Home
  •  

Arbetsprocess som betjänar programpoolen godkänns inte längre av WAS

Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Sammanfattning

Webbplatser och webbprogram är beroende på tillgången av Internet Information Services (IIS) programpooler. IIS programpooler däremot är beroende av Windows Process Activation Service (WAS). Om WAS inte körs eller fel inträffar under start eller avstängning av en programpool, kanske webbplatser och webbapplikationer inte är tillgängliga.

Lösningar

Kontrollera en arbetsprocess som inte är betrodd

En arbetsprocess har skickat oväntade data till WAS-tjänsten (Windows Process Activation Service). Användarkoden kanske försöker delta i skadliga aktiviteter i arbetsprocessen och kan ha tagit över kommunikationskanalen. En användarkod kan exempelvis skicka ett andra process-ID till WAS för arbetsprocessen eller skicka prestandaräknarnummer som inte har rätt format. Detta kan vara ett försök att skapa en buffertöverskridning i WAS.

Du kan lösa problemet genom att undersöka arbetsprocessen för att se om den innehåller misstänkt användarkod. Kontrollera de inlästa modulerna. Om ISAPI eller tredjepartsmoduler körs kontaktar du säljaren av modulerna för mer information.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.6.2.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>