Microsoft .NET Passport 是一項用戶身份驗證服務(wù)，它允許單一簽入安全性，可使用戶在訪問啟用了 .NET Passport 的 Web 站點和服務(wù)時更加安全。啟用了 .NET Passport 的站點會依靠 .NET Passport 中央服務(wù)器來對用戶進行身份驗證。但是，該中心服務(wù)器不會授權(quán)或拒絕特定用戶訪問各個啟用了 .NET Passport 的站點。

解決方法：
根據(jù)需要配置不同的身份認(rèn)證（一般為匿名身份認(rèn)證，這是大多數(shù)站點使用的認(rèn)證方法）。認(rèn)證選項在IIS的屬性->安全性->身份驗證和訪問控制下配置。


問題4：IP限制配置不當(dāng)

癥狀舉例：
HTTP 錯誤 403.6 - 禁止訪問：客戶端的 IP 地址被拒絕。

原因分析：
IIS提供了IP限制的機制，你可以通過配置來限制某些IP不能訪問站點，或者限制僅僅只有某些IP可以訪問站點，而如果客戶端在被你阻止的IP范圍內(nèi)，或者不在你允許的范圍內(nèi)，則會出現(xiàn)錯誤提示。

解決方法：
進入IIS的屬性->安全性->IP地址和域名限制。如果要限制某些IP地址的訪問，需要選擇授權(quán)訪問，點添加選擇不允許的IP地址。反之則可以只允許某些IP地址的訪問。


問題5：IUSR賬號被禁用

癥狀舉例：
HTTP 錯誤 401.1 - 未經(jīng)授權(quán)：訪問由于憑據(jù)無效被拒絕。

原因分析：
由于用戶匿名訪問使用的賬號是IUSR_機器名，因此如果此賬號被禁用，將造成用戶無法訪問。

解決辦法：
控制面板->管理工具->計算機管理->本地用戶和組，將IUSR_機器名賬號啟用。


問題6：NTFS權(quán)限設(shè)置不當(dāng)

癥狀舉例：
HTTP 錯誤 401.3 - 未經(jīng)授權(quán)：訪問由于 ACL 對所請求資源的設(shè)置被拒絕。

原因分析：
Web客戶端的用戶隸屬于user組，因此，如果該文件的NTFS權(quán)限不足（例如沒有讀權(quán)限），則會導(dǎo)致頁面無法訪問。

解決辦法：
進入該文件夾的安全選項卡，配置user的權(quán)限，至少要給讀權(quán)限。關(guān)于NTFS權(quán)限設(shè)置這里不再饋述。


問題7：IWAM賬號不同步

癥狀舉例：
HTTP 500 - 內(nèi)部服務(wù)器錯誤

原因分析：
IWAM賬號是安裝IIS時系統(tǒng)自動建立的一個內(nèi)置賬號。IWAM賬號建立后被Active Directory、IIS metabase數(shù)據(jù)庫和COM+應(yīng)用程序三方共同使用，賬號密碼被三方分別保存，并由操作系統(tǒng)負責(zé)這三方保存的IWAM密碼的同步工作。系統(tǒng)對IWAM賬號的密碼同步工作有時會失效，導(dǎo)致IWAM賬號所用密碼不統(tǒng)一。

解決辦法：
如果存在AD，選擇開始->程序->管理工具->Active Directory用戶和計算機。為IWAM賬號設(shè)置密碼。
運行c:"Inetpub"AdminScripts>adsutil SET w3svc/WAMUserPass +密碼同步IIS metabase數(shù)據(jù)庫密碼
運行cscript c:"inetpub"adminscripts"synciwam.vbs -v 同步IWAM賬號在COM+應(yīng)用程序中的密碼


問題8：MIME設(shè)置問題導(dǎo)致某些類型文件無法下載（以ISO為例）

癥狀舉例：
HTTP 錯誤 404 - 文件或目錄未找到。

原因分析：
IIS6.0取消了對某些MIME類型的支持，例如ISO，致使客戶端下載出錯。

解決方法：
在IIS中屬性->HTTP頭->MIME類型->新建。在隨后的對話框中，擴展名填入.ISO，MIME類型是application。


問題9：無法在網(wǎng)站后臺上傳超過200k的文件。




原因：
在 IIS 6.0 中，默認(rèn)設(shè)置是特別嚴(yán)格和安全的，這樣可以最大限度地減少因以前太寬松的超時和限制而造成的攻擊。
配置數(shù)據(jù)庫屬性實施的最大 ASP 張貼大小為 204,800 個字節(jié)，并將各個字段限制為 100 KB。在 IIS 6.0 之前的版本中，沒有張貼限制。

這就造成了文件上傳不能超過200k，而事實上是提交數(shù)據(jù)不能超過200k,你可以發(fā)一個很長的帖子試試，也會出現(xiàn)這個錯誤

解決辦法：


然后在服務(wù)里關(guān)閉iis admin service服務(wù)
找到windows"system32"inesrv"下的metabase.xml,
打開，找到ASPMaxRequestEntityAllowed 把他修改為需要的值，默認(rèn)為204800，即200K
然后重啟iis admin service服務(wù)
把它修改為51200000（50M）

其他問題：

動態(tài)或靜態(tài)內(nèi)容錯誤

禁止應(yīng)用程序?qū)Y源進行訪問

在全新安裝之后，iis 6.0 以工作進程隔離模式運行。默認(rèn)情況下，以此模式運行的應(yīng)用程序使用網(wǎng)絡(luò)服務(wù)標(biāo)識。"網(wǎng)絡(luò)服務(wù)"是具有極少用戶權(quán)限的帳戶，因此可通過限制對 web 服務(wù)器上資源的訪問來提供更高的安全性。如果在服務(wù)器處于工作進程隔離模式時將應(yīng)用程序遷移到 iis 6.0，并且應(yīng)用程序先前作為本地系統(tǒng)在進程內(nèi)運行（在 inetinfo.exe 中），則應(yīng)用程序可能由于網(wǎng)絡(luò)服務(wù)標(biāo)識設(shè)定的限制無法訪問資源。本地系統(tǒng)帳戶擁有操作系統(tǒng)上幾乎所有資源的訪問權(quán)限，因此，可能會產(chǎn)生嚴(yán)重的安全隱患。盡可能不要使用本地系統(tǒng)帳戶。如果必須使用本地系統(tǒng)帳戶來運行某個應(yīng)用程序，則在其自己的虛擬目錄中的新應(yīng)用程序池中運行該應(yīng)用程序，以便通過隔離該應(yīng)用程序來減少攻擊面。或者，如果應(yīng)用程序需要使用可信計算庫 (tcb) 的權(quán)限，則以可配置的身份運行該應(yīng)用程序，并給該可配置的身份指派 tcb 權(quán)限。但是，這種方法仍存在安全隱患，因為可通過 tcb 權(quán)限執(zhí)行很多操作。

詳細信息，請參閱配置工作進程標(biāo)識和 iis 和內(nèi)置帳戶。

動態(tài)內(nèi)容請求返回 404 錯誤

為了更好地預(yù)防惡意用戶和攻擊者的攻擊，iis 是在高度安全和鎖定模式下安裝的。在默認(rèn)情況下，iis 僅處理靜態(tài)內(nèi)容，這意味著除非啟用 asp、asp.net、在服務(wù)器端的包含文件、webdav 發(fā)布、frontpage® server extensions 和通用網(wǎng)關(guān)接口等功能，否則無法使用這些功能。如果在安裝 iis 后沒有啟用此功能，則在拒絕此類服務(wù)時，iis 默認(rèn)返回常規(guī) 404 自定義錯誤頁以防止泄漏配置信息。默認(rèn)情況下，iis 還將 404 錯誤及子狀態(tài)代碼 2 (404.2) 寫入到 w3c 擴展日志文件中。

要點您必須是本地計算機上 administrators 組的成員或者您必須被委派相應(yīng)的權(quán)限才能執(zhí)行下列步驟。作為安全性的最佳操作，請使用不屬于 administrators 組的帳戶登錄計算機，然后使用運行方式命令以管理員身份運行 iis 管理器。在命令提示符下，鍵入 runas /user:administrative_accountname "mmc %systemroot%"system32"inetsrv"iis.msc"。

啟用或禁用 web 服務(wù)擴展

在 iis 管理器中，展開本地計算機，然后單擊"web 服務(wù)擴展"。
在詳細信息窗格中，單擊要啟用或禁用的 web 服務(wù)擴展。
要啟用已禁用的 web 服務(wù)擴展，請單擊"允許"。
要禁用已啟用的 web 服務(wù)擴展，請單擊"禁止"。
單擊"確定"。
要以編程方式啟用或禁用 web 服務(wù)擴展，請參閱 websvcextrestrictionlist。

靜態(tài)文件請求返回 404 錯誤

對于靜態(tài)內(nèi)容請求，此版本的 iis 僅處理具有已知文件擴展名的文件請求，此功能稱為"已知擴展名"。如果所請求資源的文件擴展名沒有映射到 mimemap 屬性中的已知擴展名，則 iis 就會拒絕該請求，并默認(rèn)在 w3c 擴展日志文件中記錄 404 錯誤和子狀態(tài)代碼 3 (404.3)。要防止泄漏配置信息，可以將 iis 配置為在拒絕此類服務(wù)時默認(rèn)返回常規(guī) 404 自定義錯誤頁。您可以使用 iis 管理器添加或編輯多用途 internet 郵件交換 (mime) 映射。要關(guān)閉"已知擴展名"功能并允許 iis 處理具有任何擴展名的文件，可以將 *,application/octet-stream 值添加到 mime 映射列表中。如果更新全局 mime 映射，則在工作進程回收或重新啟動萬維網(wǎng)發(fā)布服務(wù)（www 服務(wù)）后，更改才會生效。如果更新單個網(wǎng)站 mime 映射，則更改會立即生效。

有關(guān)添加或編輯 mime 映射的詳細信息，請參閱使用 mime 類型。

工作進程回收丟失應(yīng)用程序會話狀態(tài)

默認(rèn)情況下，工作進程在 120 分鐘后回收。如果在回收工作進程時 asp 應(yīng)用程序并不存儲會話狀態(tài)，則該 asp 應(yīng)用程序中的會話狀態(tài)可能會丟失。要解決此問題，可以將會話狀態(tài)存儲在數(shù)據(jù)庫中，或者禁用工作進程回收。

禁用工作進程回收

在 iis 管理器中，展開本地計算機，展開"應(yīng)用程序池"，右鍵單擊該應(yīng)用程序池，然后單擊"屬性"。
在"回收"選項卡上，清除"回收工作進程（分鐘）"復(fù)選框。
單擊"確定"。

在服務(wù)器端的包含文件指令 (＃i nclude) 返回 404 錯誤（對于 .stm 文件）或 0131 錯誤（對于 .asp 文件）

如果 asp 頁使用＃i nclude 在服務(wù)器端的包含文件指令和 ".." 記號來引用某個父目錄，則除非重新配置了 aspenableparentpaths 配置數(shù)據(jù)庫屬性，否則，該指令將返回一條錯誤。默認(rèn)情況下，將該屬性設(shè)置為 false。如果將該屬性設(shè)置為 true，則可能會產(chǎn)生潛在的安全隱患，因為包含文件路徑可以訪問應(yīng)用程序根目錄外的關(guān)鍵或機密文件。

通過 iis 管理器啟用父路徑

在 iis 管理器中，展開本地計算機，右鍵單擊要配置的應(yīng)用程序的開始位置目錄，然后單擊"屬性"。
單擊"目錄"選項卡，然后單擊"配置"。
單擊"選項"選項卡。
在"應(yīng)用程序配置"部分，選擇"啟用父路徑"復(fù)選框。
單擊"確定"。

asp 在事件日志中給 global.asa 生成"權(quán)限被拒絕"錯誤

由于早期版本的 asp 在事件中沒有用戶上下文，因此只能在宿主進程的安全上下文（或用戶標(biāo)識）中執(zhí)行事件。這將會導(dǎo)致一些問題，例如在將文件寫入 session_onend 事件中時發(fā)生拒絕訪問錯誤。在當(dāng)前版本中，asp 默認(rèn)匿名運行 global.asa 事件、application_onend 和 session_onend（默認(rèn)值為 true）。

要以編程方式更改此設(shè)置，請參閱 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/iis/55aa5aaf-813a-40f0-9679-0032001f8305.mspx?mfr=true。

cgi 進程不啟動

如果 cgi 進程沒有運行，則確保已啟用了 cgi web 服務(wù)擴展。請參閱本主題中的動態(tài)內(nèi)容請求返回 404 錯誤。另外，除非給運行 cgi 進程使用的帳戶指派了某些用戶權(quán)限，否則，cgi 不會啟用。您可以將該帳戶添加為 iis_wpg 組的成員，并為它分配以下兩種用戶權(quán)限：
調(diào)整進程的內(nèi)存配額
替換進程級令牌
為本地計算機上的帳戶分配用戶權(quán)限
從"開始"菜單中，指向"管理工具"，然后單擊"本地安全策略"。
展開"安全設(shè)置"，雙擊"本地策略"，然后雙擊"用戶權(quán)限分配"。
在詳細信息窗格中，雙擊要更改的策略。
單擊"添加用戶或組"。
在"輸入對象名稱來選擇"框中，輸入用戶或組的名稱。
單擊"確定"。

將 asp.net 頁作為靜態(tài)文件返回

如果安裝了 iis 6.0 而沒有安裝 asp.net，則將 asp.net 文件作為靜態(tài)文件返回。如果重新安裝了 iis 6.0 而沒有重新注冊 asp.net，則也可能會出現(xiàn)該錯誤。要了解如何糾正此問題，請參閱 asp.net iis 注冊工具和使用 i 選項。

windows nt server 的協(xié)作數(shù)據(jù)對象失敗

microsoft® windows nt® server 的協(xié)作數(shù)據(jù)對象 (cdonts) 已從 microsoft windows® server 2003 家族中刪除。如果 web 應(yīng)用程序使用 cdonts，則可以將它們轉(zhuǎn)換為 microsoft 協(xié)作數(shù)據(jù)對象 (cdo)。cdonts 中的大多數(shù)方法在 cdo 中都有相匹配的方法，但是名稱可能不同。

有關(guān)平臺軟件開發(fā)工具包 (psdk) 中 cdo 的參考資料，請參閱 msdn online 上的 overview of cdo。

連接錯誤

客戶端請求收到 503 錯誤

檢查錯誤事件日志以確定 503 錯誤是在 http.sys 中還是在萬維網(wǎng)發(fā)布服務(wù)（www 服務(wù)）中檢測到的。如果該錯誤是在 http.sys 中檢測到的，則可能是由于隊列中的請求太多，而導(dǎo)致 http.sys 超過其應(yīng)用程序池隊列長度限制。要解決此問題，請增加應(yīng)用程序池隊列長度限制。

更改應(yīng)用程序池隊列長度限制

在 iis 管理器中，展開本地計算機，展開"應(yīng)用程序池"文件夾，右鍵單擊應(yīng)用程序，然后單擊"屬性"。
單擊"性能"選項卡。
在"請求隊列限制"部分中，選中"核心請求隊列限制為"復(fù)選框，然后鍵入隊列請求的最大數(shù)量。
單擊"確定"。
如果在 www 服務(wù)中檢測到 503 錯誤，則問題可能是 iis 已啟動了快速失敗保護，因為在給定一段時間內(nèi)為應(yīng)用程序池分配的許多工作進程都處于不正常的運行狀態(tài)。要解決此問題，請增加啟動快速失敗保護前出現(xiàn)的故障數(shù)量或時間。您應(yīng)該測試應(yīng)用程序是否存在內(nèi)存泄漏或者其他使工作進程處于不正常狀態(tài)的問題。

配置快速失敗保護

在 iis 管理器中，展開本地計算機，展開"應(yīng)用程序池"，右鍵單擊該應(yīng)用程序池，然后單擊"屬性"。
單擊"運行狀況"選項卡。
在"失敗數(shù)"框中，鍵入在禁用工作進程之前要檢測的工作進程失敗數(shù)量。
在"時間段"框中，鍵入累積失敗總數(shù)的時間長短（分鐘）。
單擊"確定"。

進行子驗證登錄的匿名帳戶 (iusr_computername) 收到 401 錯誤

默認(rèn)情況下，在 iis 6.0 中不啟用子驗證組件 iissuba.dll。在早期版本中，iissuba.dll 允許 iis 管理匿名帳戶的密碼，這會產(chǎn)生潛在的安全隱患。在 iis 6.0 中，您可以使用子驗證管理匿名帳戶的密碼，但必須滿足以下條件：

對于授權(quán)匿名訪問的應(yīng)用程序，工作進程以本地系統(tǒng)身份運行。
注冊了子驗證組件 iissuba.dll。
啟用了 anonymouspasswordsynch 配置數(shù)據(jù)庫屬性（設(shè)置為 true）。
對于 iis 6.0 全新安裝和從配置了子驗證的 iis 安裝升級到 iis 6.0，為滿足以上要求所采取的操作是不同的。

有關(guān)配置子驗證的步驟的信息，請參閱匿名身份驗證。

客戶端不能連接到服務(wù)器

windows server 2003 家族提供基于軟件的防火墻，以防止從遠程計算機對服務(wù)器進行未經(jīng)授權(quán)的訪問。默認(rèn)情況下禁用 internet 連接防火墻 (icf)。不過，如果您在安裝 windows server 2003 家族成員之后和安裝 iis 之前以默認(rèn)配置方式啟用了防火墻，客戶端將不能連接到您的服務(wù)器。以下步驟將配置 icf，以便允許客戶端啟動連接到服務(wù)器的 web 和其他 iis 相關(guān)連接。

為 iis 配置 internet 連接防火墻

從"開始"菜單中，單擊"控制面板"。
雙擊"網(wǎng)絡(luò)連接"。
右鍵單擊"本地連接"，然后單擊"屬性"。
單擊"高級"選項卡。
如果不想使用 icf，請確保沒有選中"通過限制或阻止來自 internet 的對此計算機的訪問來保護我的計算機和網(wǎng)絡(luò)"復(fù)選框，然后單擊"確定"。
如果想使用 icf，請確保選中了"通過限制或阻止來自 internet 的對此計算機的訪問來保護我的計算機和網(wǎng)絡(luò)"復(fù)選框，然后單擊"設(shè)置"。
在"服務(wù)"選項卡上，啟用要允許客戶端訪問的服務(wù)。
在啟用服務(wù)之后出現(xiàn)的"服務(wù)設(shè)置"對話框中，執(zhí)行以下某個操作：
如果要在正在使用的同一臺計算機上啟用某項服務(wù)，這時正確的計算機名稱已經(jīng)填入。單擊"確定"。
如果要在網(wǎng)絡(luò)上的另一臺計算機上啟用服務(wù)，請鍵入要啟用的主持此服務(wù)計算機的名稱或 ip 地址，然后單擊"確定"。
重復(fù)第 7 步和第 8 步，直到希望客戶端可訪問的服務(wù)都已啟用。

unc 連接被拒絕訪問

通用命名約定 (unc) 驗證方法也稱為"unc passthrough 驗證"，它確定獲得遠程計算機上 unc 共享訪問使用的憑據(jù)。從 iis 6.0 開始，unc 驗證使用以下方法查看請求用戶和配置數(shù)據(jù)庫 uncusername 和 uncpassword 屬性中存儲的憑據(jù)，以確定傳送到具有 unc 共享的計算機上的憑據(jù)：

如果指定了 uncusername（非空）并且 uncpassword 有效，則將配置數(shù)據(jù)庫用戶憑據(jù)作為訪問的用戶標(biāo)識發(fā)送到遠程共享。如果指定了 uncusername（非空）但是 uncpassword 無效，則向客戶端發(fā)送"500 內(nèi)部服務(wù)器錯誤：用戶名或密碼無效"消息。
如果 uncusername 為空，則將請求用戶的憑據(jù)（用于已驗證請求的一組驗證的憑據(jù)或用于匿名請求的 iusr_computername 憑據(jù)）作為訪問的用戶標(biāo)識發(fā)送到遠程共享。
注意不再將 uncauthenticationpassthrough 配置數(shù)據(jù)庫項用于 unc 驗證。

禁止訪問 system32 目錄中的控制臺應(yīng)用程序

除非提出請求的遠程用戶是 administrators 組中經(jīng)過驗證的成員，否則，使用 windows system32 目錄中控制臺應(yīng)用程序（如 cmd.exe）的請求被拒絕訪問。這種拒絕訪問是由于以下原因造成的：windows system32 目錄中所有控制臺應(yīng)用程序的特殊訪問控制列表 (acl) 僅限管理員、本地系統(tǒng)、交互用戶和服務(wù)能夠訪問。acl 限制并不影響擁有訪問權(quán)限的本地登錄用戶，也不會影響您自己的自定義 cgi 可執(zhí)行程序。

[pagesplitxx]

客戶端請求出現(xiàn)錯誤或超時

在 iis 6.0 中，默認(rèn)設(shè)置是特別嚴(yán)格和安全的，這樣可以最大限度地減少因以前太寬松的超時和限制而造成的攻擊。iis 在連接級別強制實施以下超時限制：

響應(yīng)緩沖限制：aspbufferinglimit 配置數(shù)據(jù)庫屬性的默認(rèn)值為 4 mb。如果 asp 腳本緩沖大于此值，就會出現(xiàn)錯誤。在 iis 6.0 之前的版本中，沒有緩沖限制。
張貼限制：aspmaxrequestentityallowed 配置數(shù)據(jù)庫屬性實施的最大 asp 張貼大小為 204,800 個字節(jié)，并將各個字段限制為 100 kb。在 iis 6.0 之前的版本中，沒有張貼限制。
serverlistentimeout 配置數(shù)據(jù)庫屬性不再存在： serverlistentimeout 已被以下配置數(shù)據(jù)庫屬性代替：
connectiontimeout：此屬性指定在斷開非活動連接前服務(wù)器等待的時間（以秒為單位）。
minfilebytespersec：當(dāng) iis 響應(yīng)客戶端請求時，minfilebytespersec 屬性決定了客戶端收到整個響應(yīng)的時間長短。如果客戶機接收整個響應(yīng)所花費的時間太長，則內(nèi)核模式驅(qū)動程序 http.sys 會根據(jù)超時值終止連接。
headerwaittimeout：在客戶端連接到 web 服務(wù)器時，會給客戶機指定發(fā)送請求的所有標(biāo)題的時間限制（用結(jié)尾的雙 "r"n 來區(qū)分）。如果在 headerwaittimeout 指示的時間內(nèi)沒有收到請求的完整標(biāo)題集，則 http.sys 將重置該連接。您可以對 headerwaittimeout 的值進行配置。
標(biāo)題大小限制：默認(rèn)情況下，http.sys 僅接受標(biāo)題小于 16 kb 的請求。這意味著，如果 http.sys 收到的 16 kb 中不包含結(jié)尾的 <crlf><crlf> 序列，則 http.sys 認(rèn)為請求是惡意的并將終止連接。通過調(diào)整 maxrequestbytes 注冊表項中的值，您可以更改標(biāo)題大小限制。

其他錯誤

對 unix 或 linux 服務(wù)器的文件請求返回錯誤的文件或錯誤信息
如果 iis 必須訪問 unix 或 linux 系統(tǒng)上的文件，除非在 iis 中啟用了網(wǎng)絡(luò)文件系統(tǒng) (nfs) 支持，否則文件名大小寫區(qū)分可能會引起問題。

unix 和 linux 均支持混合大小寫的文件名，而 iis 完全支持以區(qū)分大小寫的方式請求靜態(tài)文件。然而，當(dāng) iis 隨后從其靜態(tài)文件緩存中請求文件時，會出現(xiàn)問題。因為所有的文件名會在 iis 緩存中轉(zhuǎn)換為大寫字母，從 iis 靜態(tài)文件緩存進行完第一次請求之后，所有的請求都可能失敗或返回錯誤的文件。

解決該問題的方法是禁用 iis 靜態(tài)文件緩存，以便所有文件請求都以全新形式發(fā)出，從而保持正確的文件名大小寫?？梢葬槍W(wǎng)站上的單個虛擬目錄禁用靜態(tài)文件緩存，也可以針對所有站點在全局禁用。

注意更改該設(shè)置不會影響緩存 asp 文件和模板的方式。

為特定網(wǎng)站虛擬目錄禁用靜態(tài)文件緩存

編輯配置數(shù)據(jù)庫，并將 md_vr_no_cache 屬性設(shè)置為 1。

針對所有站點禁用靜態(tài)文件緩存

編輯注冊表并將二進制值 disablestaticfilecache=1 添加到 hkey_local_machine"system"currentcontrolset"services"inetinfo"parameters 項中。

找不到 /scripts 或 /msadc 目錄

默認(rèn)情況下，iis 5.0 中的 /scripts 和 /msadc 目錄允許運行腳本和可執(zhí)行文件。在 iis 6.0 中刪除了這些目錄，因為如果惡意用戶能夠訪問這些目錄之一，該用戶就可以運行腳本或可執(zhí)行文件，并有可能會控制 web 服務(wù)器。如果服務(wù)器配置需要此類目錄，則需要創(chuàng)建一個目錄并為其指派適當(dāng)?shù)?/SPAN> ntfs 權(quán)限。

isapi 篩選器在 ui 中沒有顯示為"已加載"

在 iis 6.0 中，為了優(yōu)化資源，直到所請求的網(wǎng)站需要 isapi 篩選器時才會加載它。直到提出此類請求時，iis 管理器才會顯示 isapi 篩選器的狀態(tài)。另外，如果 isapi 篩選器需要 sf_notify_read_raw_data 篩選器通知，則當(dāng) iis 以工作進程隔離模式運行時，不會加載該篩選器。檢查 w3svc-wp 中事件的應(yīng)用程序事件以驗證是否加載該篩選器。要解決此問題，請以 iis 5.0 隔離模式運行 iis，或者與 isapi 篩選器供應(yīng)商聯(lián)系以獲得有關(guān)兼容性的更新程序。

要點如果由于訪問控制列表 (acl) 的限制而使 iis 工作進程標(biāo)識無法加載 isapi 篩選器，則請求收到 503 錯誤。要解決此問題，請在 isapi 篩選器 dll 上設(shè)置 acl 以允許訪問 iis_wpg 組。

將 iis 配置為 iis 5.0 隔離模式

在"iis 管理器"中，展開本地計算機，右鍵單擊"網(wǎng)站"，然后單擊"屬性"。
單擊"服務(wù)"選項卡，選中"以 iis 5.0 隔離模式運行 www 服務(wù)"復(fù)選框，然后單擊"確定"。
要啟動 www 服務(wù)，請單擊"是"。

下面還有一些呵呵

      1.如何讓asp腳本以system權(quán)限運行?

　　修改你asp腳本所對應(yīng)的虛擬目錄，把"應(yīng)用程序保護"修改為"低"....

　　2.如何防止asp木馬?

　　基于filesystemobject組件的asp木馬

　　cacls %systemroot%"system32"scrrun.dll /e /d guests //禁止guests使用

　　regsvr32 scrrun.dll /u /s //刪除

　　基于shell.application組件的asp木馬

　　cacls %systemroot%"system32"shell32.dll /e /d guests //禁止guests使用

　　regsvr32 shell32.dll /u /s //刪除

　　3.如何加密asp文件?

　　從微軟免費下載到sce10chs.exe 直接運行即可完成安裝過程。

　　安裝完畢后，將生成screnc.exe文件，這是一個運行在dos promapt的命令工具。

　　運行screnc - l vbscript source.asp destination.asp

　　生成包含密文asp腳本的新文件destination.asp

　　用記事本打開看凡是""之內(nèi)的，不管是否注解，都變成不可閱讀的密文了

　　但無法加密中文。

　　4.如何從iislockdown中提取urlscan?

　　iislockd.exe /q /c /t:c:"urlscan

　　5.如何防止content-location標(biāo)頭暴露了web服務(wù)器的內(nèi)部ip地址?

　　執(zhí)行

　　cscript c:"inetpub"adminscripts"adsutil.vbs set w3svc/usehostname true

　　最后需要重新啟動iis

　　6.如何解決http500內(nèi)部錯誤?

　　iis http500內(nèi)部錯誤大部分原因

　　主要是由于iwam賬號的密碼不同步造成的。

　　我們只要同步iwam_myserver賬號在com+應(yīng)用程序中的密碼即可解決問題。

　　執(zhí)行

　　cscript c:"inetpub"adminscripts"synciwam.vbs -v

　　7.如何增強iis防御syn flood的能力?

　　windows registry editor version 5.00

　　[hkey_local_machine"system"currentcontrolset"services"tcpip"parameters]

　　'啟動syn攻擊保護。缺省項值為0，表示不開啟攻擊保護，項值為1和2表示啟動syn攻擊保護，設(shè)成2之后

　　'安全級別更高，對何種狀況下認(rèn)為是攻擊，則需要根據(jù)下面的tcpmaxhalfopen和tcpmaxhalfopenretried值

　　'設(shè)定的條件來觸發(fā)啟動了。這里需要注意的是，nt4.0必須設(shè)為1，設(shè)為2后在某種特殊數(shù)據(jù)包下會導(dǎo)致系統(tǒng)重啟。

　　"synattackprotect"=dword:00000002

　　'同時允許打開的半連接數(shù)量。所謂半連接，表示未完整建立的tcp會話，用netstat命令可以看到呈syn_rcvd狀態(tài)

　　'的就是。這里使用微軟建議值，服務(wù)器設(shè)為100，高級服務(wù)器設(shè)為500。建議可以設(shè)稍微小一點。

　　"tcpmaxhalfopen"=dword:00000064

　　'判斷是否存在攻擊的觸發(fā)點。這里使用微軟建議值，服務(wù)器為80，高級服務(wù)器為400。

　　"tcpmaxhalfopenretried"=dword:00000050

　　'設(shè)置等待syn-ack時間。缺省項值為3，缺省這一過程消耗時間45秒。項值為2，消耗時間為21秒。

　　'項值為1，消耗時間為9秒。最低可以設(shè)為0，表示不等待，消耗時間為3秒。這個值可以根據(jù)遭受攻擊規(guī)模修改。

　　'微軟站點安全推薦為2。

　　"tcpmaxconnectresponseretransmissions"=dword:00000001

　　'設(shè)置tcp重傳單個數(shù)據(jù)段的次數(shù)。缺省項值為5，缺省這一過程消耗時間240秒。微軟站點安全推薦為3。

　　"tcpmaxdataretransmissions"=dword:00000003

　　'設(shè)置syn攻擊保護的臨界點。當(dāng)可用的backlog變?yōu)?/SPAN>0時，此參數(shù)用于控制syn攻擊保護的開啟，微軟站點安全推薦為5。

　　"tcpmaxportsexhausted"=dword:00000005

　　'禁止ip源路由。缺省項值為1，表示不轉(zhuǎn)發(fā)源路由包，項值設(shè)為0，表示全部轉(zhuǎn)發(fā)，設(shè)置為2，表示丟棄所有接受的

　　'源路由包，微軟站點安全推薦為2。

　　"disableipsourcerouting"=dword:0000002

　　'限制處于time_wait狀態(tài)的最長時間。缺省為240秒，最低為30秒，最高為300秒。建議設(shè)為30秒。

　　"tcptimedwaitdelay"=dword:0000001e

　　8.如何避免*mdb文件被下載?

　　安裝ms發(fā)布的urlscan工具，可以從根本上解決這個問題。

　　同時它也是一個強大的安全工具，你可以從ms的網(wǎng)站上獲取更為詳細的信息。

　　9.如何讓iis的最小ntfs權(quán)限運行?

　　依次做下面的工作:

　　a.選取整個硬盤：

　　system：完全控制

　　administrator：完全控制

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　b."program files"common files：

　　everyone：讀取及運行

　　列出文件目錄

　　讀取

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　c."inetpub"wwwroot：

　　iusr_machine：讀取及運行

　　列出文件目錄

　　讀取

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　e."winnt"system32：

　　選擇除inetsrv和centsrv以外的所有目錄，

　　去除"允許將來自父系的可繼承性權(quán)限傳播給對象"選框，復(fù)制。

　　f."winnt：

　　選擇除了downloaded program files、help、iis temporary compressed files、

　　offline web pages、system32、tasks、temp、web以外的所有目錄

　　去除"允許將來自父系的可繼承性權(quán)限傳播給對象"選框，復(fù)制。

　　g."winnt：

　　everyone：讀取及運行

　　列出文件目錄

　　讀取

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　h."winnt"temp：（允許訪問數(shù)據(jù)庫并顯示在asp頁面上）

　　everyone：修改

　　(允許將來自父系的可繼承性權(quán)限傳播給對象)

　　10.如何隱藏iis版本?

　　一個黑客可以可以輕易的telnet到你的web端口，發(fā)送get命令來獲取很多信息

　　iis存放iis banner的所對應(yīng)的dll文件如下：

　　web:c:"winnt"system32"inetsrv"w3svc.dll

　　ftp:c:"winnt"system32"inetsrv"ftpsvc2.dll

　　smtp:c:"winnt"system32"inetsrv"smtpsvc.dll

　　你可以用16進制編輯器去修改那些dll文件的關(guān)鍵字，比如iis的microsoft-iis/5.0

　　具體過程如下:

　　1.停掉iis iisreset /stop

　　2.刪除%systemroot%"system32"dllcache目錄下的同名文件

　　3.修改


另外，防火墻阻止，ODBC配置錯誤，Web服務(wù)器性能限制，線程限制等因素也是造成IIS服務(wù)器無法訪問的可能原因，這里就不再一一饋述了。希望此帖能解決大家的大部分問題：）

最新評論