IIS5 HTTP500內部錯誤解決辦法
一.錯誤表現
iis5的http 500內部服務器錯誤是我們經常碰到的錯誤之一,它的主要錯誤表現就是asp程式不能瀏覽但htm靜態網頁不受影響。另外當錯誤發生時,系統事件日誌和安全事件日誌都會有相應的記錄。
具體如下:
(一)ie中的表現
當瀏覽以前能夠正常執行的asp網頁面時會出現如下的錯誤:
網頁無法顯示
您要訪問的網頁存在問題,因此無法顯示。
請嘗試下列操作:
打開
http://127.0.0.1 主頁,尋找指向所需訊息的連接。
單擊重新整理按鍵,或者以後重試。
http 500 - 內部服務器錯誤
internet 訊息服務
技術訊息(支持個人)
詳細訊息:
microsoft 支持
或者是:
server application error
the server has encountered an error while loading an application during
the processing of your request. please refer to the event log for more
detail information. please contact the server administrator for assistance.
(二)安全日誌記錄(2條)
事件類型: 失敗審核
事件來源: security
事件種類: 登入/註銷
事件 id: 529
日期: 2001-9-9
事件: 11:17:07
用戶: nt authority\system
電腦: myserver
描述:
登入失敗:
原因: 用戶名未知或密碼錯誤
用戶名: iwam_myserver
域: mydom
登入類型: 4
登入過程: advapi
身份驗證程式包: microsoft_authentication_package_v1_0
工作站名: myserver
事件類型: 失敗審核
事件來源: security
事件種類: 帳戶登入
事件 id: 681
日期: 2001-9-9
事件: 11:17:07
用戶: nt authority\system
電腦: myserver
描述:
登入到帳戶: iwam_myserver
登入的用戶: microsoft_authentication_package_v1_0
從工作站: myserver
未成功。錯誤代碼是: 3221225578
(三)系統日誌中的記錄(2條)
事件類型: 錯誤
事件來源: dcom
事件種類: 無
事件 id: 10004
日期: 2001-9-9
事件: 11:20:26
用戶: n/a
電腦: myserver
描述:
dcom 遇到錯誤「無法更新密碼。提供給新密碼的值包含密碼中不允許的值。 」並且無法登入到 .\iwam_myserver 上以執行服務器:
{3d14228d-fbe1-11d0-995d-00c04fd919c1}
事件類型: 警告
事件來源: w3svc
事件種類: 無
事件 id: 36
日期: 2001-9-9
事件: 11:20:26
用戶: n/a
電腦: myserver
描述:
服務器未能轉入應用程式 『/lm/w3svc/4/root『。錯誤是 『runas 的格式必須是<域名>\<用戶名>或只是<用戶名>『。
若要獲取關於此消息的更多的訊息,請訪問 microsoft 聯機支持站點:
http://www.microsoft.com/contentredirect.asp 。
二.原因分析
綜合分析上面的錯誤表現我們可以看出,主要是由於iwam賬號(在我的電腦即是iwam_myserver賬號)的密碼錯誤造成了http 500內部錯誤。
在詳細分析http500內部錯誤產生的原因之前,先對iwam賬號進行一下簡要的介紹:iwam賬號是安裝iis5時系統自動建立的一個內置賬號,主要用於啟動工作行程之外的應用程式的internet訊息服務。iwam賬號的名字會根據每台電腦netbios名字的不同而有所不同,通用的格式是iwam_machine,即由「iwam」前綴、連接線「_」加上電腦的netbios名字組成。我的電腦的netbios名字是myserver,因此我的電腦上iwam賬號的名字就是iwam_myserver,這一點與iis匿名賬號isur_machine的命名方式非常相似。
iwam賬號建立後被active directory、iis metabase資料庫和com+應用程式三方共同使用,賬號密碼被三方分別儲存,並由操作系統負責這三方儲存的iwam密碼的同步工作。按常理說,由操作系統負責的工作我們大可放心,不必擔心出錯,但不知是bug還是其它什麼原因,系統的對iwam賬號的密碼同步工作有時會失敗,使三方iwam賬號所用密碼不統一。當iis或com+應用程式使用錯誤iwam的密碼登入系統,啟動iis out-of-process pooled applications時,系統會因密碼錯誤而拒絕這一請求,導致iis out-of-process pooled applications啟動失敗,也就是我們在id10004錯誤事件中看到的「不能執行服務器{3d14228d-fbe1-11d0-995d-00c04fd919c1} 」(這裡{3d14228d-fbe1-11d0-995d-00c04fd919c1} 是iis out-of-process pooled applications的key),不能轉入iis5應用程式,http 500內部錯誤就這樣產生了。
三.解決辦法
知道了導致http 500內部錯誤的原因,解決起來就比較簡單了,那就是人工同步iwam賬號在active directory、iis metabase資料庫和com+應用程式中的密碼。
具體操作分三步,均需要以管理員身份登入電腦以提供足夠的操作權限(iwam賬號以iwam_myserver為例)。
(一)更改active directory中iwam_myserver賬號的密碼
因iwam賬號的密碼由系統控制,隨機產生,我們並不知道是什麼,為完成下面兩步的密碼同步工作,我們必須將iwam賬號的密碼設置為一個我們知道的值。
1、選擇「開始」->「程式」->「管理工具」->"active directory用戶和電腦",啟動「active directory用戶和電腦」管理單元。
2、單擊「user」,選中右面的「iwam_myserver」,右擊選擇「重設密碼(t)...」,在跳出的重設密碼對方框中給iwam_myserver設置新的密碼,這兒我們設置成「aboutnt2001」(沒有引號的),確定,等待密碼修改成功。
(二)同步iis metabase中iwam_myserver賬號的密碼
可能因為這項改動太敏感和重要,微軟並沒有為我們修改iis metabase中iwam_myserver賬號密碼提供一個顯式的用戶接頭,只隨iis5提供了一個管理腳本adsutil.vbs,這個腳本位於c:\inetpub\adminscripts子目錄下(位置可能會因你安裝iis5時設置的不同而有所變動)。
adsutil.vbs腳本功能強大,參數非常多且用法複雜,這裡只提供使用這個腳本修改iwam_myserver賬號密碼的方法:
adsutil set w3svc/wamuserpass password
"password"參數就是要設置的iwam賬號的新的密碼。因此我們將iis metabase中iwam_myserver賬號的密碼修改為「aboutnt2001」的命令就是:
c:\inetpub\adminscripts>adsutil set w3svc/wamuserpass "aboutnt2001"
修改成功後,系統會有如下提示:
wamuserpass: (string) "aboutnt2001"
(三)同步com+應用程式所用的iwam_myserver的密碼
同步com+應用程式所用的iwam_myserver的密碼,我們有兩種方式可以選擇:一種是使用元件服務mmc管理單元,另一種是使用iwam賬號同步腳本synciwam.vbs。
1、使用元件服務mmc管理單元
(1)啟動元件服務管理單元:選擇「開始」->「執行」->「mmc」,啟動管理控制台,打開「新增/刪除管理單元」交談視窗,將「元件服務」管理單元新增上。
(2)找到「元件服務」->「電腦」->「我的電腦」->「com+應用程式」->「out-of-process pooled applications」,右擊「out-of-process pooled applications」->「內容」。
(3)切換到「out-of-process pooled applications」內容交談視窗的「標誌」選擇項。「此應用程式在下列賬戶下執行」選擇中「此用戶」會被選中,用戶名是「iwam_myserver」。這些都是預設的,不必改動。在下面的「密碼」和「確認密碼」文本框內輸入正確的密碼「aboutnt2001」,確定退出。
(4)系統如果提示「應用程式被一個以上的外部產品創建。你確定要被這些產品支持嗎?」時確定即可。
(5)如果我們在iis中將其它一些web的「應用程式保護」設置為「高(獨立的)」,那麼這個web所使用的com+應用程式的iwam賬號密碼也需要同步。重複(1)-(4)步,同步其它相應out of process application的iwam賬號密碼。
2、使用iwam賬號同步腳本synciwam.vbs
實際上微軟已經發現iwam賬號在密碼同步方面存在問題,因此在iis5的管理腳本中單獨為iwam賬號密碼同步編寫了一個腳本synciwam.vbs,這個腳本位於c:\inetpub\adminscripts子目錄下(位置可能會因你安裝iis5時設置的不同而有所變動)。
synciwam.vbs腳本用法比較簡單:
cscript synciwam.vbs [-v│-h]
「-v」參數表示詳細顯示腳本執行的整個過程(建議使用),「-h」參數用於顯示簡單的幫助訊息。
我們要同步iwam_myserver賬號在com+應用程式中的密碼,只需要執行「cscript synciwam.vbs -v」即可,如下:
cscript c:\inetpub\adminscripts\synciwam.vbs -v
microsoft (r) windows script host version 5.6
版權所有(c) microsoft corporation 1996-2000。保留所有權利。
wamusername:iwam_myserver
wamuserpass:aboutnt2001
iis applications defined:
name, appisolated, package id
w3svc, 0, {3d14228c-fbe1-11d0-995d-00c04fd919c1}
root, 2,
iishelp, 2,
iisadmin, 2,
iissamples, 2,
msadc, 2,
root, 2,
iisadmin, 2,
iishelp, 2,
root, 2,
root, 2,
out of process applications defined:
count: 1
{3d14228d-fbe1-11d0-995d-00c04fd919c1}
updating applications:
name: iis out-of-process pooled applications key: {3d14228d-fbe1-11d0-995d-00c04fd919c1}
從上面腳本的執行情況可以看出,使用synciwam.vbs腳本要比使用元件服務的方法更全面和快捷。它首先從iis的metabase資料庫找到iwam賬號"iwam_myserver"並取出對應的密碼「aboutnt2001」,然後查找所有已定義的iis applications和out of process applications,並逐一同步每一個out of process applications應用程式的iwam賬號密碼。
使用synciwam.vbs腳本時,要注意一個問題,那就是在你執行synciwam.vbs之前,必須保證iis metabase資料庫與active directory中的iwam密碼已經一致。因為synciwam.vbs腳本是從iis metabase資料庫而不是從active directory取得iwam賬號的密碼,如果iis metabase中的密碼不正確,那synciwam.vbs取得的密碼也會不正確,同步操作執行到「updating applications」系統就會報80110414錯誤,即「找不到應用程式{3d14228d-fbe1-11d0-995d-00c04fd919c1}」。
好了,到現在為止,iwam賬號在active directory、iis metabase資料庫和com+應用程式三處的密碼已經同步成功,你的asp程式又可以執行了!
修改成功後,系統會有如下提示: