重复第 7 步和第 8 步,直到希望客户端可访问的服务都已启用。
unc 连接被拒绝访问
通用命名约定 (unc) 验证方法也称为"unc passthrough 验证",它确定获得远程计算机上 unc 共享访问使用的凭据。从 iis 6.0 开始,unc 验证使用以下方法查看请求用户和配置数据库 uncusername 和 uncpassword 属性中存储的凭据,以确定传送到具有 unc 共享的计算机上的凭据:
如果指定了 uncusername(非空)并且 uncpassword 有效,则将配置数据库用户凭据作为访问的用户标识发送到远程共享。如果指定了 uncusername(非空)但是 uncpassword 无效,则向客户端发送"500 内部服务器错误:用户名或密码无效"消息。
如果 uncusername 为空,则将请求用户的凭据(用于已验证请求的一组验证的凭据或用于匿名请求的 iusr_computername 凭据)作为访问的用户标识发送到远程共享。
注意不再将 uncauthenticationpassthrough 配置数据库项用于 unc 验证。
禁止访问 system32 目录中的控制台应用程序
除非提出请求的远程用户是 administrators 组中经过验证的成员,否则,使用 windows system32 目录中控制台应用程序(如 cmd.exe)的请求被拒绝访问。这种拒绝访问是由于以下原因造成的:windows system32 目录中所有控制台应用程序的特殊访问控制列表 (acl) 仅限管理员、本地系统、交互用户和服务能够访问。acl 限制并不影响拥有访问权限的本地登录用户,也不会影响您自己的自定义 cgi 可执行程序。
[pagesplitxx]
客户端请求出现错误或超时
在 iis 6.0 中,默认设置是特别严格和安全的,这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。iis 在连接级别强制实施以下超时限制:
响应缓冲限制:aspbufferinglimit 配置数据库属性的默认值为 4 mb。如果 asp 脚本缓冲大于此值,就会出现错误。在 iis 6.0 之前的版本中,没有缓冲限制。
张贴限制:aspmaxrequestentityallowed 配置数据库属性实施的最大 asp 张贴大小为 204,800 个字节,并将各个字段限制为 100 kb。在 iis 6.0 之前的版本中,没有张贴限制。
serverlistentimeout 配置数据库属性不再存在: serverlistentimeout 已被以下配置数据库属性代替:
connectiontimeout:此属性指定在断开非活动连接前服务器等待的时间(以秒为单位)。
minfilebytespersec:当 iis 响应客户端请求时,minfilebytespersec 属性决定了客户端收到整个响应的时间长短。如果客户机接收整个响应所花费的时间太长,则内核模式驱动程序 http.sys 会根据超时值终止连接。
headerwaittimeout:在客户端连接到 web 服务器时,会给客户机指定发送请求的所有标题的时间限制(用结尾的双 "r"n 来区分)。如果在 headerwaittimeout 指示的时间内没有收到请求的完整标题集,则 http.sys 将重置该连接。您可以对 headerwaittimeout 的值进行配置。
