Home
  •  

Der Arbeitsprozess für den Anwendungspool gilt für WAS nicht mehr als vertrauenswürdig

Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Zusammenfassung

Websites und Webanwendungen hängen von der Verfügbarkeit von IIS-Anwendungspools ab. IIS-Anwendungspool wiederum hängen vom Windows-Prozessaktivierungsdienst (WAS) ab. Wenn WAS nicht ausgeführt wird oder während des Startens oder Herunterfahrens eines Anwendungspools Fehler auftreten, sind Websites und Webanwendungen möglicherweise nicht verfügbar.

Lösungen

Überprüfen eines nicht vertrauenswürdigen Arbeitsprozesses

Ein Arbeitsprozess hat Daten an den Windows-Prozessaktivierungsdienst (WAS) gesendet, die nicht erwartet wurden. Es ist möglich, dass Benutzercode schädliche Aktionen im Arbeitsprozess auszuführen versucht und den Kommunikationskanal übernommen hat. Benutzercode sendet beispielsweise eine zweite Prozess-ID für den Arbeitsprozess an WAS oder Leistungsindikatorzahlen, die eine falsche Form aufweisen. Dies könnte ein Versuch sein, in WAS einen Pufferüberlauf zu erstellen.

Um dieses Problem zu beheben, überprüfen Sie, ob der Arbeitsprozess verdächtigen Benutzercode enthält. Überprüfen Sie die geladenen Module. Wenn ISAPI- oder Drittanbietermodule ausgeführt werden, wenden Sie sich an den Anbieter, um weitere Informationen zu erhalten.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.10.0.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>