Home
  •  

응용 프로그램 풀을 처리하는 작업자 프로세스가 WAS에서 더 이상 신뢰되지 않습니다.

Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

요약

웹 사이트 및 웹 응용 프로그램은 IIS(인터넷 정보 서비스) 응용 프로그램 풀의 가용성에 따라 달라집니다. 결과적으로 IIS 응용 프로그램 풀은 WAS(Windows Process Activation Service)에 종속됩니다. WAS가 실행되고 있지 않거나 응용 프로그램 풀을 시작 또는 종료하는 동안 오류가 발생하는 경우 웹 사이트 및 웹 응용 프로그램을 사용할 수 없습니다.

해결 방법

신뢰할 수 없는 작업자 프로세스 확인

작업자 프로세스가 예기치 않은 일부 데이터를 WAS(Windows Process Activation Service)에 보냈습니다. 사용자 코드가 작업자 프로세스의 악의적인 작업에 참여하여 통신 파이프를 대신 처리하려고 했을 수 있습니다. 예를 들어 사용자 코드의 작업자 프로세스의 두 번째 프로세스 ID를 WAS에 보내거나 잘못된 형식의 성능 카운터 수를 보낼 수 있습니다. 이는 WAS에서 버퍼 오버런을 만들려는 시도일 수 있습니다.

이 문제를 해결하려면 작업자 프로세스에 의심되는 사용자 코드가 포함되어 있는지 확인합니다. 로드된 모듈을 확인합니다. ISAPI 또는 타사 모듈이 실행 중인 경우 모듈 공급업체에 추가 정보를 요청하십시오.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.6.2.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>