装了IIS服务组件后，系统就会生成ISUR和IWAM这两个帐户。 （1）IUSER是Internet 来宾帐户，匿名访问 Internet 信息服务的内置帐户 （2）IWAM是启动 IIS 进程帐户，用于启动进程外应用程序的 Internet 信息服务的内置帐户 IUSR_ComputerName和IWAM_ComputerName帐号保存在三个位置： 1、User Manager for Domains (Windows NT) or Local Users and Groups (Windows XP)，系统的SAM文件中。 2、Microsoft Transaction Server (Windows NT) or Component Services (Windows XP) ，系统的SAM文件中。 3、Internet Information Server (IIS) 的METADATA数据文件中。 如果三个位置的用户名和密码不能同步，就会出现错误，造成asp文件不能访问，出现HTTP错误，例如HTTP-500内部服务器错误。 在 Windows NT 4.0 中尝试获取密码时，密码显示为明文；但在 Windows XP 中，密码显示为星号。若要在 Windows XP中也让密码显示为明文，必须修改 Adsutil.vbs，使它显示明码。为此，打开C:\Inetpub\AdminScripts\adsutil.vbs，找到631行： 631    If (IsSecureProperty(ObjectParameter,MachineName) = True) Then 将True修改为False。 命令行修改脚本文件AdminScripts|adsutil.vbs需要调用csript.exe，获取或设置IIS密码的命令是cscript.exe adsutil.vbs get/set xxxxxx 在CMD下运行如下命令 C:\Documents and Settings\Administrator>cd /d c:\Inetpub\Adminscripts // （1）获取IWAM和IUSR账户密码 // 获取 IWAM 帐户密码 C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs get w3svc/wamuserpass // 获取 IUSR 帐户密码 C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs get w3svc/anonymoususerpass （一）更改NT账户中IWAM_MACHINENAME和IUSR_MACHINENAME账户密码  因IWAM账号的密码由系统控制，随机产生，我们并不知道是什么，为完成下面两步的密码同步工作，我们必须将IWAM账号的密码设置为一个我们知道的值。    开始à程序à管理工具à计算机管理à本地用户和组à用户à右击“IWAM_MACHINENAME”，选择“重设密码(T)...”，在跳出的重设密码对方框中给IWAM_MACHINENAME设置新的密码，例如password1。同样设置IUSR_MACHINENAME的密码为password2。 （二）同步IIS metabase中IWAM_MachineName账号的密码  微软并没有为我们修改IIS metabase中IWAM_MachineName账号密码提供一个显式的用户接口，只随IIS5提供了一个管理脚本adsutil.vbs，这个脚本位于C:\inetpub\adminscripts 子目录下（位置可能会因你安装IIS5时设置的不同而有所变动）。 脚本修改IWAM_MachineName账号密码的方法如下： // 设置IWAM_MachineName密码为password1 C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set w3svc/wamuserpass password1 修改成功后，系统会有如下提示：WAMUserPass: (String) "******"  （三）同步IIS metabase中IUSR_MachineName账号的密码 // 同步IUSR_MachineName密码为password2 C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set w3svc/anonymoususerpass password2 （四）同步COM+应用程序所用的IWAM_MachineName的密码 同步COM+应用程序所用的IWAM_MachineName的密码，我们有两种方式可以选择:一种是使用组件服务MMC管理单元，另一种是使用IWAM账号同步脚本synciwam.vbs。 1、使用组件服务MMC管理单元 （1）启动组件服务管理单元：选择“开始”->“运行”->“MMC”，启动管理控制台,打开“添加/删除管理单元”对话框,将“组件服务”管理单元添加上。 （2）找到“组件服务”->“计算机”->“我的电脑”->“COM+应用程序”->“Out-Of-Process Pooled Applications”，右击“Out-Of-Process Pooled Applications”->“属性”。 如果没有错误，则直接跳至（3）。 若COM+应用程序展开时出现“编录错误”：执行最后操作时发生错误。错误代码8004E00F—COM+无法与Microsoft 分布式事务协调程序交谈。 由提示可知是Microsoft 分布式事务协调程序（对应Microsoft Distributed Transaction Coordinator服务）的问题， 进入服务，发现Distributed Transaction Coordinator服务未启动，右键启动出现错误“服务”：Windows不能在本地计算机启动Distributed Transaction Coordinator。……参考特定服务错误代码—1073737712。 进入CMD命令行，依次执行以下命令卸载、重装MSDTC服务。 <1>停止MSDTC服务 C:\Documents and Settings\Administrator>net stop msdtc Distributed Transaction Coordinator 服务正在停止. Distributed Transaction Coordinator 服务已成功停止。 <2>卸载MSDTC服务 C:\Documents and Settings\Administrator>msdtc -uninstall <3>重新安装MSDTC服务 C:\Documents and Settings\Administrator>msdtc -install <4>启动MSDTC服务 C:\Documents and Settings\Administrator>net start msdtc Distributed Transaction Coordinator 服务正在启动 . Distributed Transaction Coordinator 服务已经启动成功。 （3）切换到“Out-Of-Process Pooled Applications”属性对话框的“标志”选项卡。“此应用程序在下列账户下运行”选择中“此用户”会被选中，用户名是“IWAM_MACHINENAME”。这些都是缺省的，不必改动。在下面的“密码”和“确认密码”文本框内输入正确的密码“password1”，确定退出。 （4）系统如果提示“应用程序被一个以上的外部产品创建。你确定要被这些产品支持吗？”时确定即可。 如果我们在IIS中将其它一些Web的“应用程序保护”设置为“高（独立的）”,那么这个WEB所使用的COM+应用程序的IWAM账号密码也需要同步,重复（1）到（4）。 2、使用IWAM账号同步脚本synciwam.vbs 实际上微软已经发现IWAM账号在密码同步方面存在问题，因此在IIS5的管理脚本中单独为IWAM账号密码同步编写了一个脚本synciwam.vbs，这个脚本位于C:\inetpub\adminscripts子目录下（位置可能会因你安装IIS5时设置的不同而有所变动）。 synciwam.vbs脚本用法比较简单：cscript synciwam.vbs [-v|-h] “-v”参数表示详细显示脚本执行的整个过程(建议使用)，“-h”参数用于显示简单的帮助信息。  我们要同步IWAM_MACHINENAME账号在COM+应用程序中的密码，只需要执行“cscript synciwam.vbs -v”即可，如下： // 同步IWAM_MachineName账号在COM+应用程序中的密码 C:\Inetpub\AdminScripts>cscript.exe synciwam.vbs -v 从上面脚本的执行情况可以看出，使用synciwam.vbs脚本要比使用组件服务的方法更全面和快捷。它首先从IIS的metabase数据库找到IWAM账号"IWAM_MACHINENAME"并取出对应的密码“password1”，然后查找所有已定义的IIS Applications和Out of process applications，并逐一同步每一个Out of process applications应用程序的IWAM账号密码。 使用synciwam.vbs脚本时，要注意一个问题，那就是在你运行synciwam.vbs之前，必须保证IIS metabase数据库与Active Directory中的IWAM密码已经一致。因为synciwam.vbs脚本是从IIS metabase数据库而不是从Active Directory取得IWAM账号的密码，如果IIS metabase中的密码不正确，那synciwam.vbs取得的密码也会不正确，同步操作执行到“Updating Applications”系统就会报80110414错误，即“找不到应用程序{3D14228D-FBE1-11D0-995D-00C04FD919C1}”。 到现在为止，IWAM账号在Active Directory、IIS metabase数据库和COM+应用程序三处的密码已经同步成功，IIS站点又可以访问了！  如果访问localhost还是出现HTTP—500错误，右击IIS网站à默认网站à属性à目录安全性à匿名访问和身份验证控制à编辑à修改IUSR账户密码为password2，并去掉“允许IIS控制密码”前的钩（？）,重启IIS。   如果以前设置有误，则可以从头开始设置： （1）        卸载重装IIS组件，卸载重装MSDTC服务。 （2）        通过cscript.exe adsutil.vbs get w3svc/wamuserpass和w3svc/anonymoususerpass获取IWAM和IUSR密码，假设分别为password1和password2。 （3）        手动同步“计算机管理à本地用户和组à用户”中IWAM和IUSR密码，分别为password1和password2。 （4）        同步COM+应用程序所用的IWAM密码为password1。 （5）        如果访问localhost还是出现HTTP—500错误，右击IIS网站à默认网站à属性à目录安全性à匿名访问和身份验证控制à编辑à修改IUSR账户密码为password2，并去掉“允许IIS控制密码”前的钩。   参考： 《IIS和内置账户》 http://doc.51windows.net/iismmc/?url=/iismmc/htm/sec_acc_wpprivileges.htm 《How IIS authenticates browser clients》 http://support.microsoft.com/kb/264921/ 《密码同步/允许IIS控制密码可能会出现问题》 http://support.microsoft.com/kb/216828/zh-cn 《IIS HTTP500内部错误解决方案》 http://tieba.baidu.com/f?kz=13975900

评论