Teď jste offline a čekáte, až se znova připojí internet.

Popis aktualizace, která implementuje rozšířenou ochranu pro ověřování v Internetové informační službě (IIS)

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Úvod
Tento článek popisuje aktualizaci, která se netýká zabezpečení a která implementuje rozšířenou ochranu pro ověřování v Internetové informační službě (IIS).

Je-li aktivována funkce Rozšířená ochrana pro ověřování, jsou žádosti o ověření vázány k hlavnímu názvu služby (SPN) serveru, k němuž se klient pokouší připojit, a k vnějšímu kanálu protokolu TLS (Transport Layer Security), jehož prostřednictvím je realizováno ověřování IWA.

Poznámka: Tato aktualizace byla opakovaně vydána dne 9. března 2010 s cílem vyřešit potíže s instalací a funkčností:
  • Tato aktualizace nyní správně zjistí, pokud v počítači, v němž je spuštěn systém Windows Server 2003 Service Pack 2 (SP2), služba IIS 6 obsahuje binární soubory aktualizace Windows Server 2003 Service Pack 1 (SP1), nenainstaluje se a bude ukončena s kódem chyby. Verze aktualizace 973917, které byly vydány před tímto datem, budou úspěšně nainstalovány, ale mohou způsobit, že služba IIS nebude po instalaci restartována.
  • V počítači se systémem Windows Server 2003 toto opakované vydání řeší potíže, které by na základě povolení funkce Rozšířená ochrana pro ověřování mohly způsobit přidělení nadměrného množství paměti.
  • V počítači se systémem Windows Server 2008 toto opakované vydání řeší potíže, které by mohly způsobit, že rozšířená ochrana nebude fungovat správně, pokud je ve službě IIS nakonfigurováno použití ověřování systému Windows v režimu jádra.
Další informace

Konfigurace

Rozšířená ochrana rozšiřuje stávající funkce ověřování systému Windows s cílem zmírnit útoky narušením přenosu ověřování či útoky pomocí prostředníka (man in the middle). Tohoto omezení je dosaženo využitím zabezpečovacích informací, které jsou implementovány prostřednictvím dvou mechanismů zabezpečení:
  • Informace o vazbách kanálů, které jsou specifikovány prostřednictvím tokenu CBT (Channel Binding Token). Používají se zejména pro připojení SSL.
  • Informace o vazbách služeb, které jsou specifikovány prostřednictvím hlavního názvu služby (SPN). Používají se zejména pro připojení, která nepoužívají protokol SSL, nebo při navázání připojení. Příkladem může být například situace, kdy je zpracování protokolu SSL přesměrováno na jiné zařízení, jako je například proxy server nebo nástroj pro vyrovnávání zatížení.
Ve službě IIS 7.0 je rozšířená ochrana konfigurována prostřednictvím elementu <extendedProtection>. Podrobné informace o konfiguraci jsou uvedeny pod nadpisem Konfigurace ve službě IIS 7.0 a IIS 7.5. U služby IIS 6.0 jsou použity stejné konfigurační parametry, ale tyto parametry jsou nasazeny pomocí klíčů. (Informace naleznete v části Konfigurace ve službě IIS 6.0.)

Element <extendedProtection> může obsahovat kolekci elementů <spn>, z nichž každý obsahuje jedinečný název SPN pro informace o vazbách služeb. Každý název SPN reprezentuje jedinečný koncový bod připojení. Může se jednat o plně kvalifikovaný název domény (FQDN) nebo název NetBIOS cílového serveru nebo proxy serveru. Pokud se například klient připojuje k cílovému serveru pomocí proxy serveru, musí kolekce SPN na cílovém serveru obsahovat název SPN proxy serveru. Každý název SPN v kolekci musí obsahovat předponu HTTP. Proto název SPN pro web www.contoso.com vypadá takto: HTTP/www.contoso.com.

Scénáře rozšířené ochrany

Předpokládejme následující situaci.
Situace Příznaky Popis
Klient se připojuje přímo k cílovému serveru, který používá protokol HTTP. Proxy, ProxyCohosting Bude použita kontrola názvů SPN a kontrola tokenů vazeb kanálů nebude použita.
Klient se připojuje přímo k cílovému serveru, který používá protokol SSL. None Bude použita kontrola tokenů vazeb kanálů a kontrola názvů SPN nebude použita.
Klient se připojuje k cílovému serveru pomocí proxy serveru, který pro danou cestu používá protokol HTTP. Proxy, ProxyCohosting Bude použita kontrola názvů SPN a kontrola tokenů vazeb kanálů nebude použita.
Klient se připojuje k cílovému serveru pomocí proxy serveru, který pro danou cestu používá protokol SSL. Proxy Bude použita kontrola názvů SPN a kontrola tokenů vazeb kanálů nebude použita.
Klient se připojuje k proxy serveru, který používá protokol SSL, a proxy server se připojuje k cílovému serveru, který používá protokol HTTP (přesměrování zpracování protokolu SSL). Proxy Bude použita kontrola názvů SPN a kontrola tokenů vazeb kanálů nebude použita.
  • V těchto situacích můžete rovněž zadat příznak AllowDotlessSpn, pokud síťové prostředí podporuje názvy SPN systému NetBIOS. Názvy SPN systému NetBIOS však nejsou zabezpečené.
  • V situacích, kdy bude použita kontrola názvů SPN a kontrola tokenů vazeb kanálů nebude použita, byste neměli používat příznak NoServiceNameCheck.
  • Výchozí instalace služby IIS 6.0, IIS 7.0 a IIS 7.5 nepodporuje ani neinstaluje ověřování systému Windows. Rozšířená ochrana se uplatní pouze v případě, je-li pro danou aplikaci nebo web povoleno ověřování systému Windows.

Konfigurace ve službě IIS 7.0 a 7.5

Výchozí instalace služby IIS 7.0 nezahrnuje službu rolí ověřování systému Windows. Chcete-li použít ověřování systému Windows ve službě IIS, musíte nainstalovat službu rolí, zakázat anonymní ověřování pro daný web nebo aplikaci a pak pro tento web či aplikaci povolit ověřování systému Windows.

Poznámka: Po dokončení instalace služby rolí služba IIS 7.0 předá následující nastavení konfigurace do souboru ApplicationHost.config.
<windowsAuthentication enabled="false" />

Povolení rozšířené ochrany pro ověřování systému Windows pro službu IIS 7.5

  1. Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a pak klikněte na položku Správce Internetové informační služby (IIS).
  2. Na panelu Připojení rozbalte název serveru, rozbalte položku Weby a pak vyberte web, aplikaci nebo webovou službu, pro něž chcete povolit rozšířenou ochranu pro ověřování systému Windows.
  3. Přejděte k části Zabezpečení na panelu Domovská stránka a pak dvakrát klikněte na položku Ověřování.
  4. Na panelu Ověřování vyberte položku Ověřování systému Windows.
  5. Na panelu Akce klikněte na položku Povolit.
  6. Na panelu Akce klikněte na položku Upřesnit nastavení.
  7. Jakmile se zobrazí dialogové okno Upřesnit nastavení, vyberte v nabídce Rozšířená ochrana jednu z následujících možností:
    • Chcete-li povolit rozšířenou ochranu a přitom poskytnout základní podporu pro klienty, kteří nepodporují rozšířenou ochranu, vyberte možnost Přijmout.
    • Chcete-li povolit rozšířenou ochranu bez poskytnutí základní podpory, vyberte možnost Požadováno.
  8. Kliknutím na tlačítko OK zavřete dialogové okno Upřesnit nastavení.

Povolení rozšířené ochrany pro ověřování systému Windows pro službu IIS 7.0

Správce Internetové informační služby pro službu IIS 7.0 nevystavuje možnosti pro změny rozšířené ochrany. Proto je požadované změny nutné provádět pomocí ukázky konfigurace nebo skriptů, které jsou popsány dále v tomto článku.

Konfigurace

Atribut
Element <extendedProtection> lze konfigurovat na úrovni webu, aplikace nebo virtuálního adresáře v souboru ApplicationHost.config.
AtributPopis
flagsVolitelný atribut flags.

Určuje další nastavení chování pro rozšířenou ochranu.

Atribut flags může být kombinací hodnot v následující tabulce. Výchozí hodnota je None.
tokenCheckingVolitelný atribut výčtového typu.

Určuje chování pro kontrolu informací o vazbách kanálů.

Atribut tokenChecking může mít jednu z hodnot v následující tabulce. Výchozí hodnota je None.
Atribut flags konfiguruje další nastavení chování pro rozšířenou ochranu. Možné příznaky jsou následující.
NázevPopis
NoneTento příznak určuje, že pro rozšířenou ochranu není povoleno žádné další chování. (Není například použit žádný proxy server a kontrola názvů SPN je povolena a vyžaduje plně kvalifikované názvy domén.)

Číselná hodnota je 0.
ProxyTento příznak určuje, že část komunikace je realizována prostřednictvím proxy serveru nebo že se klient připojuje přímo k cílovému serveru pomocí protokolu HTTP.

Číselná hodnota je 1.
NoServiceNameCheckTento příznak určuje, že kontrola názvů SPN je zakázána. Tento příznak by neměl být používán v situacích, kdy jsou kontrolovány pouze názvy SPN.

Číselná hodnota je 2.
AllowDotlessSpnTento příznak určuje, že názvy SPN nemusí být plně kvalifikovanými názvy domény.

Poznámka: Nastavení tohoto příznaku nepředstavuje bezpečný scénář, protože názvy, které nejsou plně kvalifikovanými názvy domén, jsou zranitelné vůči útokům otrávení překladu adres IP. Toto nastavení se nedoporučuje, protože může zákazníky vystavit rizikům.

Číselná hodnota je 4.
ProxyCohostingTento příznak určuje, že na komunikační cestě mezi klientem a serverem bude použit pouze protokol HTTP. Žádná část komunikační cesty nebude využívat protokol SSL a bude použita kontrola názvů SPN.

Poznámka: Zadáte-li tento příznak, musíte rovněž zadat příznak Proxy.

Číselná hodnota je 32.
Atribut tokenChecking konfiguruje chování při kontrole tokenů vazeb kanálů. Možné hodnoty tohoto atributu jsou následující:
NázevPopis
NoneTato hodnota určuje, že služba IIS nebude provádět kontrolu tokenů vazeb kanálů. Toto nastavení emuluje chování před použitím rozšířené ochrany.

Číselná hodnota je 0.
AllowTato hodnota určuje, že kontrola tokenů vazeb kanálů je povolena, ale není požadována. Toto nastavení umožňuje, aby komunikace s klienty, kteří podporují rozšířenou ochranu, byla touto funkcí chráněna, ale i nadále podporuje klienty, kteří nemohou použít rozšířenou ochranu.

Číselná hodnota je 1.
RequireTato hodnota určuje, že kontrola tokenů vazeb kanálů je požadována. Toto nastavení neposkytuje podporu pro klienty, kteří nepodporují rozšířenou ochranu.

Číselná hodnota je 2.
Podřízené elementy
ElementPopis
spnPřidá název SPN ke kolekci.
clearSpnsVymaže kolekci názvů SPN.
removeSpnOdebere název SPN z kolekce.

Ukázka konfigurace

Následující ukázka zobrazí element <extendedProtection>, který demonstruje povolení ověřování systému Windows s rozšířenou ochranou pro výchozí web. Tato ukázka přidá do kolekce názvů SPN dvě položky.
<location path="Default Web Site">   <system.webServer>      <security>         <authentication>            <windowsAuthentication enabled="true">               <extendedProtection tokenChecking="Allow" flags="None">                  <spn name="HTTP/www.contoso.com" />                  <spn name="HTTP/contoso.com" />               </extendedProtection>            </windowsAuthentication>         </authentication>      </security>   </system.webServer></location>

Ukázka kódu

Následující ukázka demonstruje postup při povolení ověřování systému Windows s rozšířenou ochranou pro web Default Web Site a přidání dvou položek do kolekce názvů SPN.
AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"Allow" /extendedProtection.flags:"None" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/www.contoso.com']" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/contoso.com']" /commit:apphost
Poznámka: Použijete-li ke konfiguraci tohoto nastavení program AppCmd.exe, je třeba nastavit parametr commit na hodnotu APPHOST. Toto nastavení předá nastavení konfigurace do oddílu příslušného umístění v souboru ApplicationHost.config.
C#

using System;using System.Text;using Microsoft.Web.Administration;internal static class Sample{   private static void Main()   {      using (ServerManager serverManager = new ServerManager())      {         Configuration config = serverManager.GetApplicationHostConfiguration();         ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site");         windowsAuthenticationSection["enabled"] = true;         ConfigurationElement extendedProtectionElement = windowsAuthenticationSection.GetChildElement("extendedProtection");         extendedProtectionElement["tokenChecking"] = @"Allow";         extendedProtectionElement["flags"] = @"None";         ConfigurationElementCollection extendedProtectionCollection = extendedProtectionElement.GetCollection();         ConfigurationElement spnElement = extendedProtectionCollection.CreateElement("spn");         spnElement["name"] = @"HTTP/www.contoso.com";         extendedProtectionCollection.Add(spnElement);         ConfigurationElement spnElement1 = extendedProtectionCollection.CreateElement("spn");         spnElement1["name"] = @"HTTP/contoso.com";         extendedProtectionCollection.Add(spnElement1);         serverManager.CommitChanges();      }   }}

Visual Basic .NET

Imports SystemImports System.TextImports Microsoft.Web.AdministrationModule Sample   Sub Main()      Dim serverManager As ServerManager = New ServerManager      Dim config As Configuration = serverManager.GetApplicationHostConfiguration      Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site")      windowsAuthenticationSection("enabled") = True      Dim extendedProtectionElement As ConfigurationElement = windowsAuthenticationSection.GetChildElement("extendedProtection")      extendedProtectionElement("tokenChecking") = "Allow"      extendedProtectionElement("flags") = "None"      Dim extendedProtectionCollection As ConfigurationElementCollection = extendedProtectionElement.GetCollection      Dim spnElement As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")      spnElement("name") = "HTTP/www.contoso.com"      extendedProtectionCollection.Add(spnElement)      Dim spnElement1 As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")      spnElement1("name") = "HTTP/contoso.com"      extendedProtectionCollection.Add(spnElement1)      serverManager.CommitChanges()   End SubEnd Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");windowsAuthenticationSection.Properties.Item("enabled").Value = true;var extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection");extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow";extendedProtectionElement.Properties.Item("flags").Value = "None";var extendedProtectionCollection = extendedProtectionElement.Collection;var spnElement = extendedProtectionCollection.CreateNewElement("spn");spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com";extendedProtectionCollection.AddElement(spnElement);var spnElement1 = extendedProtectionCollection.CreateNewElement("spn");spnElement1.Properties.Item("name").Value = "HTTP/contoso.com";extendedProtectionCollection.AddElement(spnElement1);adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")windowsAuthenticationSection.Properties.Item("enabled").Value = TrueSet extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection")extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow"extendedProtectionElement.Properties.Item("flags").Value = "None"Set extendedProtectionCollection = extendedProtectionElement.CollectionSet spnElement = extendedProtectionCollection.CreateNewElement("spn")spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com"extendedProtectionCollection.AddElement(spnElement)Set spnElement1 = extendedProtectionCollection.CreateNewElement("spn")spnElement1.Properties.Item("name").Value = "HTTP/contoso.com"extendedProtectionCollection.AddElement(spnElement1)adminManager.CommitChanges()

Konfigurace ve službě IIS 6.0

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Zálohování, úpravy a obnovení registru v systémech Windows XP a Windows Server 2003

Ve službě IIS 6.0 lze rozšířenou ochranu pro ověřování nakonfigurovat nastavením následujících klíčů registru.
Klíč registru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\tokenChecking
Povolené hodnoty: 0 (None), 1 (Allow), 2 (Require)
Typ dat:DWORD
Výchozí hodnota: 0
NázevPopis
NoneTato hodnota určuje, že služba IIS nebude provádět kontrolu tokenů vazeb kanálů. Toto nastavení emuluje chování před použitím rozšířené ochrany.

Číselná hodnota je 0.
AllowTato hodnota určuje, že kontrola tokenů vazeb kanálů je povolena, ale není požadována. Toto nastavení umožňuje, aby komunikace s klienty, kteří podporují rozšířenou ochranu, byla touto funkcí chráněna, ale i nadále podporuje klienty, kteří nemohou použít rozšířenou ochranu.

Číselná hodnota je 1.
RequireTato hodnota určuje, že kontrola tokenů vazeb kanálů je požadována. Toto nastavení neposkytuje podporu pro klienty, kteří nepodporují rozšířenou ochranu.

Číselná hodnota je 2.
Klíč registru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\flags
Povolené hodnoty: 0 (None), 1 (Proxy), 2 (NoServiceNameCheck), 4 (AllowDotlessSpn), 32 (ProxyCohosting)
Typ dat:DWORD
Výchozí hodnota: 0
NázevPopis
NoneTento příznak určuje, že pro rozšířenou ochranu není povoleno žádné další chování. (Není například použit proxy server.)

Číselná hodnota je 0.
ProxyTento příznak určuje, že část komunikace bude realizována prostřednictvím proxy serveru. Pokud se klient připojuje přímo k cílovému serveru pomocí protokolu HTTP, musí být povoleny příznaky Proxy a ProxyCoHosting.

Číselná hodnota je 1.
NoServiceNameCheckTento příznak určuje, že kontrola názvů SPN je zakázána. Tento příznak by neměl být používán v situacích, kdy jsou kontrolovány pouze názvy SPN.

Číselná hodnota je 2.
AllowDotlessSpnTento příznak určuje, že názvy SPN nemusí být plně kvalifikovanými názvy domény. Nastavení tohoto příznaku umožňuje použít názvy SPN systému NetBIOS.

Poznámka: Nastavení tohoto příznaku nepředstavuje bezpečný scénář, protože názvy, které nejsou plně kvalifikovanými názvy domén, jsou zranitelné vůči útokům otrávení překladu adres IP. Toto nastavení se nedoporučuje, protože může zákazníky vystavit rizikům.

Číselná hodnota je 4.
ProxyCohostingTento příznak určuje, že na komunikační cestě mezi klientem a serverem bude použit pouze protokol HTTP. Žádná část komunikační cesty nebude využívat protokol SSL a bude použita kontrola názvů SPN. Tento bit rovněž nastavte, má-li být úspěšně ověřen zabezpečený i nezabezpečený přenos dat, která jsou odesílána prostřednictvím proxy serveru.

Poznámka: Zadáte-li tento příznak, musíte rovněž zadat příznak Proxy.

Číselná hodnota je 32.
Klíč registru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\spns
Povolené hodnoty: <řetězce>
Typ dat:MULTI_SZ
Výchozí hodnota: prázdné
Chcete-li nastavit tyto klíče registru, postupujte takto:
  1. Spusťte program Editor registru. To provedete tak, že kliknete na tlačítko Start a na příkaz Spustit, zadáte regedit a pak kliknete na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klikněte na něj:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\
  3. Ověřte, zda jsou k dispozici hodnoty registru
    tokenChecking
    ,
    Flags
    a
    spns
    .

    Pokud tyto hodnoty registru nejsou k dispozici, vytvořte je pomocí následujícího postupu.
    1. Po výběru příslušného podklíče uvedeného v kroku 2 přejděte v nabídce Upravit na podnabídku Nový a klikněte na příkaz Hodnota DWORD.
    2. Zadejte text tokenChecking a pak stiskněte klávesu ENTER.
    3. Po výběru příslušného podklíče uvedeného v kroku 2 přejděte v nabídce Upravit na podnabídku Nový a klikněte na příkaz Hodnota DWORD.
    4. Zadejte text flags a potom stiskněte klávesu ENTER.
    5. Po výběru příslušného podklíče uvedeného v kroku 2 přejděte v nabídce Upravit na podnabídku Nový a klikněte na příkaz Hodnota MULTI_SZ.
    6. Zadejte text spns a pak stiskněte klávesu ENTER.
  4. Kliknutím vyberte hodnotu registru tokenChecking.
  5. V nabídce Úpravy klikněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte požadovanou hodnotu a pak klikněte na tlačítko OK.
  7. Kliknutím vyberte hodnotu registru flags.
  8. Do pole Údaj hodnoty zadejte požadovanou hodnotu a pak klikněte na tlačítko OK.
  9. Kliknutím vyberte hodnotu registru spns.
  10. Do pole Údaj hodnoty zadejte požadovaný název SPN a pak klikněte na tlačítko OK.
  11. Ukončete program Editor registru.
Další informace o rozšířené ochraně pro ověřování a jejím povolení po instalaci této aktualizace naleznete na následujícím webu společnosti Microsoft: Další informace o službě IIS naleznete na následujícím webu společnosti Microsoft:Integrované ověřování systému Windows s rozšířenou ochranouHlavní názvy služby

Informace o aktualizaci

Požadavky pro systém Windows Server2003

Tato aktualizace vyžaduje správnou instalaci systému Windows Server 2003 Service Pack 2 (SP2). V některých situacích se může stát, že binární soubory aktualizace Service Pack 1 (SP1) jsou nainstalovány v počítači, v němž je jinak spuštěna aktualizace SP2. Instalace této aktualizace v takovém počítači může způsobit chybu služby IIS, která způsobí, že server v případě všech požadavků vrátí chybu 503 – Služba není dostupná. Chcete-li určit, zda jsou na serveru spuštěny správné binární soubory aktualizace SP2 pro službu IIS, ověřte v následující tabulce, zda se čísla verzí rovnají číslům verzí, které jsou zde uvedeny, nebo zda odpovídají novějším verzím.
File nameFile versionFile sizeDatePlatformSP requirement
Adrot.dll6.0.3790.395958,88017-Feb-2007x86SP2
Adsiis.dll6.0.3790.3959291,32817-Feb-2007x86SP2
Asp.dll6.0.3790.3959388,09617-Feb-2007x86SP2
Browscap.dll6.0.3790.395947,10417-Feb-2007x86SP2
Certobj.dll6.0.3790.395982,43217-Feb-2007x86SP2
Coadmin.dll6.0.3790.395964,00017-Feb-2007x86SP2
Controt.dll6.0.3790.395933,79217-Feb-2007x86SP2
Davcdata.exe6.0.3790.395927,13617-Feb-2007x86SP2
Davcprox.dll6.0.3790.39596,65617-Feb-2007x86SP2
Gzip.dll6.0.3790.395925,60017-Feb-2007x86SP2
Httpext.dll6.0.3790.3959241,66417-Feb-2007x86SP2
Httpmib.dll6.0.3790.395918,94417-Feb-2007x86SP2
Httpodbc.dll6.0.3790.395948,64017-Feb-2007x86SP2
Iisadmin.dll6.0.3790.395921,50417-Feb-2007x86SP2
Iiscfg.dll6.0.3790.39591,133,05617-Feb-2007x86SP2
Iisclex4.dll6.0.3790.062,97618-Feb-2007x86SP2
Iisext.dll6.0.3790.395982,94417-Feb-2007x86SP2
Iislog.dll6.0.3790.395976,28817-Feb-2007x86SP2
Iisres.dll6.0.3790.3959122,88017-Feb-2007x86SP2
Iisrstas.exe6.0.3790.395928,16017-Feb-2007x86SP2
Iisui.dll6.0.3790.3959217,08817-Feb-2007x86SP2
Iisuiobj.dll6.0.3790.395968,60817-Feb-2007x86SP2
Iisutil.dll6.0.3790.3959167,93617-Feb-2007x86SP2
Iisw3adm.dll6.0.3790.3959216,57617-Feb-2007x86SP2
Iiswmi.dll6.0.3790.3959194,56017-Feb-2007x86SP2
Inetinfo.exe6.0.3790.395914,33617-Feb-2007x86SP2
Inetmgr.dll6.0.3790.39591,058,30417-Feb-2007x86SP2
Inetmgr.exe6.0.3790.395919,45617-Feb-2007x86SP2
Infocomm.dll6.0.3790.3959235,52017-Feb-2007x86SP2
Isapips.dll6.0.3790.39598,19217-Feb-2007x86SP2
Isatq.dll6.0.3790.395952,73617-Feb-2007x86SP2
Iscomlog.dll6.0.3790.395919,45617-Feb-2007x86SP2
Logscrpt.dll6.0.3790.395925,60017-Feb-2007x86SP2
Lonsint.dll6.0.3790.395913,31217-Feb-2007x86SP2
Metadata.dll6.0.3790.3959234,49617-Feb-2007x86SP2
Nextlink.dll6.0.3790.395961,44017-Feb-2007x86SP2
Nntpadm.dll6.0.3790.3959187,39217-Feb-2007x86SP2
Nntpsnap.dll6.0.3728.02,663,42417-Feb-2007x86SP2
Rpcref.dll6.0.3790.39594,09617-Feb-2007x86SP2
Seo.dll6.0.3790.3959219,13617-Feb-2007x86SP2
Smtpadm.dll6.0.3790.3959179,20017-Feb-2007x86SP2
Smtpsnap.dll6.0.3728.02,086,40017-Feb-2007x86SP2
Ssinc.dll6.0.3790.395924,06417-Feb-2007x86SP2
Svcext.dll6.0.3790.395944,54417-Feb-2007x86SP2
Uihelper.dll6.0.3790.3959114,17617-Feb-2007x86SP2
Urlauth.dll6.0.3790.395915,36017-Feb-2007x86SP2
W3cache.dll6.0.3790.395919,45617-Feb-2007x86SP2
W3comlog.dll6.0.3790.395910,75217-Feb-2007x86SP2
W3core.dll6.0.3790.3959349,69617-Feb-2007x86SP2
W3ctrlps.dll6.0.3790.39596,14417-Feb-2007x86SP2
W3ctrs.dll6.0.3790.395924,06417-Feb-2007x86SP2
W3dt.dll6.0.3790.395939,42417-Feb-2007x86SP2
W3ext.dll6.0.3790.395992,67217-Feb-2007x86SP2
W3isapi.dll6.0.3790.395962,46417-Feb-2007x86SP2
W3tp.dll6.0.3790.395913,31217-Feb-2007x86SP2
W3wp.exe6.0.3790.39597,16817-Feb-2007x86SP2
Wam.dll6.0.3790.395923,04017-Feb-2007x86SP2
Wamps.dll6.0.3790.39596,65617-Feb-2007x86SP2
Wamreg.dll6.0.3790.395955,80817-Feb-2007x86SP2

Známé problémy

  • Windows Server 2003

    Tato aktualizace byla znovu vydána dne 9. března 2010 s cílem provést další kontrolu a ověřit, zda systém IIS 6 v počítači, v němž je spuštěn systém Windows Server 2003 SP2, neobsahuje binární soubory z verze SP1. Pokud jsou takové binární soubory nalezeny, tato aktualizace bude ukončena s chybovou zprávou. Chcete-li tyto potíže odstranit, do počítačů znovu nainstalujte aktualizaci SP2 a po úspěšném dokončení této přeinstalace nainstalujte tento balíček.

    Původní verze této aktualizace zabezpečení, která byla vydána před 9. březnem 2010, by mohla způsobit, že v počítačích se systémem Windows Server 2003 SP2, v nichž služba IIS 6 obsahuje binární soubory aktualizace SP1, se nespustí fondy aplikací služby IIS. Po spuštění služby IIS by se v systémovém protokolu zobrazila následující chybová zpráva:
    ID události 1009, popis: Proces obsluhující fond aplikací DefaultAppPool byl neočekávaně ukončen. ID procesu je 1234.
    Další informace o tomto známém problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    2009746 Po instalaci opravy popsané v článku KB973917 se může stát, že Internetová informační služba 6.0 nebude fungovat správně (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
    Pokud v počítači není k dispozici čistá instalace systému Windows Server 2003 SP2, doporučujeme přečíst si část Požadavky pro systém Windows Server 2003.

    Používáte-li funkci Automatické aktualizace, nebude vám po 16. prosinci 2009 již tato aktualizace nabízena, pokud instalace služby IIS je nakonfigurována tak, že v počítači jsou k dispozici binární soubory aktualizace SP1 i SP2. Doporučujeme přečíst si následující článek znalostní báze Microsoft Knowledge Base a zjistit další kroky, které je třeba provést k zajištění, že počítač je připraven k instalaci této aktualizace.
    2009746 Po instalaci opravy popsané v článku KB973917 se může stát, že Internetová informační služba 6.0 nebude fungovat správně (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
  • Windows Server 2003 a Windows Server 2008

    Tato aktualizace byla opakovaně vydána 9. března 2010.Tato opakovaně vydaná aktualizace plně nahrazuje původní vydání. Pokud instalujete novou verzi, bude původní verze odinstalována a nahrazena novou. Pokud v počítači odinstalujete verzi této aktualizace z 9. března, nebude k dispozici funkce rozšířené ochrany pro službu IIS.
INFORMACE O SOUBORECH
Anglická verze (Spojené státy) této aktualizace softwaru instaluje soubory, které mají atributy uvedené v následujících tabulkách. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Data a časy těchto souborů se zobrazují v místním počítači podle místního času a podle aktuálního nastavení letního času. Data a časy se mohou změnit, provedete-li se soubory určité operace.

Informace o souborech pro systém Windows Server 2003

  • Soubory týkající se konkrétního milníku (RTM, SPn) a složky služby (QFE, GDR) jsou označeny ve sloupcích Požadavek na aktualizaci SP a Složka služby.
  • Větve GDR obsahují pouze opravy, které byly veřejně vydány k odstranění rozšířených závažných problémů. Složky služby QFE obsahují kromě veřejně vydaných oprav také opravy hotfix.
  • Kromě souborů uvedených v těchto tabulkách tato aktualizace softwaru nainstaluje rovněž příslušný soubor katalogu zabezpečení (KBčíslo.cat), který je podepsaný digitálním podpisem společnosti Microsoft.

Pro všechny podporované verze x64 systému Windows Server 2003 a pro systém Windows XP Professional x64 Edition

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616562,17618-Feb-201019:57x64SP2SP2GDR
Httpapi.dll5.2.3790.461637,37618-Feb-201019:57x64SP2SP2GDR
Strmfilt.dll6.0.3790.4647134,65618-Feb-201019:57x64SP2SP2GDR
W3core.dll6.0.3790.4667547,32818-Feb-201019:57x64SP2SP2GDR
W3dt.dll6.0.3790.466758,88018-Feb-201019:57x64SP2SP2GDR
W3isapi.dll6.0.3790.466784,99218-Feb-201019:57x64SP2SP2GDR
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:57x86SP2SP2GDR\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:57x86SP2SP2GDR\WOW
Ww3core.dll6.0.3790.4667350,72018-Feb-201019:57x86SP2SP2GDR\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:57x86SP2SP2GDR\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:57x86SP2SP2GDR\WOW
Http.sys5.2.3790.4616567,80818-Feb-201019:53x64SP2SP2QFE
Httpapi.dll5.2.3790.461637,37618-Feb-201019:53x64SP2SP2QFE
Strmfilt.dll6.0.3790.4647134,65618-Feb-201019:53x64SP2SP2QFE
W3core.dll6.0.3790.4667547,32818-Feb-201019:53x64SP2SP2QFE
W3dt.dll6.0.3790.466758,88018-Feb-201019:53x64SP2SP2QFE
W3isapi.dll6.0.3790.466784,99218-Feb-201019:53x64SP2SP2QFE
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:53x86SP2SP2QFE\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:53x86SP2SP2QFE\WOW
Ww3core.dll6.0.3790.4667351,23218-Feb-201019:53x86SP2SP2QFE\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:53x86SP2SP2QFE\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:53x86SP2SP2QFE\WOW

Pro všechny podporované verze x86 systému Windows Server 2003

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616292,86406-Nov-200912:54x86SP2SP2GDR
Httpapi.dll5.2.3790.461625,08811-Nov-200905:09x86SP2SP2GDR
Strmfilt.dll6.0.3790.464786,52811-Jan-201010:23x86SP2SP2GDR
W3core.dll6.0.3790.4667350,72018-Feb-201005:31x86SP2SP2GDR
W3dt.dll6.0.3790.466739,42418-Feb-201005:31x86SP2SP2GDR
W3isapi.dll6.0.3790.466762,97618-Feb-201005:31x86SP2SP2GDR
Http.sys5.2.3790.4616294,91206-Nov-200911:46x86SP2SP2QFE
Httpapi.dll5.2.3790.461625,08811-Nov-200905:51x86SP2SP2QFE
Strmfilt.dll6.0.3790.464786,52811-Jan-201009:36x86SP2SP2QFE
W3core.dll6.0.3790.4667351,23218-Feb-201005:50x86SP2SP2QFE
W3dt.dll6.0.3790.466739,42418-Feb-201005:50x86SP2SP2QFE
W3isapi.dll6.0.3790.466762,97618-Feb-201005:50x86SP2SP2QFE

Pro všechny podporované verze IA-64 systému Windows Server 2003

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616806,91218-Feb-201019:57IA-64SP2SP2GDR
Httpapi.dll5.2.3790.461669,63218-Feb-201019:57IA-64SP2SP2GDR
Strmfilt.dll6.0.3790.4647254,97618-Feb-201019:57IA-64SP2SP2GDR
W3core.dll6.0.3790.46671,066,49618-Feb-201019:57IA-64SP2SP2GDR
W3dt.dll6.0.3790.466787,04018-Feb-201019:57IA-64SP2SP2GDR
W3isapi.dll6.0.3790.4667121,85618-Feb-201019:57IA-64SP2SP2GDR
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:57x86SP2SP2GDR\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:57x86SP2SP2GDR\WOW
Ww3core.dll6.0.3790.4667350,72018-Feb-201019:57x86SP2SP2GDR\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:57x86SP2SP2GDR\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:57x86SP2SP2GDR\WOW
Http.sys5.2.3790.4616815,10418-Feb-201019:51IA-64SP2SP2QFE
Httpapi.dll5.2.3790.461669,63218-Feb-201019:51IA-64SP2SP2QFE
Strmfilt.dll6.0.3790.4647254,97618-Feb-201019:51IA-64SP2SP2QFE
W3core.dll6.0.3790.46671,067,00818-Feb-201019:51IA-64SP2SP2QFE
W3dt.dll6.0.3790.466787,04018-Feb-201019:51IA-64SP2SP2QFE
W3isapi.dll6.0.3790.4667121,85618-Feb-201019:51IA-64SP2SP2QFE
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:51x86SP2SP2QFE\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:51x86SP2SP2QFE\WOW
Ww3core.dll6.0.3790.4667351,23218-Feb-201019:51x86SP2SP2QFE\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:51x86SP2SP2QFE\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:51x86SP2SP2QFE\WOW

Informace o souborech pro systémy Windows Vista a Windows Server 2008

  • Soubory týkající se konkrétního produktu, milníku (RTM, SPn) a složky služby (LDR, GDR) lze identifikovat porovnáním čísel verzí souborů podle následující tabulky:ERROR: PhantomJS timeout occurred