正文

同步IWAM和IUSR账户解决HTTP-500错误2009-07-19 13:52:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/xman/45363.html

分享到:

装了IIS服务组件后,系统就会生成ISURIWAM这两个帐户。

1IUSERInternet 来宾帐户,匿名访问 Internet 信息服务的内置帐户

2IWAM是启动 IIS 进程帐户,用于启动进程外应用程序的 Internet 信息服务的内置帐户

IUSR_ComputerNameIWAM_ComputerName帐号保存在三个位置:

1User Manager for Domains (Windows NT) or Local Users and Groups (Windows XP),系统的SAM文件中。

2Microsoft Transaction Server (Windows NT) or Component Services (Windows XP) ,系统的SAM文件中。

3Internet Information Server (IIS) METADATA数据文件中。

如果三个位置的用户名和密码不能同步,就会出现错误,造成asp文件不能访问,出现HTTP错误,例如HTTP-500内部服务器错误。

Windows NT 4.0 中尝试获取密码时,密码显示为明文;但在 Windows XP 中,密码显示为星号。若要在 Windows XP中也让密码显示为明文,必须修改 Adsutil.vbs,使它显示明码。为此,打开C:\Inetpub\AdminScripts\adsutil.vbs,找到631行:

631    If (IsSecureProperty(ObjectParameter,MachineName) = True) Then

True修改为False

命令行修改脚本文件AdminScripts|adsutil.vbs需要调用csript.exe,获取或设置IIS密码的命令是cscript.exe adsutil.vbs get/set xxxxxx

CMD下运行如下命令

C:\Documents and Settings\Administrator>cd /d c:\Inetpub\Adminscripts

// 1)获取IWAMIUSR账户密码

// 获取 IWAM 帐户密码

C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs get w3svc/wamuserpass

// 获取 IUSR 帐户密码

C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs get w3svc/anonymoususerpass

(一)更改NT账户中IWAM_MACHINENAMEIUSR_MACHINENAME账户密码 

IWAM账号的密码由系统控制,随机产生,我们并不知道是什么,为完成下面两步的密码同步工作,我们必须将IWAM账号的密码设置为一个我们知道的值。
   
开始
à程序à管理工具à计算机管理à本地用户和组à用户à右击“IWAM_MACHINENAME”,选择重设密码(T)...”,在跳出的重设密码对方框中给IWAM_MACHINENAME设置新的密码,例如password1。同样设置IUSR_MACHINENAME的密码为password2

(二)同步IIS metabaseIWAM_MachineName账号的密码 

微软并没有为我们修改IIS metabaseIWAM_MachineName账号密码提供一个显式的用户接口,只随IIS5提供了一个管理脚本adsutil.vbs,这个脚本位于C:\inetpub\adminscripts

子目录下(位置可能会因你安装IIS5时设置的不同而有所变动)。

脚本修改IWAM_MachineName账号密码的方法如下:

// 设置IWAM_MachineName密码为password1

C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set w3svc/wamuserpass password1

修改成功后,系统会有如下提示:WAMUserPass: (String) "******" 

(三)同步IIS metabaseIUSR_MachineName账号的密码

// 同步IUSR_MachineName密码为password2

C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set w3svc/anonymoususerpass password2

(四)同步COM+应用程序所用的IWAM_MachineName的密码

同步COM+应用程序所用的IWAM_MachineName的密码,我们有两种方式可以选择:一种是使用组件服务MMC管理单元,另一种是使用IWAM账号同步脚本synciwam.vbs

1、使用组件服务MMC管理单元

1)启动组件服务管理单元:选择开始”->“运行”->“MMC”,启动管理控制台,打开添加/删除管理单元对话框,组件服务管理单元添加上。

2)找到组件服务”->“计算机”->“我的电脑”->“COM+应用程序”->“Out-Of-Process Pooled Applications”,右击“Out-Of-Process Pooled Applications”->“属性

如果没有错误,则直接跳至(3)。

COM+应用程序展开时出现“编录错误”:执行最后操作时发生错误。错误代码8004E00FCOM+无法与Microsoft 分布式事务协调程序交谈。

由提示可知是Microsoft 分布式事务协调程序(对应Microsoft Distributed Transaction Coordinator服务)的问题,

进入服务,发现Distributed Transaction Coordinator服务未启动,右键启动出现错误“服务”:Windows不能在本地计算机启动Distributed Transaction Coordinator。……参考特定服务错误代码—1073737712

进入CMD命令行,依次执行以下命令卸载、重装MSDTC服务。

<1>停止MSDTC服务

C:\Documents and Settings\Administrator>net stop msdtc

Distributed Transaction Coordinator 服务正在停止.

Distributed Transaction Coordinator 服务已成功停止。

<2>卸载MSDTC服务

C:\Documents and Settings\Administrator>msdtc -uninstall

<3>重新安装MSDTC服务

C:\Documents and Settings\Administrator>msdtc -install

<4>启动MSDTC服务

C:\Documents and Settings\Administrator>net start msdtc

Distributed Transaction Coordinator 服务正在启动 .

Distributed Transaction Coordinator 服务已经启动成功。

3)切换到“Out-Of-Process Pooled Applications”属性对话框的标志选项卡。此应用程序在下列账户下运行选择中此用户会被选中,用户名是“IWAM_MACHINENAME”。这些都是缺省的,不必改动。在下面的密码确认密码文本框内输入正确的密码“password1”,确定退出。

4)系统如果提示应用程序被一个以上的外部产品创建。你确定要被这些产品支持吗?时确定即可。

如果我们在IIS中将其它一些Web应用程序保护设置为高(独立的)”,那么这个WEB所使用的COM+应用程序的IWAM账号密码也需要同步,重复(1)到(4)。

2、使用IWAM账号同步脚本synciwam.vbs

实际上微软已经发现IWAM账号在密码同步方面存在问题,因此在IIS5的管理脚本中单独为IWAM账号密码同步编写了一个脚本synciwam.vbs,这个脚本位于C:\inetpub\adminscripts子目录下(位置可能会因你安装IIS5时设置的不同而有所变动)。

synciwam.vbs脚本用法比较简单:cscript synciwam.vbs [-v|-h]

“-v”参数表示详细显示脚本执行的整个过程(建议使用)“-h”参数用于显示简单的帮助信息。 

我们要同步IWAM_MACHINENAME账号在COM+应用程序中的密码,只需要执行“cscript synciwam.vbs -v”即可,如下:

// 同步IWAM_MachineName账号在COM+应用程序中的密码

C:\Inetpub\AdminScripts>cscript.exe synciwam.vbs -v

从上面脚本的执行情况可以看出,使用synciwam.vbs脚本要比使用组件服务的方法更全面和快捷。它首先从IISmetabase数据库找到IWAM账号"IWAM_MACHINENAME"并取出对应的密码“password1”,然后查找所有已定义的IIS ApplicationsOut of process applications,并逐一同步每一个Out of process applications应用程序的IWAM账号密码。

使用synciwam.vbs脚本时,要注意一个问题,那就是在你运行synciwam.vbs之前,必须保证IIS metabase数据库与Active Directory中的IWAM密码已经一致。因为synciwam.vbs脚本是从IIS metabase数据库而不是从Active Directory取得IWAM账号的密码,如果IIS metabase中的密码不正确,那synciwam.vbs取得的密码也会不正确,同步操作执行到“Updating Applications”系统就会报80110414错误,即找不到应用程序{3D14228D-FBE1-11D0-995D-00C04FD919C1}”

到现在为止,IWAM账号在Active DirectoryIIS metabase数据库和COM+应用程序三处的密码已经同步成功,IIS站点又可以访问了! 

如果访问localhost还是出现HTTP500错误,右击IIS网站à默认网站à属性à目录安全性à匿名访问和身份验证控制à编辑à修改IUSR账户密码为password2,并去掉“允许IIS控制密码”前的钩(?),重启IIS。

 

如果以前设置有误,则可以从头开始设置:

(1)        卸载重装IIS组件,卸载重装MSDTC服务。

(2)        通过cscript.exe adsutil.vbs get w3svc/wamuserpassw3svc/anonymoususerpass获取IWAMIUSR密码,假设分别为password1password2

(3)        手动同步“计算机管理à本地用户和组à用户”中IWAMIUSR密码,分别为password1password2

(4)        同步COM+应用程序所用的IWAM密码为password1

(5)        如果访问localhost还是出现HTTP500错误,右击IIS网站à默认网站à属性à目录安全性à匿名访问和身份验证控制à编辑à修改IUSR账户密码为password2,并去掉“允许IIS控制密码”前的钩。

 

参考:

IIS和内置账户》

http://doc.51windows.net/iismmc/?url=/iismmc/htm/sec_acc_wpprivileges.htm

How IIS authenticates browser clients

http://support.microsoft.com/kb/264921/

《密码同步/允许IIS控制密码可能会出现问题》

http://support.microsoft.com/kb/216828/zh-cn

IIS HTTP500内部错误解决方案》

http://tieba.baidu.com/f?kz=13975900

阅读(5821) | 评论(2)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

loading...
您需要登录后才能评论,请 登录 或者 注册