Служба активации Windows (WAS) IIS необходима для большинства веб-сайтов, так как она поддерживает службу веб-публикаций (W3SVC), которая обрабатывает HTTP-запросы. Диспетчер процессов WAS сопоставляет пулы приложений с существующими рабочими процессами и создает новые экземпляры W3SVC для размещения новых пулов приложений при необходимости. Если служба WAS недоступна, большинство веб-сайтов не запустятся.
Переназначение встроенных учетных записей IIS
Службы IIS 8 используют несколько встроенных учетных записей Windows Server 2012, включая группу IIS_IUSRS и гостевую учетную запись IUSR. Они заменяют учетную запись <MACHINE_NAME>_USR, которая создавалась в IIS 6.0.
Проблема возникает, если компьютер с Windows Server 2012, на котором размещены службы IIS 8, становится контроллером домена (DC) под управлением системы, отличной от Windows Server 2012 (например, контроллером домена Windows 2000 или Windows Server 2003). При повышении уровня контроллера домена, службы IIS 8 теряют доступ к новым встроенным учетным записям Windows Server 2012. Списки контроля доступа (ACL), использующие встроенные учетные записи, не смогут выполнить сопоставление с понятным именем, а вместо этого, отобразят необработанные значения SID (идентификатора безопасности).
Для решения этой проблемы запустите сценарий, который восстановит сопоставление ИД безопасности до понятных имен встроенных учетных записей. Сценарий необходимо запустить на контроллере домена, когда он подключен к своему Основному контроллеру домена (PDC). Это восстановит доступ к встроенным учетным записям, необходимый службам IIS 8. Для получения сценария см. статью базы знаний 946139, Недоступность встроенных учетных записей IIS8 после повышения роли контроллера домена.
Target | Microsoft.Windows.InternetInformationServices.6.2.WebServer |
Category | Alert |
Enabled | True |
Event_ID | 5153 |
Event Source | Microsoft-Windows-WAS |
Alert Generate | False |
Remotable | True |
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.WebServer" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5153</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.WAS.encountered.an.error.attempting.to.look.up.the.built.in.IIS_IUSRS.group.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>