部署網站之後,瀏覽時總是報503,找了半天才發現是用戶權限問題,現在記錄一下,方便以後遇到的大夥快速解決問題,以至於不會浪費太多時間。
WIN2008 R2系統部署配置iis7.5 (Internet Information Server)失敗,一直未能啓動服務,訪問本地網絡提示”Service Unavailable HTTP Error 503. The service is unavailable“。
服務器登錄表現的症狀是DefaultAppPool啓動後,刷新網頁後應用程序池立即自動停止。
使用系統日誌查一下報錯的3條詳細信息:
第一條:應用程序池DefaultAppPool的標識無效。可能是爲標識指定的用戶名或密碼不正確,或者用戶不具有批登錄權限。如果不更正標識,則當應用程序池接收到它的第一個請求時,應用程序池將被禁用。如果是批登錄權限導致的此問題,則必須在授予權限之後更改 IIS 配置存儲中的標識,然後 Windows Process Activation Service (WAS)纔可以重試登錄。如果在處理對應用程序池的第一個請求之後標識仍然無效,應用程序池將被禁用。數據字段包含錯誤號。
第二條:應用程序池DefaultAppPool已被禁用。Windows Process Activation Service (WAS) 未創建工作進程來爲應用程序池提供服務,因爲該應用程序池標識無效。
第三條:應用程序池DefaultAppPool已被禁用。Windows Process Activation Service (WAS)在啓動爲該應用程序池提供服務的工作進程時失敗。
首先懷疑IIS ADMIN SERVICE權限。
解決方法:
應用程序-特定權限設置未將COM服務器應用程序
(CLSID 爲 {A9E69610-B80D-11D0-B9B9-00A0C922E750} ) 的本地激活權限授予用戶NT AUTHORITYNETWORK SERVICE SID (S-1-5-20)。可以使用組件服務管理工具修改此安全權限。
解決方法,給NETWORK SERVICE 加上訪問iis服務的權限,具體方法如下:
點擊“開始”-“控制面板”-“管理工具”-“組件服務”-“計算機”-“我的電腦”-“DCOM”選項,
選擇其下的“IIS ADMIN SERVICE”,右健選擇“屬性”,找到“安全”,在“啓動和激活權限”中編輯“自定義”,添加帳號“NETWORK SERVICE”,給該帳號賦予“本地啓動”和“本地激活”、“遠程激活”的權限,重新啓動IIS之後再訪問同一站點。
如果現在IIS ADMIN SERVICE下右健選擇“屬性”,找到“安全”,在“啓動和激活權限”中編輯“自定義”的按鈕不可點擊,可以使用如下方法啓用:
這個是win2008 R2 x64的安全特性.一些核心系統組件只能允許本地帳號,TrustedInstaller有完全控制權限,而不是本地管理員組。要在Windows Server 2008 R2 上修改 “IIS Admin Service” ,你需要授予本地管理員組有註冊表權限:
1.在組件管理器中查到IIS的appid
2.使用regedit,定位到HKEY_CLASSES_ROOT\AppID\{A9E69610-B80D-11D0-B9B9-00A0C922E750}”
3.右鍵點擊{A9E69610-B80D-11D0-B9B9-00A0C922E750}選權限
4.在權限設置窗口中點高級,選擇所有者標籤,選中administrators爲所有者
5.授予administrators組有讀/寫等所有權 注意:務必不要修改TrustedInstaller的權限
處理完畢後,刷新頁面,應用程序池不會自動停止了,但是IIS又報401.2錯誤:
401 - 未授權: 由於憑據無效,訪問被拒絕。您無權使用所提供的憑據查看此目錄或頁面。
由於身份驗證頭無效,您無權查看此頁
需要調整下IIS裏邊的匿名身份訪問驗證,點擊對應的網站,按照如下操作:
1.功能視圖---身份驗證--全部禁用--開啓--匿名身份驗證-編輯--選擇應用程序池標識;
2.功能視圖---授權規則--右鍵添加允許規則--選擇所有用戶;
3、對應網站應用程序池的高級設置中,將應用程序池標識改爲NetworkService;
最後重啓一下IIS服務;