Home
  •  

O processo de trabalho que atende o pool de aplicativos não é mais confiável para o WAS

Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Resumo

Os sites e aplicativos Web dependem da disponibilidade dos pools de aplicativos do IIS (Serviços de Informações da Internet). Os pools de aplicativos do IIS, por sua vez, dependem do WAS (Serviço de Ativação de Processos do Windows). Se o WAS não estiver em execução ou ocorrerem erros durante a inicialização ou o desligamento de um pool de aplicativos, os sites e aplicativos Web podem não estar disponíveis.

Resoluções

Verifique um processo de trabalho não confiável

Um processo de trabalho enviou alguns dados inesperados para o WAS (Serviço de Ativação de Processos do Windows ). O código do usuário pode estar tentando iniciar uma atividade mal intencionada no processo de trabalho e pode estar controlando o canal de comunicação. Por exemplo, o código do usuário pode estar enviando um segundo ID de processo para o WAS pelo processo de trabalho ou pode estar enviando números de contadores de desempenho que não estão no formato certo. Isso pode ser uma tentativa de criar uma saturação de dados do buffer no WAS.

Para solucionar este problema, analise o processo de trabalho para verificar se ele contém um código de usuário suspeito. Verifique os módulos carregados. Se a ISAPI ou módulos de terceiros estiverem sendo executados, entre em contato com o fornecedor dos módulos para obter mais informações.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.6.2.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>