Websites und Webanwendungen hängen von der Verfügbarkeit von IIS-Anwendungspools ab. IIS-Anwendungspool wiederum hängen vom Windows-Prozessaktivierungsdienst (WAS) ab. Wenn WAS nicht ausgeführt wird oder während des Startens oder Herunterfahrens eines Anwendungspools Fehler auftreten, sind Websites und Webanwendungen möglicherweise nicht verfügbar.
Überprüfen eines nicht vertrauenswürdigen Arbeitsprozesses
Ein Arbeitsprozess hat Daten an den Windows-Prozessaktivierungsdienst (WAS) gesendet, die nicht erwartet wurden. Es ist möglich, dass Benutzercode schädliche Aktionen im Arbeitsprozess auszuführen versucht und den Kommunikationskanal übernommen hat. Benutzercode sendet beispielsweise eine zweite Prozess-ID für den Arbeitsprozess an WAS oder Leistungsindikatorzahlen, die eine falsche Form aufweisen. Dies könnte ein Versuch sein, in WAS einen Pufferüberlauf zu erstellen.
Um dieses Problem zu beheben, überprüfen Sie, ob der Arbeitsprozess verdächtigen Benutzercode enthält. Überprüfen Sie die geladenen Module. Wenn ISAPI- oder Drittanbietermodule ausgeführt werden, wenden Sie sich an den Anbieter, um weitere Informationen zu erhalten.
Target | Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>