El Servicio de activación de procesos de Windows de Internet Information Services (IIS) es necesario en la mayoría de los sitios web ya que es compatible con el Servicio de publicación World Wide Web (W3SVC), que administra las solicitudes HTTP. El Administrador de procesos WAS asigna los grupos de aplicaciones a los procesos de trabajo existentes y genera nuevas instancias de W3SVC para albergar nuevos grupos de aplicaciones según sea necesario. Si WAS no está disponible, la mayoría de los sitios web no se iniciarán.
Reasignar las cuentas integradas de IIS
IIS 10 utiliza varias cuentas integradas de Windows Server 2016 y 1709+, incluida la del grupo IIS_IUSRS y la cuenta de usuario invitado de IUSR. Estas sustituyen a la cuenta <NOMBRE_EQUIPO>_USR creada por IIS 6.0.
Se produce un problema cuando un equipo Windows Server 2016 y 1709+ que hospeda IIS 10 se convierte en controlador de dominio (DC) de un dominio que no es de Windows Server 2016 y 1709+ (es decir, un DC de un dominio de Windows 2000 o Windows Server 2003). Si se realiza la promoción del DC, las nuevas cuentas integradas de Windows Server 2016 y 1709+ ya no están disponibles para IIS 10. Cualquier Lista de control de acceso (ACL) que utilice las cuentas integradas no podrá mostrar un nombre descriptivo. En su lugar, mostrará sus valores de SID (identificador de seguridad) sin formato.
Para solucionar este problema, ejecute un script que restaure la asignación de los SID a nombres descriptivos en las cuentas integradas. El script debe ejecutarse en el DC, mientras está conectado a su Controlador de dominio principal (PDC). De este modo se restablecerá el acceso a las cuentas integradas que requiere IIS 10. Para obtener el script, consulte el artículo 946139 de la Knowledge Base, No se puede acceder a las cuentas integradas de IIS10 tras una promoción del Controlador de dominio.
Target | Microsoft.Windows.InternetInformationServices.10.0.WebServer |
Category | Alert |
Enabled | True |
Event_ID | 5153 |
Event Source | Microsoft-Windows-WAS |
Alert Generate | False |
Remotable | True |
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.10.0.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.10.0.WebServer" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5153</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.10.0.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>