网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 服务器 > IIS服务器 >

IIS来宾用户帐号和密码同步的操作




下面可以手工同步IWAM和IUSR账户了:

(一)更改NT账户中IWAM_MACHINENAME和IUSR_MACHINENAME账户密码:

    因IWAM账号的密码由系统控制,随机产生,我们并不知道是什么,为完成下面两步的密码同步工作,我们必须将IWAM账号的密码设置为一个我们知道的值。
    开始->设置->控制面板->管理工具->计算机管理->本地用户和组->用户,右击“IWAM_MACHINENAME”,选择“重设密码(T)...”,在跳出的重设密码对方框中给IWAM_MACHINENAME设置新的密码,例如password1。同样设置IUSR_MACHINENAME的密码为password2。

(二)同步IIS metabase中IWAM_MachineName账号的密码 :

    微软并没有为我们修改IIS metabase中IWAM_MachineName账号密码提供一个显式的用户接口,只随IIS5提供了一个管理脚本adsutil.vbs,这个脚本位于C:\inetpub\adminscripts子目录下(位置可能会因你安装IIS5时设置的不同而有所变动)。脚本修改IWAM_MachineName账号密码的方法和命令如下:

    C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set w3svc/wamuserpass password1

    修改成功后,系统会有如下提示:WAMUserPass: (String) "******"

(三)同步IIS metabase中IUSR_MachineName账号的密码:

    同步IUSR_MachineName密码为password2的方法和命令如下:

    C:\Inetpub\AdminScripts>cscript.exe adsutil.vbs set w3svc/anonymoususerpass password2

(四)同步COM+应用程序所用的IWAM_MachineName的密码

    同步COM+应用程序所用的IWAM_MachineName的密码,我们有两种方式可以选择:  一种是使用组件服务MMC管理单元,另一种是使用IWAM账号同步脚本synciwam.vbs。

1、使用组件服务MMC管理单元

(1)启动组件服务管理单元:“开始”->“运行”->“MMC”,启动管理控制台,打开“添加/删除管理单元”对话框,将“组件服务”管理单元添加上。

(2)找到“组件服务”->“计算机”->“我的电脑”->“COM+应用程序”->“Out-Of-Process Pooled Applications”,右击“Out-Of-Process Pooled Applications”->“属性”。如果没有错误,则直接跳至(3)。

    若COM+应用程序展开时出现“编录错误”:执行最后操作时发生错误。错误代码8004E00F—COM+无法与Microsoft 分布式事务协调程序交谈。由提示可知是Microsoft 分布式事务协调程序(对应Microsoft Distributed Transaction Coordinator服务)的问题,进入服务,发现Distributed Transaction Coordinator服务未启动,右键启动出现错误“服务”:Windows不能在本地计算机启动Distributed Transaction Coordinator。……参考特定服务错误代码—1073737712。

进入CMD命令行,依次执行以下命令卸载、重装MSDTC服务。

    <1>停止MSDTC服务: C:\Documents and Settings\Administrator>net stop msdtc

        Distributed Transaction Coordinator 服务正在停止.

        Distributed Transaction Coordinator 服务已成功停止。

    <2>卸载MSDTC服务:C:\Documents and Settings\Administrator>msdtc -uninstall

    <3>重新安装MSDTC服务:C:\Documents and Settings\Administrator>msdtc -install

    <4>启动MSDTC服务:C:\Documents and Settings\Administrator>net start msdtc

       Distributed Transaction Coordinator 服务正在启动 .

       Distributed Transaction Coordinator 服务已经启动成功。

(3)切换到“Out-Of-Process Pooled Applications”属性对话框的“标志”选项卡。“此应用程序在下列账户下运行”选择中“此用户”会被选中,用户名是“IWAM_MACHINENAME”。这些都是缺省的,不必改动。在下面的“密码”和“确认密码”文本框内输入正确的密码“password1”,确定退出。

(4)系统如果提示“应用程序被一个以上的外部产品创建。你确定要被这些产品支持吗?”时确定即可。

    如果我们在IIS中将其它一些Web的“应用程序保护”设置为“高(独立的)”,那么这个WEB所使用的COM+应用程序的IWAM账号密码也需要同步,重复(1)到(4)。

2、使用IWAM账号同步脚本synciwam.vbs

    实际上微软已经发现IWAM账号在密码同步方面存在问题,因此在IIS5的管理脚本中单独为IWAM账号密码同步编写了一个脚本synciwam.vbs,这个脚本位于C:\inetpub\adminscripts子目录下(位置可能会因你安装IIS5时设置的不同而有所变动)。

    synciwam.vbs脚本用法比较简单:cscript synciwam.vbs [-v|-h] ,“-v”参数表示详细显示脚本执行的整个过程(建议使用),“-h”参数用于显示简单的帮助信息。

    我们要同步IWAM_MACHINENAME账号在COM+应用程序中的密码,只需要执行“cscript synciwam.vbs -v”即可,如下:

    C:\Inetpub\AdminScripts>cscript.exe synciwam.vbs -v

   从上面脚本的执行情况可以看出,使用synciwam.vbs脚本要比使用组件服务的方法更全面和快捷。它首先从IIS的metabase数据库找到IWAM账号"IWAM_MACHINENAME"并取出对应的密码“password1”,然后查找所有已定义的IIS Applications和Out of process applications,并逐一同步每一个Out of process applications应用程序的IWAM账号密码。

    使用synciwam.vbs脚本时,要注意一个问题,那就是在你运行synciwam.vbs之前,必须保证IIS metabase数据库与Active Directory中的IWAM密码已经一致。因为synciwam.vbs脚本是从IIS metabase数据库而不是从Active Directory取得IWAM账号的密码,如果IIS metabase中的密码不正确,那synciwam.vbs取得的密码也会不正确,同步操作执行到“Updating Applications”系统就会报80110414错误,即“找不到应用程序{3D14228D-FBE1-11D0-995D-00C04FD919C1}”。

  

#结束

    到现在为止,IWAM账号在Active Directory、IIS metabase数据库和COM+应用程序三处的密码已经同步成功,IIS站点又可以访问了! 如果访问localhost还是出现HTTP—500错误,右击IIS网站à默认网站->属性->目录安全性->匿名访问和身份验证控制->编辑->修改IUSR账户密码为password2,并去掉“允许IIS控制密码”前的钩,重启IIS。

    如果设置有误,则可以从头开始设置:

    (1)卸载重装IIS组件,卸载重装MSDTC服务。

    (2)通过cscript.exe adsutil.vbs get w3svc/wamuserpass和w3svc/anonymoususerpass获取IWAM和IUSR密码,假设分别为password1和password2。

    (3)手动同步“计算机管理à本地用户和组à用户”中IWAM和IUSR密码,分别为password1和password2。

    (4)同步COM+应用程序所用的IWAM密码为password1。

    (5)如果访问localhost还是出现HTTP—500错误,右击IIS网站à默认网站à属性à目录安全性à匿名访问和身份验证控制à编辑à修改IUSR账户密码为password2,并去掉“允许IIS控制密码”前的钩


上一篇:2003服务器防止海洋木马的安全设置  
下一篇:Win2003+IIS服务器安全设置
相关信息:


Copyright © 2002-2015 版权所有
学校地址:北京市海淀区西三旗建材城中路29号北大青鸟
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704