A webhelyek és webalkalmazások az Internet Information Services (IIS) alkalmazáskészletek rendelkezésre állásától függenek. Az IIS-alkalmazáskészletek pedig a Windows folyamataktivációs szolgáltatásától (WAS) függenek. Ha a WAS nem fut, illetve ha hibák merülnek fel az alkalmazáskészletek elindítása és leállítása során, előfordulhat, hogy egyes webhelyek és webalkalmazások nem érhetők el.
Egy nem megbízható feldolgozófolyamat ellenőrzése
Egy feldolgozófolyamat váratlanul adatokat küldött a Windows Folyamataktiválási szolgáltatásnak (WAS). Lehetséges, hogy a felhasználói kód kártékony tevékenységet próbál végrehajtani a munkavégző folyamatban, és átvette az irányítást a kommunikációs csatorna fölött. Például lehetséges, hogy a felhasználói kód egy második folyamatazonosítót próbál küldeni a WAS szolgáltatásnak a munkavégző folyamathoz, vagy nem megfelelő formátumú teljesítményszámláló számokat küld. Lehetséges, hogy ez kísérlet puffertúlcsordulás okozására a WAS szolgáltatásban.
A probléma megoldásához vizsgálja meg a munkavégző folyamatot, hogy az tartalmaz-e gyanús felhasználói kódot. Ellenőrizze a betöltött modulokat. Ha futnak ISAPI vagy harmadik féltől származó modulok, lépjen kapcsolatba a modulok forgalmazójával további információért.
Target | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>