Le service d'activation des processus Windows (WAS) IIS (Internet Information Services) est requis pour la plupart des sites Web, car il prend en charge le service de publication World Wide Web (W3SVC) qui traite les demandes HTTP. Le Gestionnaire de processus WAS mappe les pools d'applications aux processus de travail existants et génère de nouvelles instances de W3SVC pour héberger les nouveaux pools d'applications si nécessaire. Si WAS est indisponible, la plupart des sites Web ne démarrent pas.
Remapper les comptes IIS intégrés
IIS 8 utilise plusieurs comptes Windows Server 2012 intégrés, dont le groupe IIS_IUSRS et le compte d'utilisateur invité IUSR. Ceux-ci remplacent le compte <MACHINE_NAME>_USR qui a été créé par IIS 6.0.
Un problème se produit lorsqu'un ordinateur Windows Server 2012 qui héberge IIS 8 devient un contrôleur de domaine (Domain Controller, DC) d'un domaine n'appartenant pas à Windows Server 2012 (c'est-à-dire un DC d'un domaine Windows 2000 ou Windows Server 2003). Lorsque la promotion du DC se produit, les nouveaux comptes intégrés à Windows Server 2012 ne sont plus disponibles dans IIS 8. Toute liste de contrôle d'accès (Access Control List, ACL) qui utilise les comptes intégrés ne pourra pas être résolue en nom convivial, mais indiquera ses valeurs brutes d'identificateur de sécurité (Security Identifier, SID).
Pour résoudre ce problème, exécutez un script qui restaurera le mappage des SID en noms conviviaux pour les comptes intégrés. Le script doit être exécuté sur le DC tout en étant connecté à son contrôleur de domaine principal (Primary Domain Controller, PDC). Cela rétablira l'accès aux comptes intégrés qui sont requis par IIS 8. Pour obtenir le script, consultez l'article 946139 de la Base de connaissances, Les comptes intégrés IIS 8 sont indisponibles après la promotion du contrôleur de domaine (peut-être en anglais).
Target | Microsoft.Windows.InternetInformationServices.6.2.WebServer |
Category | Alert |
Enabled | True |
Event_ID | 5153 |
Event Source | Microsoft-Windows-WAS |
Alert Generate | False |
Remotable | True |
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group" Enabled="onEssentialMonitoring" Target="Microsoft.Windows.InternetInformationServices.6.2.WebServer" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5153</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>