本文逐步介绍当 ASP (Active Server Pages) 在 Internet 信息服务 (IIS) 5.0 Web 服务器上停止响应时所采取的故障排除步骤。平台可以是任意版本的 Windows 2000。
如何排除 IIS 5.0 中的 ASP 故障
注意:在开始之前,请确保在所讨论的 Web 服务器上打开了 .html 或 .htm 文件。如果这些文件未打开,则不属于 ASP 问题。 1. 如果 Global.asa 文件位于 Web 站点的根目录中,请将其重命名为 Global.old,停止并重新启动 Web 服务,然后在记事本中使用以下代码创建一个 ASP 测试页:
<%
Response.Write "This is a test ASP page."
%>
在您的 Web 站点的根目录中将该文件另存为 Test.asp,并尝试在 Web 服务器上打开该文件。
如果在执行该步骤后,Web 浏览器中加载了 ASP 页,则 Global.asa 文件存在问题。如果 ASP 页仍未加载,请接着执行步骤 2。
有关 Global.asa 文件故障排除方面的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
288245 PRB:Global.asa Does Not Fire from Personal Web Server on Windows 98
265275 FP2000: Global.asa Does Not Run in FrontPage Web
173742 FIX: Global.asa Is Not Executed If Restricting Web Access
2. 将 Web 站点的应用程序保护设置为低,然后停止并重新启动 IISAdmin 服务。如果在执行此步骤后 Web 浏览器中加载了 ASP 页,则 IWAM 帐户存在问题,您可以接着执行步骤 3。如果 ASP 页仍未加载,请检查管理工具中的组件服务以确保可以查看 IIS 程序包。这可确保组件服务没有故障。确保在本地用户组中存在以下用户: • NT AUTHORITY\Authenticated Users
• NT AUTHORITY\INTERACTIVE
有关组件服务管理单元故障排除方面的更多信息,请参阅以下知识库文章:
301919 PRB:Cannot Expand 'My Computer' in Component Services MMC Snap-In
3. 如果在执行步骤 2 后 Web 浏览器中加载了 ASP 页,请将站点的应用程序保护级别重新设为中或高,并将 IWAM 帐户添加到本地管理员组中。如果在执行此步骤后 Web 浏览器中加载了 ASP 页,则存在与 IWAM 帐户有关的权限问题,您可以接着执行步骤 4。如果 ASP 页仍未加载,请从命令行运行 Synciwam.vbs 实用工具。为此,请打开命令提示窗口并键入 C:\Inetpub\adminscripts>cscript synciwam.vbs。 有关 IWAM 用户帐户导致 ASP 出现故障的情况的其他信息,请参阅下列知识库文章:
308622 HOW TO:从命令提示符执行 IIS 中的管理任务
297989 PRB:为 IWAM 帐户配置的标识不正确
255770 PRB:运行进程外 Web 时出现"Logon Failure: Unknown User Name or Bad Password"(登录失败:未知的用户名或错误密码)错误信息
236007 Domain Controller Demotion Causes Out-of-Process Applications to Fail
4. 要解决 IWAM 帐户的权限问题,请使用适用于 Windows 2000 的 Regmon 和 Filemon 第三方产品。要下载这些实用工具,请参见下面的 Web 站点:
http://www.sysinternals.com请在请求 ASP 页的同时运行这些实用工具,然后针对 Dllhost.exe 进程,在 Regmon 中搜索"ACCDENIED",在 Filemon 中搜索"FAILURE"。
注意:如果对于 Iexplore.exe (Microsoft Internet Explorer) 进程,出现"access denied"(拒绝访问)错误信息,请不要惊慌。这是正常现象。
有关 IIS 正常运行所需的最小权限的更多信息,请参阅下列知识库文章:
271071 IIS 5.0 工作时需要的最小 NTFS 权限
在识别针对 Dllhost.exe 进程的"access denied"(拒绝访问)错误信息后,请使用 Regedt32 在注册表中对 NTFS 权限进行必要的修改。
5. 在系统事件日志中,查找以下事件:
Source:DCOM
Event ID: 10010
User:NT AUTHORITY\SYSTEM
Description:The server {3D14228D-FBE1-11D0-995D-00C04FD919C1} did not register with DCOM within the required timeout.
在事件日志中,该错误信息之后还有与下面内容类似的警告消息:
Source:W3SVC
Event ID: 36
User:N/A
Description:The server failed to load application 'AppPath'.The error was 'Server execution failed'.
%SystemRoot%\Iis5.log 文件中也可能出现与下面内容类似的条目:
OC_ABOUT_TO_COMMIT_QUEUE:Unreg iis_core:FindModules:FindProcessByNameW failed!
如果收到上述错误信息,则 NT AUTHORITY\Authenticated Users 或 NT AUTHORITY\INTERACTIVE 项已经被从用户组中删除。要解决该问题,请确保 Authenticated Users 和 INTERACTIVE 是该计算机的用户组的成员。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
327153 PRB:无法处理 ASP 页并且在系统日志中出现 DCOM 事件 10010
6. 实在迫不得已,您可以重新创建 IIS 程序包。为此,请按照下列步骤操作: a. 浏览至"组件服务"并删除下列程序包:注意:要删除这些程序包,必须首先打开程序包的属性,单击高级选项卡,然后单击以清除禁止删除复选框。
• IIS In-Process Applications
• IIS Out-of-Process Pooled Applications
• IIS Utilities
b. 打开命令提示窗口,然后使用以下命令切换目录:
cd %windir%\system32\inetsrv
c. 运行以下命令:
rundll32 wamreg.dll, CreateIISPackage
注意:必须准确键入"CreateIISPackage";它区分大小写。
regsvr32 asptxn.dll
d. 关闭并重新打开"组件服务"。您应看到已经重新创建的所有这三个 IIS COM+ 应用程序。
e. 从命令行运行 IISRESET,并对先前未正确加载的任意 ASP 页进行测试
错误表现
iis5的http
500内部服务器错误是我们经常碰到的错误之一,它的主要错误表现就是asp程序不能浏览但htm静态网页不受影响。另外当错误发生时,系统事件日志和安全事件日志都会有相应的记录。
具体如下:
(一)ie中的表现
当浏览以前能够正常运行的asp页面时会出现如下的错误:
网页无法显示
您要访问的网页存在问题,因此无法显示。
请尝试下列操作:
打开
http://127.0.0.1/ 主页,寻找指向所需信息的链接。
单击刷新按钮,或者以后重试。
http 500 - 内部服务器错误
internet 信息服务
技术信息(支持个人)
详细信息:
microsoft 支持
或者是:
server application error
the server has encountered an error while loading an application
during the processing of your request. please refer to the event log
for more detail information. please contact the server administrator
for assistance.
(二)安全日志记录(2条)
事件类型: 失败审核
事件来源: security
事件种类: 登录/注销
事件 id: 529
日期: 2001-9-9
事件: 11:17:07
用户: nt authority\system
计算机: myserver
描述:
登录失败:
原因: 用户名未知或密码错误
用户名: iwam_myserver
域: mydom
登录类型: 4
登录过程: advapi
身份验证程序包: microsoft_authentication_package_v1_0
工作站名: myserver
事件类型: 失败审核
事件来源: security
事件种类: 帐户登录
事件 id: 681
日期: 2001-9-9
事件: 11:17:07
用户: nt authority\system
计算机: myserver
描述:
登录到帐户: iwam_myserver
登录的用户: microsoft_authentication_package_v1_0
从工作站: myserver
未成功。错误代码是: 3221225578
(三)系统日志中的记录(2条)
事件类型: 错误
事件来源: dcom
事件种类: 无
事件 id: 10004
日期: 2001-9-9
事件: 11:20:26
用户: n/a
计算机: myserver
描述:
dcom 遇到错误“无法更新密码。提供给新密码的值包含密码中不允许的值。 ”并且无法登录到 .\iwam_myserver
上以运行服务器:
3d14228d-fbe1-11d0-995d-00c04fd919c1}
事件类型: 警告
事件来源: w3svc
事件种类: 无
事件 id: 36
日期: 2001-9-9
事件: 11:20:26
用户: n/a
计算机: myserver
描述:
服务器未能转入应用程序 ‘/lm/w3svc/4/root‘。错误是 ‘runas 的格式必须是<域名>\<用户名>或只是<用户名>‘。
若要获取关于此消息的更多的信息,请访问 microsoft 联机支持站点:
http://www.microsoft.com/contentredirect.asp 。
二.原因分析
综合分析上面的错误表现我们可以看出,主要是由于iwam账号(在我的计算机即是iwam_myserver账号)的密码错误造成了http
500内部错误。
在详细分析http500内部错误产生的原因之前,先对iwam账号进行一下简要的介绍:iwam账号是安装iis5时系统自动建立的一个内置账号,主要用于启动进程之外的应用程序的internet信息服务。iwam账号的名字会根据每台计算机netbios名字的不同而有所不同,通用的格式是iwam_machine,即由“iwam”前缀、连接线“_”加上计算机的netbios名字组成。我的计算机的netbios名字是myserver,因此我的计算机上iwam账号的名字就是iwam_myserver,这一点与iis匿名账号isur_machine的命名方式非常相似。
iwam账号建立后被active directory、iis
metabase数据库和com+应用程序三方共同使用,账号密码被三方分别保存,并由操作系统负责这三方保存的iwam密码的同步工作。按常理说,由操作系统负责的工作我们大可放心,不必担心出错,但不知是bug还是其它什么原因,系统的对iwam账号的密码同步工作有时会失败,使三方iwam账号所用密码不统一。当iis或com+应用程序使用错误iwam的密码登录系统,启动iis
out-of-process pooled applications时,系统会因密码错误而拒绝这一请求,导致iis
out-of-process pooled applications启动失败,也就是我们在id10004错误事件中看到的“不能运行服务器
3d14228d-fbe1-11d0-995d-00c04fd919c1} ”(这里
3d14228d-fbe1-11d0-995d-00c04fd919c1} 是iis out-of-process pooled
applications的key),不能转入iis5应用程序,http 500内部错误就这样产生了。
三.解决办法
知道了导致http 500内部错误的原因,解决起来就比较简单了,那就是人工同步iwam账号在active directory、iis
metabase数据库和com+应用程序中的密码。
具体操作分三步,均需要以管理员身份登录计算机以提供足够的操作权限(iwam账号以iwam_myserver为例)。
(一)更改active directory中iwam_myserver账号的密码
因iwam账号的密码由系统控制,随机产生,我们并不知道是什么,为完成下面两步的密码同步工作,我们必须将iwam账号的密码设置为一个我们知道的值。
1、选择“开始”->“程序”->“管理工具”->"active directory用户和计算机",启动“active
directory用户和计算机”管理单元。
2、单击“user”,选中右面的“iwam_myserver”,右击选择“重设密码(t)...”,在跳出的重设密码对方框中给iwam_myserver设置新的密码,这儿我们设置成“aboutnt2001”(没有引号的),确定,等待密码修改成功。
(二)同步iis metabase中iwam_myserver账号的密码
可能因为这项改动太敏感和重要,微软并没有为我们修改iis
metabase中iwam_myserver账号密码提供一个显式的用户接口,只随iis5提供了一个管理脚本adsutil.vbs,这个脚本位于c:\inetpub\adminscripts子目录下(位置可能会因你安装iis5时设置的不同而有所变动)。
adsutil.vbs脚本功能强大,参数非常多且用法复杂,这里只提供使用这个脚本修改iwam_myserver账号密码的方法:
adsutil set w3svc/wamuserpass password
"password"参数就是要设置的iwam账号的新的密码。因此我们将iis
metabase中iwam_myserver账号的密码修改为“aboutnt2001”的命令就是:
c:\inetpub\adminscripts>adsutil set w3svc/wamuserpass "aboutnt2001"
修改成功后,系统会有如下提示:
wamuserpass: (string) "aboutnt2001"
(三)同步com+应用程序所用的iwam_myserver的密码
同步com+应用程序所用的iwam_myserver的密码,我们有两种方式可以选择:一种是使用组件服务mmc管理单元,另一种是使用iwam账号同步脚本synciwam.vbs。
1、使用组件服务mmc管理单元
(1)启动组件服务管理单元:选择“开始”->“运行”->“mmc”,启动管理控制台,打开“添加/删除管理单元”对话框,将“组件服务”管理单元添加上。
(2)找到“组件服务”->“计算机”->“我的电脑”->“com+应用程序”->“out-of-process pooled
applications”,右击“out-of-process pooled applications”->“属性”。
(3)切换到“out-of-process pooled
applications”属性对话框的“标志”选项卡。“此应用程序在下列账户下运行”选择中“此用户”会被选中,用户名是“iwam_myserver”。这些都是缺省的,不必改动。在下面的“密码”和“确认密码”文本框内输入正确的密码“aboutnt2001”,确定退出。
(4)系统如果提示“应用程序被一个以上的外部产品创建。你确定要被这些产品支持吗?”时确定即可。
(5)如果我们在iis中将其它一些web的“应用程序保护”设置为“高(独立的)”,那么这个web所使用的com+应用程序的iwam账号密码也需要同步。重复(1)-(4)步,同步其它相应out
of process application的iwam账号密码。
2、使用iwam账号同步脚本synciwam.vbs
实际上微软已经发现iwam账号在密码同步方面存在问题,因此在iis5的管理脚本中单独为iwam账号密码同步编写了一个脚本synciwam.vbs,这个脚本位于c:\inetpub\adminscripts子目录下(位置可能会因你安装iis5时设置的不同而有所变动)。
synciwam.vbs脚本用法比较简单:
cscript synciwam.vbs [-v|-h]
“-v”参数表示详细显示脚本执行的整个过程(建议使用),“-h”参数用于显示简单的帮助信息。
我们要同步iwam_myserver账号在com+应用程序中的密码,只需要执行“cscript synciwam.vbs
-v”即可,如下:
cscript c:\inetpub\adminscripts\synciwam.vbs -v
microsoft (r) windows script host version 5.6
版权所有(c) microsoft corporation 1996-2000。保留所有权利。
wamusername:iwam_myserver
wamuserpass:aboutnt2001
iis applications defined:
name, appisolated, package id
w3svc, 0, 3d14228c-fbe1-11d0-995d-00c04fd919c1}
root, 2,
iishelp, 2,
iisadmin, 2,
iissamples, 2,
msadc, 2,
root, 2,
iisadmin, 2,
iishelp, 2,
root, 2,
root, 2,
out of process applications defined:
count: 1
3d14228d-fbe1-11d0-995d-00c04fd919c1}
updating applications:
name: iis out-of-process pooled applications key:
3d14228d-fbe1-11d0-995d-00c04fd919c1}
从上面脚本的执行情况可以看出,使用synciwam.vbs脚本要比使用组件服务的方法更全面和快捷。它首先从iis的metabase数据库找到iwam账号"iwam_myserver"并取出对应的密码“aboutnt2001”,然后查找所有已定义的iis
applications和out of process applications,并逐一同步每一个out of process
applications应用程序的iwam账号密码。
使用synciwam.vbs脚本时,要注意一个问题,那就是在你运行synciwam.vbs之前,必须保证iis
metabase数据库与active directory中的iwam密码已经一致。因为synciwam.vbs脚本是从iis
metabase数据库而不是从active directory取得iwam账号的密码,如果iis
metabase中的密码不正确,那synciwam.vbs取得的密码也会不正确,同步操作执行到“updating
applications”系统就会报80110414错误,即“找不到应用程序
3d14228d-fbe1-11d0-995d-00c04fd919c1}”。
好了,到现在为止,iwam账号在active directory、iis
metabase数据库和com+应用程序三处的密码已经同步成功,你的asp程序又可以运行了!
修改成功后,系统会有如下提示:
---------------------------------------------------
经过测试,显示应该是
wamuserpass: (string) "*******"
如果以上方法仍未尝试成功,可以采取临时解决方法,即右键点击站点,选择“属性”,在“主目录”标签下,有一个“应用程序保护”,将其改为“低(IIS进程)”即可,如有虚拟目录,也要改。这样应该可以正常访问了,当然,从安全角度来说,这只是临时解决方法,如果按上面的方法你尝试不成功,最后还是得重装IIS。一个重装过的朋友告诉我他重装的经验是,先卸载,再打SP3,然后重装