很多朋友在用IIS6架网站的时候遇到不少问题,而这些问题有些在过去的IIS5里面就遇到过,有些是新出来的,俺忙活了一下午,做了很多次试验,结合以前的排错经验,做出了这个总结,希望能给大家帮上忙: 问题1:未启用父路径
1 |: k2 |" Q$ U* I$ P
" g/ x: e( z0 \! K; m! F5 E 症状举例:
9 }4 \; R% e8 c' v+ v9 F0 J) C# |8 r# l* N3 _
Server.MapPath() 错误 ASP 0175 : 80004005
* R; h7 W" q L! }: P. w" h$ R7 b4 W# l" m1 z
不允许的 Path 字符1 ?# a2 Z+ _) L3 r/ d2 }
1 `7 l( b% S# Q
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
& I6 @: D$ d6 ]' R% P: X5 l" H! E e6 Y- }
在 MapPath 的 Path 参数中不允许字符 ...- k+ P! t9 [6 h
9 @9 s& ]6 T9 r7 m/ M
原因分析:+ q- A$ \- ]4 H
; l. b7 l% R/ I+ j7 p5 n
许多Web页面里要用到诸如../格式的语句(即回到上一层的页面,也就是父路径),而IIS6.0出于安全考虑,这一选项默认是关闭的.' F# e8 i J5 A3 S
; \% k& {9 b5 z9 Y$ ^ 解决方法:
% r( X. }5 v5 F& d1 [4 I, n3 i# P. G$ _9 k1 P- I+ l8 l, x( y3 S
在IIS中属性->主目录->配置->选项中.把"启用父路径"前面打上勾.确认刷新.9 u# e9 t, ^; z" F# J+ t
7 I& C/ x; {" R) }3 ]" h
问题2:ASP的Web扩展配置不当(同样适用于ASP.NET、CGI)* U2 m/ E* E, r% _/ [
. M$ F7 U8 c3 b. s
症状举例:
{/ y6 L* Z9 D8 p
: ^! k( I8 S( e3 t8 E7 `5 _6 k HTTP 错误 404 - 文件或目录未找到. y$ V( f) I$ L9 I0 W: B0 A+ y
, S+ l1 n: T% @3 E
原因分析:9 ~1 Y5 c P$ k7 _$ [
$ `8 C+ a8 h8 b% G, E3 h
在IIS6.0中新增了web程序扩展这一选项,你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止,默认情况下ASP等程序是禁止的.( M/ K% P _" B2 G, }% }; {
+ c! Z: z/ a/ T6 U' x 解决方法:) \( J ~7 y6 d5 E
/ R C. ~) i; [% Y) t |( |* g 在IIS中的Web服务扩展中选中Active Server Pages,点击"允许".
9 W- @) x' R& T6 p, M9 b; b! J% c/ o% o6 b- G# k
问题3:身份认证配置不当
/ N0 }# i& S0 A" U7 p0 N5 `1 w1 {, d% J. q# e
症状举例:
8 L: G; h; m# b7 z E" d$ J( O: C) t. [4 D; D4 [
HTTP 错误 401.2 - 未经授权:访问由于服务器配置被拒绝.; q$ B2 d! B/ p9 o f0 Y" `
3 ?& T% d6 o2 i! A8 l' S0 e 原因分析:IIS 支持以下几种 Web 身份验证方法:6 _: L& [) d/ N" Y5 q
7 g! _8 h% o3 E- r8 G5 I 匿名身份验证
% X1 Z+ V3 O, v3 D: v
" w7 b! t' }: _ IIS 创建 IUSR_计算机名称 帐户(其中 计算机名称 是正在运行 IIS 的服务器的名称),用来在匿名用户请求 Web 内容时对他们进行身份验证.此帐户授予用户本地登录权限.你可以将匿名用户访问重置为使用任何有效的 Windows 帐户.6 B9 I$ j5 [' x3 \
# g1 S- F, B$ Y9 V
基本身份验证9 F& n' t* ?% R. w9 c+ D6 |; s0 I
$ a L) K4 `5 V- B% F
使用基本身份验证可限制对 NTFS 格式 Web 服务器上的文件的访问.使用基本身份验证,用户必须输入凭据,而且访问是基于用户 ID 的.用户 ID 和密码都以明文形式在网络间进行发送.& V# s. ?* L f! g3 B
% i* j; C% `/ `8 M Windows 集成身份验证- }: `; L( C. @" i
* S* V& x ^1 }3 w/ m% L4 ]3 Q% O0 v
Windows 集成身份验证比基本身份验证安全,而且在用户具有 Windows 域帐户的内部网环境中能很好地发挥作用.在集成的 Windows 身份验证中,浏览器尝试使用当前用户在域登录过程中使用的凭据,如果尝试失败,就会提示该用户输入用户名和密码.如果你使用集成的 Windows 身份验证,则用户的密码将不传送到服务器.如果该用户作为域用户登录到本地计算机,则他在访问此域中的网络计算机时不必再次进行身份验证.
( d2 P+ | t# r: {% w
1 m* U! n1 \9 a 摘要身份验证
5 N1 W, s' u% m) b5 {4 z& [
0 ]$ v0 H- z C8 P 摘要身份验证克服了基本身份验证的许多缺点.在使用摘要身份验证时,密码不是以明文形式发送的.另外,你可以通过代理服务器使用摘要身份验证.摘要身份验证使用一种挑战/响应机制(集成 Windows 身份验证使用的机制),其中的密码是以加密形式发送的.
, h. d: Z; F" I4 ^' s1 I4 e% u9 J' A) i5 w; ~3 J/ X
.NET Passport 身份验证1 v; ^% c! V0 E$ {' W
' o C* G* H6 E& k3 \& _1 [ Microsoft .NET Passport 是一项用户身份验证服务,它允许单一签入安全性,可使用户在访问启用了 .NET Passport 的 Web 站点和服务时更加安全.启用了 .NET Passport 的站点会依靠 .NET Passport 中央服务器来对用户进行身份验证.但是,该中心服务器不会授权或拒绝特定用户访问各个启用了 .NET Passport 的站点.
! P2 [0 g) G9 _$ X9 d) z7 T6 Z1 O% ?$ S8 d- V& C$ E! {
解决方法:2 I( G: O. s$ ^. d) |8 N% \; u2 r
: @4 s9 F( ^( U T o 根据需要配置不同的身份认证(一般为匿名身份认证,这是大多数站点使用的认证方法).认证选项在IIS的属性->安全性->身份验证和访问控制下配置; o& ~! Y' Y6 `6 B/ X
8 t& s7 [" e: x% Z5 |4 Y 问题4:IP限制配置不当$ `8 \; Y; Y6 t3 W4 i. I
4 p: R# \7 [- ~" h3 m
症状举例:: x* E7 R1 ^$ y7 f2 [
3 O s7 ]" p5 ]8 T8 l- y
HTTP 错误 403.6 - 禁止访问:客户端的 IP 地址被拒绝. P; d4 c' E& N
4 e9 Q/ ~; S8 R( k& O( [6 ^ 原因分析:- H/ E) O3 i" F3 }" C% f+ v, q) f
" ?" y9 l& f) e# E IIS提供了IP限制的机制,你可以通过配置来限制某些IP不能访问站点,或者限制仅仅只有某些IP可以访问站点,而如果客户端在被你阻止的IP范围内,或者不在你允许的范围内,则会出现错误提示.
6 r R% F4 [ | w! R( Y$ N1 A: U1 r( C8 P% S
解决方法:" q ~, i: N2 y) r) V
' K# P l5 }7 }, x$ y) Q: x7 B
进入IIS的属性->安全性->IP地址和域名限制.如果要限制某些IP地址的访问,需要选择授权访问,点添加选择不允许的IP地址.反之则可以只允许某些IP地址的访问.
8 _3 g' r/ V0 v& k
& K9 ~( B! y; {6 X% s4 a 问题5:IUSR账号被禁用" |. d3 A5 L. g: A% P& w f+ L
1 K K- r+ @5 } 症状举例:, _$ j0 D- o9 K) H h4 S9 Z3 c I
4 L0 F8 g3 g; h4 ~ HTTP 错误 401.1 - 未经授权:访问由于凭据无效被拒绝.* Z8 ?( E8 d1 V8 B, d% j2 b- m
9 L: p% k% o* g$ A4 R2 _ 原因分析:
+ P6 m* O$ t# G/ K) I$ {) @- l5 e, a2 L) u5 C
由于用户匿名访问使用的账号是IUSR_机器名,因此如果此账号被禁用,将造成用户无法访问.
) g! g: u3 F T/ z O, k
4 A& }9 ~+ N6 a! p: j6 H6 h 解决办法:1 g' @' [$ M' }3 b
- _) H# z# W' _% l
控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用.
* ~( t: u) l/ }) _4 C5 c# l0 |9 i w1 p4 T; Z& v
问题6:NTFS权限设置不当
5 N2 Z2 }' U. ]4 F" }" g# h# W$ u0 ^' r
症状举例:$ y# f& I1 L$ e1 `9 J8 E
: l$ y( @+ U" c1 X. T+ Z
HTTP 错误 401.3 - 未经授权:访问由于 ACL 对所请求资源的设置被拒绝.
t1 w% Q3 j$ N! \0 j% Z
( Y' ~* T# D" ^( V; z# b 原因分析:
% N# b+ t* I+ y% Y! Z: `4 ?) v4 B/ q; p
Web客户端的用户隶属于user组,因此,如果该文件的NTFS权限不足(例如没有读权限),则会导致页面无法访问.
y9 W4 p% _- M% v' y
+ z: M/ s% K# v8 t 解决办法:
; i; M' n; B) A, z) Q
, |) C3 v" N) h& V: h 进入该文件夹的安全选项卡,配置user的权限,至少要给读权限.关于NTFS权限设置这里不再馈述.3 c: ?* x! V9 L1 y W
5 f% p- d1 n8 K5 S
问题7:IWAM账号不同步
3 O" T) [& [5 B) j' `5 X% l/ n M4 Z) \5 ?8 @5 o6 G1 P" h( r+ w: z
症状举例:1 K1 d9 _' `1 P1 F
+ N3 n4 p1 W+ h, R
HTTP 500 - 内部服务器错误
7 K9 [: C7 _1 h5 p' ^9 @3 f! W# C* B+ b: @- C& q" ]
原因分析:
+ p5 T" v; R+ R! k( Q) T3 F' X% L2 A- b- c5 _5 [8 `9 n" d
IWAM账号是安装IIS时系统自动建立的一个内置账号.IWAM账号建立后被Active Directory、IIS metabase数据库和COM+应用程序三方共同使用,账号密码被三方分别保存,并由操作系统负责这三方保存的IWAM密码的同步工作.系统对IWAM账号的密码同步工作有时会失效,导致IWAM账号所用密码不统一.$ {$ @1 H+ l/ e, d2 N
! M. H1 D! i; m/ J; ^8 G1 H
解决办法:1 }- o8 v- h6 x Y- L, c
$ G6 q4 J( Y7 g% m1 `! X 如果存在AD,选择开始->程序->管理工具->Active Directory用户和计算机.为IWAM账号设置密码.
# ~- A- ? \# B
& r) ?' C' ]2 g( ]$ g 运行c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass +密码 同步IIS metabase数据库密码
, r$ y! w7 |! V8 N+ O g/ g) P; Y& _" {
运行cscript c:\inetpub\adminscripts\synciwam.vbs -v 同步IWAM账号在COM+应用程序中的密码
2 a: w; c; r% z/ x. @, [
3 g, I1 @( ^& X& y4 q3 Z6 Q 问题8:MIME设置问题导致某些类型文件无法下载(以ISO为例)
2 A* U% G7 ?( ~* R* I8 Z9 X6 g) k
症状举例:6 Q1 e9 G# w( [2 C+ v
$ g1 Q9 Y0 g5 a }: d, k" ^
HTTP 错误 404 - 文件或目录未找到.
) Q$ g2 o8 k. V/ W. n& f
- o4 ^, |; k4 n3 E c8 e 原因分析:
+ T" I% w' `; R0 S, d" A1 y$ g/ _4 \5 G
IIS6.0取消了对某些MIME类型的支持,例如ISO,致使客户端下载出错.8 f/ |- g6 u- Y$ l
+ z; c9 j7 W* I ?, C6 A
解决方法:) L& j# q% d7 v
$ b' K0 b6 v6 T. k1 p- V; c
在IIS中属性->HTTP头->MIME类型->新建.在随后的对话框中,扩展名填入.ISO,MIME类型是application.$ K) ?0 N/ h) ?
# c' L3 A- a; l) Z 另外,防火墙阻止,ODBC配置错误,Web服务器性能限制,线程限制等因素也是造成IIS服务器无法访问的可能原因,这里就不再一一馈述了., u2 \+ x3 S {5 T7 S
|
