Proces roboczy obsługujący pulę aplikacji przestał być procesem zaufanym usługi WAS - Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule) (PLK)

Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Podsumowanie

Witryny i aplikacje sieci Web są zależne od dostępności pul aplikacji internetowych usług informacyjnych (IIS). Z kolei pule aplikacji IIS są zależne od usługi aktywacji procesów systemu Windows (WAS). Jeśli usługa WAS nie jest uruchomiona lub też wystąpił błąd podczas uruchamiania lub zamykania puli aplikacji, witryny i aplikacje sieci Web mogą być niedostępne.

Rozwiązania

Sprawdź niezaufany proces roboczy

Proces roboczy wysłał do usługi aktywacji procesów systemu Windows (WAS) pewną ilość nieoczekiwanych danych. Kod użytkownika może próbować udziału w złośliwej aktywności w procesie roboczym i mógł przejąć potok komunikacyjny. Na przykład kod użytkownika może wysyłać do usługi WAS identyfikator drugiego procesu dla procesu roboczego lub wysyłać numery licznika wydajności w nieprawidłowej formie. Może to stanowić próbę spowodowania przepełnienia buforu w usłudze WAS.

Aby rozwiązać ten problem, zbadaj proces roboczy, aby zobaczyć, czy zawiera podejrzany kod użytkownika. Sprawdź załadowane moduły. Jeżeli są uruchomione moduły interfejsu ISAPI lub moduły firmy trzeciej, skontaktuj się z ich dostawcą, aby uzyskać więcej informacji.

Element properties:

Member Modules:

Target	Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool
Category	Alert
Enabled	True
Alert Generate	False
Remotable	True

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider	Default
Filter	ConditionDetection	Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter	Default
WA	WriteAction	Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription	Default

Module Type

TypeId

RunAs

DataSource

Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider

Default

Filter

ConditionDetection

Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter

Default

WriteAction

Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription

Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>Alert</Category> <DataSources> <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider"> <LogName>System</LogName> </DataSource> </DataSources> <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter"> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery>EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value>5127</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">Microsoft-Windows-WAS</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </ConditionDetection> <WriteActions> <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription"> <Priority>1</Priority> <Severity>1</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId> </WriteAction> </WriteActions> </Rule>