Home
  •  

Een werkproces voor de groep van toepassingen wordt niet meer vertrouwd door de WAS

Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Samenvatting

Websites en webtoepassingen zijn afhankelijk van de aanwezigheid van groepen toepassingen van Internet Information Services (IIS). De groepen toepassingen van Internet Information Services (IIS) zijn op hun beurt weer afhankelijk van de WAS (Windows Process Activation Service). Als de WAS niet wordt uitgevoerd of er treden tijdens het opstarten of afsluiten van een groep toepassingen fouten op, dan zijn websites en webtoepassingen mogelijk niet beschikbaar.

Oplossingen

Een werkproces controleren dat u niet vertrouwt

Een werkproces heeft onverwacht een aantal gegevens gestuurd naar de Windows Process Activation-service (WAS). Het kan zijn dat door gebruikerscode wordt geprobeerd schadelijke activiteiten in het werkproces te veroorzaken en daarmee de communicatie over te nemen. Via gebruikerscode kan bijvoorbeeld een tweede proces-id zijn verstuurd naar de WAS voor het werkproces, of er worden nummers van prestatiemeteritems in een onjuiste vorm verzonden. Dit kan een poging zijn om een bufferoverloop in de WAS te creëren.

Voor het oplossen van dit probleem onderzoekt u het werkproces om te zien of dit verdachte gebruikerscode bevat. Controleer de geladen modules. Als ISAPI of modules van derden actief zijn, neemt u contact op met de leverancier van de modules voor meer informatie.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.6.2.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>