装了IIS服务组件后,系统就会生成ISUR和IWAM这两个帐户。
(1)IUSER是Internet 来宾帐户,匿名访问 Internet 信息服务的内置帐户
(2)IWAM是启动 IIS 进程帐户,用于启动进程外应用程序的 Internet 信息服务的内置帐户
IUSR_ComputerName和IWAM_ComputerName帐号保存在三个位置:
1、User Manager for Domains (Windows NT) or Local Users and Groups (Windows XP),系统的SAM文件中。
2、Microsoft Transaction Server (Windows NT) or Component Services (Windows XP) ,系统的SAM文件中。
3、Internet Information Server (IIS) 的METADATA数据文件中。
如果三个位置的用户名和密码不能同步,就会出现错误,造成asp文件不能访问,出现HTTP错误,例如HTTP-500内部服务器错误。
在 Windows NT 4.0 中尝试获取密码时,密码显示为明文;但在 Windows XP 中,密码显示为星号。若要在 Windows XP中也让密码显示为明文,必须修改 Adsutil.vbs,使它显示明码。为此,打开C:\Inetpub\AdminScripts\adsutil.vbs,找到631行:
631 If (IsSecureProperty(ObjectParameter,MachineName) = True) Then
将True修改为False。
命令行修改脚本文件AdminScripts|adsutil.vbs需要调用csript.exe,获取或设置IIS密码的命令是cscript.exe adsutil.vbs get/set xxxxxx
在CMD下运行如下命令
C:\Documents and Settings\Administrator>cd /d c:\Inetpub\Adminscripts
// (1)获取IWAM和IUSR账户密码
// 获取 IWAM 帐户密码
C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs get w3svc/wamuserpass
// 获取 IUSR 帐户密码
C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs get w3svc/anonymoususerpass
(一)更改NT账户中IWAM_MACHINENAME和IUSR_MACHINENAME账户密码
因IWAM账号的密码由系统控制,随机产生,我们并不知道是什么,为完成下面两步的密码同步工作,我们必须将IWAM账号的密码设置为一个我们知道的值。
开始à程序à管理工具à计算机管理à本地用户和组à用户à右击“IWAM_MACHINENAME”,选择“重设密码(T)...”,在跳出的重设密码对方框中给IWAM_MACHINENAME设置新的密码,例如password1。同样设置IUSR_MACHINENAME的密码为password2。
(二)同步IIS metabase中IWAM_MachineName账号的密码
微软并没有为我们修改IIS metabase中IWAM_MachineName账号密码提供一个显式的用户接口,只随IIS5提供了一个管理脚本adsutil.vbs,这个脚本位于C:\inetpub\adminscripts
子目录下(位置可能会因你安装IIS5时设置的不同而有所变动)。
脚本修改IWAM_MachineName账号密码的方法如下:
// 设置IWAM_MachineName密码为password1
C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set w3svc/wamuserpass password1
修改成功后,系统会有如下提示:WAMUserPass: (String) "******"
(三)同步IIS metabase中IUSR_MachineName账号的密码
// 同步IUSR_MachineName密码为password2
C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set w3svc/anonymoususerpass password2
(四)同步COM+应用程序所用的IWAM_MachineName的密码
同步COM+应用程序所用的IWAM_MachineName的密码,我们有两种方式可以选择:一种是使用组件服务MMC管理单元,另一种是使用IWAM账号同步脚本synciwam.vbs。
1、使用组件服务MMC管理单元
(1)启动组件服务管理单元:选择“开始”->“运行”->“MMC”,启动管理控制台,打开“添加/删除管理单元”对话框,将“组件服务”管理单元添加上。
(2)找到“组件服务”->“计算机”->“我的电脑”->“COM+应用程序”->“Out-Of-Process Pooled Applications”,右击“Out-Of-Process Pooled Applications”->“属性”。
如果没有错误,则直接跳至(3)。
若COM+应用程序展开时出现“编录错误”:执行最后操作时发生错误。错误代码8004E00F—COM+无法与Microsoft 分布式事务协调程序交谈。
由提示可知是Microsoft 分布式事务协调程序(对应Microsoft Distributed Transaction Coordinator服务)的问题,
进入服务,发现Distributed Transaction Coordinator服务未启动,右键启动出现错误“服务”:Windows不能在本地计算机启动Distributed Transaction Coordinator。……参考特定服务错误代码—1073737712。
进入CMD命令行,依次执行以下命令卸载、重装MSDTC服务。
<1>停止MSDTC服务
C:\Documents and Settings\Administrator>net stop msdtc
Distributed Transaction Coordinator 服务正在停止.
Distributed Transaction Coordinator 服务已成功停止。
<2>卸载MSDTC服务
C:\Documents and Settings\Administrator>msdtc -uninstall
<3>重新安装MSDTC服务
C:\Documents and Settings\Administrator>msdtc -install
<4>启动MSDTC服务
C:\Documents and Settings\Administrator>net start msdtc
Distributed Transaction Coordinator 服务正在启动 .
Distributed Transaction Coordinator 服务已经启动成功。
(3)切换到“Out-Of-Process Pooled Applications”属性对话框的“标志”选项卡。“此应用程序在下列账户下运行”选择中“此用户”会被选中,用户名是“IWAM_MACHINENAME”。这些都是缺省的,不必改动。在下面的“密码”和“确认密码”文本框内输入正确的密码“password1”,确定退出。
(4)系统如果提示“应用程序被一个以上的外部产品创建。你确定要被这些产品支持吗?”时确定即可。
如果我们在IIS中将其它一些Web的“应用程序保护”设置为“高(独立的)”,那么这个WEB所使用的COM+应用程序的IWAM账号密码也需要同步,重复(1)到(4)。
2、使用IWAM账号同步脚本synciwam.vbs
实际上微软已经发现IWAM账号在密码同步方面存在问题,因此在IIS5的管理脚本中单独为IWAM账号密码同步编写了一个脚本synciwam.vbs,这个脚本位于C:\inetpub\adminscripts子目录下(位置可能会因你安装IIS5时设置的不同而有所变动)。
synciwam.vbs脚本用法比较简单:cscript synciwam.vbs [-v|-h]
“-v”参数表示详细显示脚本执行的整个过程(建议使用),“-h”参数用于显示简单的帮助信息。
我们要同步IWAM_MACHINENAME账号在COM+应用程序中的密码,只需要执行“cscript synciwam.vbs -v”即可,如下:
// 同步IWAM_MachineName账号在COM+应用程序中的密码
C:\Inetpub\AdminScripts>cscript.exe synciwam.vbs -v
从上面脚本的执行情况可以看出,使用synciwam.vbs脚本要比使用组件服务的方法更全面和快捷。它首先从IIS的metabase数据库找到IWAM账号"IWAM_MACHINENAME"并取出对应的密码“password1”,然后查找所有已定义的IIS Applications和Out of process applications,并逐一同步每一个Out of process applications应用程序的IWAM账号密码。
使用synciwam.vbs脚本时,要注意一个问题,那就是在你运行synciwam.vbs之前,必须保证IIS metabase数据库与Active Directory中的IWAM密码已经一致。因为synciwam.vbs脚本是从IIS metabase数据库而不是从Active Directory取得IWAM账号的密码,如果IIS metabase中的密码不正确,那synciwam.vbs取得的密码也会不正确,同步操作执行到“Updating Applications”系统就会报80110414错误,即“找不到应用程序{3D14228D-FBE1-11D0-995D-00C04FD919C1}”。
到现在为止,IWAM账号在Active Directory、IIS metabase数据库和COM+应用程序三处的密码已经同步成功,IIS站点又可以访问了!
如果访问localhost还是出现HTTP—500错误,右击IIS网站à默认网站à属性à目录安全性à匿名访问和身份验证控制à编辑à修改IUSR账户密码为password2,并去掉“允许IIS控制密码”前的钩(?),重启IIS。
如果以前设置有误,则可以从头开始设置:
(1) 卸载重装IIS组件,卸载重装MSDTC服务。
(2) 通过cscript.exe adsutil.vbs get w3svc/wamuserpass和w3svc/anonymoususerpass获取IWAM和IUSR密码,假设分别为password1和password2。
(3) 手动同步“计算机管理à本地用户和组à用户”中IWAM和IUSR密码,分别为password1和password2。
(4) 同步COM+应用程序所用的IWAM密码为password1。
(5) 如果访问localhost还是出现HTTP—500错误,右击IIS网站à默认网站à属性à目录安全性à匿名访问和身份验证控制à编辑à修改IUSR账户密码为password2,并去掉“允许IIS控制密码”前的钩。
参考:
《IIS和内置账户》
http://doc.51windows.net/iismmc/?url=/iismmc/htm/sec_acc_wpprivileges.htm
《How IIS authenticates browser clients》
http://support.microsoft.com/kb/264921/
《密码同步/允许IIS控制密码可能会出现问题》
http://support.microsoft.com/kb/216828/zh-cn
《IIS HTTP500内部错误解决方案》
评论