目前,我们正在将现有的Web服务设置为符合PCI-DSS标准,而且我们对遵从性要求也有点不满。 总之,我们需要确保信用卡号码永远不会以纯文本的forms存储在任何地方。 我们的CC提交形成了关于SSL的所有工作,我们将信息存储在encryption的字段中,除了IIS日志之外,一切都是合规的。 我们的审计团队已经注意到,如果您在search框中input任何东西,我们提供网站上的其他function,则查询条件将被logging到IIS日志中。 如果用户将自己的信用卡号码放入此search框中,则该号码将以纯文本格式logging到IIS中。 有没有人处理这个问题? 我在网上找不到解决scheme,特别是考虑到PCI DSS中的其他要求,我们尽可能提供尽可能全面的审计logging。 谢谢
我有一个AutoStartProvider,它不会在我们的IIS 8.0生产环境中调用。 它适用于我们的IIS 7.5开发环境。 我创build了从AutoStartProvider到事件日志和SQL Server的日志loggingfunction。 这两种logging方式在我们的开发环境中工作得很好,但不是在生产环境中。 我担心AutoStartProvider没有被调用。 以下是来自生产环境的applicationHost.config文件的相关片段。 任何帮助解决这个将不胜感激。 应用程序池: <add name="1f582a90-1883-4887-bef8-156e3a7e0099" autoStart="true" managedRuntimeVersion="v4.0" startMode="AlwaysRunning"> <processModel identityType="NetworkService" idleTimeout="00:00:00" /> <recycling> <periodicRestart time="00:00:00" /> </recycling> </add> 应用: <application path="/" applicationPool="1f582a90-1883-4887-bef8-156e3a7e0099" enabledProtocols="http,https" serviceAutoStartEnabled="true" serviceAutoStartProvider="VINspinAutoStartProvider" preloadEnabled="true"> <virtualDirectory path="/" physicalPath="F:\sitesroot\3" /> </application> AutoStartProvider: <serviceAutoStartProviders> <add name="VINspinAutoStartProvider" type="VINspin.Core.Web.Providers.VINspinAutoStartProvider,VINspin.Core.Web" /> </serviceAutoStartProviders>
我试图将SSL证书(由Network Solutions发布)从一台IIS 6 / Win2k3服务器移到另一台。 将其导出为pfx文件可以进行传输,但是在目标服务器上导入时,证书似乎会失败。 我也试图使用“将证书移到远程服务器”选项,但是由于这些选项位于两个完全不同的networking上,在VPN和防火墙后面,这似乎不是一个可行的方法。 有没有人有任何想法,为什么PFX文件的方法会失败(多次相同的错误)?
几乎在同一时间,在两台独立的服务器上分别有三个小时, 似乎没有任何数据被写入IIS日志,但是经过仔细观察,似乎是全部logging下来了。 以下是我所知道的事实: Windows Server 2003 R2带有IIS6 使用GMTlogging日志,服务器本地时间GMT-7。 应用程序仍在运行,我有SQL数据来certificate这一点 时间间隔出现在日志文件中,而不是两个 标题出现在差距 负载平衡器每30秒钟一次 没有caching 以下是关于特定情况的信息: 一个条目出现2009-09-21 18:09:27 然后#headers 下一个条目是2009-09-22 01:21:54,这个日志文件中的下一个条目是1600,下一个日志文件中是370。 2009-09-22 01:21:54大概有2000个条目中的一半是负载均衡器ping(在2分钟的时间为6.9小时= 828坪) 然后logging正常。 我相信这些事件可能与我在这些机器中部署ASP.NET应用程序更新一致。 以下是相关日志中的一些相关内容: ex090921.log行3684 2009-09-21 17:54:40 GET /ping.aspx – 80 404 0 0 3733 122 0 2009-09-21 17:55:11 GET /ping.aspx – 80 404 0 0 3733 122 0 2009-09-21 17:55:42 GET /ping.aspx – […]
我的系统是Windows Server 2008 R2与IIS 7.5。 我需要运行一个允许执行一些pipe理任务的站点。 我创build了一个AD用户帐户,并将其添加到所有必需的组。 该网站的应用程序池以设置为此AD帐户的自定义标识运行。 这工作,但是一些任务失败,“访问被拒绝”。 我发现这是由UAC引起的(UAC禁用了一切正常)。 所以我的问题是 – 是否有可能在没有全局禁用UAC的情况下以提升模式运行应用程序池? 可能只是为了这个帐户而禁用UAC。
我想知道是否有一种方法来显示自定义错误页面时出现错误与我的服务器场使用IIS的应用程序请求路由。 例如,让我们假设我的服务器场中的所有服务器都处于不健康的状态,我希望向用户显示一个友好的错误消息,而不是默认的502.4 – 错误的网关错误消息,直到我发现什么是错误的。 有没有办法做到这一点?
我有几个使用集成Windows身份validation和Kerberos委派的经典ASP站点。 它们可以在活动服务器(最近移动到Server 2008 / IIS7服务器)上正常工作,但不能在我的开发PC或我的开发服务器上正常工作。 两台机器上的IIS都是通过从旧机器导出的IIS Web部署工具包configuration的; 部署没有完美的工作,我不得不修补一点让网站的工作。 在任何一台机器上本地访问应用程序时,都能正常工作。 当从另一台机器访问时,用户将被用户名/密码对话框提示,无论您input什么内容,最终都会导致401(未授权)错误。 我已经尝试过将这些机器的configuration与类似的活动服务器进行比较(所有这些工作都正常),并且它们看起来大体相当(假设IIS7.5(Windows 7 / Server 2008 R2)上还没有活动的服务器。 这些应用程序运行在一个通用的应用程序池中,该应用程序池使用一个特殊的域用户作为身份标识 – 该用户在实时和开发机器上具有相似的权限 在IIS6平台上,为了启用Kerberos委派,我需要为这个用户设置一些SPN,并且他们仍然在位(即使我不相信由于内核模式身份validation,他们已经不再需要IIS7 +), 此外,在Active Directory中为这个帐户启用了Kerberos委托,就像我正在处理的每台机器一样。 我正在考虑部署可能更改/无法对IISconfiguration进行更改从而导致此问题的可能性。 也许一个完整的重build(减去另一个Web部署尝试)将解决这个问题,但我宁愿修复(从而理解)当前的问题。 任何想法到目前为止? 我刚刚尝试解决这个问题,并取得了一些进展,但我还没有完全解决。 我发现,如果我通过IP地址访问网站(比通过NetBIOS名称),我得到相同的对话框,除了它接受我的凭据,从而应用程序的工作 – 不是一个修复,但一个有用的步骤。 更有趣的是,我发现,如果我禁用内核模式身份validation(在IISpipe理器>网站>身份validation>高级设置 ),应用程序工作完美。 我的模糊的理解是,这是有效的工作在IIS7以前的方式。 一个合理的短期解决scheme,但是在这个问题上考虑以下来自IIS的明确build议: 默认情况下,IIS启用内核模式身份validation,这可能会提高身份validation性能并防止configuration为使用自定义身份的应用程序池的身份validation问题。 最佳做法是,如果您的环境中使用了Kerberos身份validation,并且应用程序池configuration为使用自定义标识,则不要禁用此设置。 显然,这不是我的应用程序应该工作的方式。 那么问题是什么?
我们的图片服务器出现了一些问题。 这是运行IIS 7.5的Win 2008,它只提供静态内容:图像。 它已经运行了很长一段时间,直到最近当我们禁用输出caching时,我们注意到它启用意味着它发送了无caching主机头到客户端(迫使他们每次从服务器获取图像) 我们已经读了很多关于它的内容,似乎IIS正是这样工作的 – 无论是使用输出caching还是使用caching主机头。 无论如何,已经禁用了输出caching,我们现在经历了5分钟的随机间隔,其中所有的请求都得到503服务不可用。 在此期间,“文件caching”性能计数器错开(既不增加也不减less),并且在这段时间之后所有的caching都被刷新。 您可能会发现我谈论caching很奇怪,因为我们禁用了输出caching。 事情是我们改变了registry中的ObjectTTL参数,所以我们caching文件3分钟(这工作得很好,我们的磁盘I / O显着下降) 所以,即使输出caching被禁用,我们仍然caching大量的文件 – 如果我们可以摆脱随机503这将是完美的: – D 在这503个间隔期间,我们在Windows事件日志中没有收到任何消息,所以我们很难确定要做什么。 任何想法都非常欢迎:-)
将旧的经典ASP应用程序从Server 2008 R2迁移到新的Server 2008 R2 SP1,现在遇到了严重的问题。 所有的设置和configuration在“旧”和新服务器之间是完全相同的,没有任何代码改变,我所做的只是将它从一个盒子移到另一个盒子。 最初500s将开始出现与Server.CreateObject Failed CDO.Message最终变成: Unknown scripting language /path/file.asp, line 1 The scripting language 'VBScript' is not found on the server. 还有其他经典的ASP网站在同一台服务器上正常工作(事实上,这个应用程序的一部分,也是经典的ASP和工作正常)。 只需回收应用程序池即可摆脱所有错误,并且应用程序可以处理未确定数量的请求。 这让我觉得这不是一个权限或一定的configuration错误。 目前,由于它在内部使用,我每30分钟就有一个应用程序池回收,但是它每天仍然会死多次,而且我们在这里不是说万次的请求,最多只有几十个。 我已经在另一个2008 R2 SP1盒子上复制了这个设置,并且具有相同的结果,如果它有任何方位的话,这些是Rackspace云服务器; 旧的在美国新的在英国。 我很高兴接受“编码错误”作为一种解决scheme,如果你可以给我一些提示,看看为什么在2003和2008 R2的罚款。 我最担心的是,这些服务器应该是把我们的整个网站集合在美国服务器上快乐地运行,其中一些也是老式和经典的ASP,所以它们都会失败呢?
我们有一个现成的Office SharePoint 2007服务器场,可以开箱即用地完成NTLM集成身份validation。 我们的Web开发人员会希望外部用户的login页面使用基于表单的身份validation。 如果我们将FBA添加到活动目录提供程序中,那么似乎我们必须在sharepoint(每个validation源一个)中创build重复的用户logging。 有没有程序或服务,将FBA映射到NTLM,而不必添加重复的用户?