Home
  •  

WAS で、組み込まれている IIS_IUSRS グループを検索しようとしたときにエラーが発生しました

Microsoft.Windows.InternetInformationServices.6.2.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group (Rule)

Knowledge Base article:

概要

インターネット インフォメーション サービス (IIS) Windows プロセス アクティブ化サービス (WAS) は、HTTP 要求を処理する World Wide Web 発行サービス (W3SVC) をサポートしているため、ほとんどの Web サイトで必要になります。WAS プロセス マネージャーはアプリケーション プールを既存のワーカー プロセスにマップし、必要に応じて新しいアプリケーション プールをホストするために W3SVC の新しいインスタンスを作成します。 WAS が利用できない場合、ほとんどの Web サイトは開始されません。

解決方法

ビルトイン IIS アカウントを再マップする

IIS 8 では、IIS_IUSRS グループや IUSR ゲスト ユーザー アカウントなどの複数のビルトイン Windows Server 2012 アカウントを使用します。これらのアカウントは、IIS 6.0 によって作成された <MACHINE_NAME>_USR アカウントに置き換わります。

IIS 8 をホストしている Windows Server 2012 コンピューターが Windows Server 2012ドメイン以外のドメインのドメイン コントローラー (DC) になると (つまり、Windows 2000 または Windows Server 2003 ドメインの DC)、問題が発生します。DC 昇格が発生すると、新しい Windows Server 2012 のビルトイン アカウントは IIS 8 で利用できなくなります。ビルドイン アカウントを使用するアクセス制御リスト (ACL) はフレンドリ名に解決できなくなり、代わってアカウントの未処理の SID (セキュリティ ID) 値を表示するようになります。

この問題を解決するには、ビルトイン アカウントのフレンドリ名への SID のマッピングを復元するスクリプトを実行します。このスクリプトは、DC がそのプライマリ ドメイン コントローラー (PDC) に接続されている間に DC 上で実行する必要があります。これにより、IIS 8 に必要なビルトイン アカウントへのアクセスが再確立されます。このスクリプトを取得するには、サポート技術情報の記事 946139 の IIS 8 : ドメイン コントローラーの昇格後にビルトイン アカウントが利用できなくなる場合に関する記事を参照してください。

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.6.2.WebServer
CategoryAlert
EnabledTrue
Event_ID5153
Event SourceMicrosoft-Windows-WAS
Alert GenerateFalse
RemotableTrue
Event LogSystem

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
WA WriteAction Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.WebServer" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-WAS</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>5153</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>