Beskrivelse af opdateringen, som implementerer udvidet beskyttelse ved godkendelse i ISS (Internet Information Services)

Introduktion

I denne artikel beskrives en ikke-sikkerhedsrelateret opdatering, som implementerer udvidet beskyttelse ved godkendelse i ISS (Internet Information Services).

Når udvidet beskyttelse ved godkendelse er aktiveret, bindes godkendelsesanmodninger både til SPN-navnene (Service Principal Names) for den server, som klienten forsøger at oprette forbindelse til, og den ydre TLS-kanal (Transport Layer Security), der bruges til Integreret Windows-godkendelse.

Bemærk! Denne opdatering blev udgivet den 9. marts 2010 for at løse et installationsproblem og et funktionalitetsproblem:
  • Denne opdatering vil nu korrekt registrere, hvornår en computer, der kører Windows Server 2003 Service Pack 2 (SP2), er på en installation, hvor IIS 6 indeholder nogle binære filer fra Windows Server 2003 Service Pack 1 (SP1). Installationen vil blive nægtet, og der afbrydes med en fejlkode. Opdateringsversionerne 973917, der blev udgivet før denne dato, vil fuldføre installationen, men de kan forårsage, at IIS ikke genstartes efter installationen.
  • På computere, der kører Windows Server 2003, løser denne genudgivelse et problem, der kan forårsage, at en overdreven stor mængde hukommelse bliver tildelt, når udvidet beskyttelse ved godkendelse aktiveres.
  • På computere, der kører Windows Server 2008, løser denne genudgivelse et problem, der kan forårsage, at udvidet beskyttelse ikke fungerer korrekt, når IIS er konfigureret til at bruge kernetilstanden Windows-godkendelse.

Yderligere Information

Konfiguration

Udvidet beskyttelse styrker den eksisterende Windows-godkendelsesfunktion, så angreb med videresendelse af godkendelser eller "man in the middle"-angreb forebygges. Angrebene forebygges ved hjælp af sikkerhedsoplysninger, som implementeres via følgende to sikkerhedsmekanismer:
  • Kanalbindingsoplysninger, som angives via et kanalbindingstoken. Dette bruges primært til SSL-forbindelser.
  • Tjenestebindingsoplysninger, som angives via et SPN-navn (Serivce Principal Name). Dette bruges primært til forbindelser, som ikke anvender SSL, eller når forbindelsen oprettes. Dette kan f.eks. være i scenarier, hvor der anvendes SSL-aflastning til en anden enhed, f.eks. en proxyserver eller Load Balancing-tjeneste.
I IIS 7.0 konfigureres udvidet beskyttelse via elementet <extendedProtection>. Du kan finde detaljerede oplysninger i afsnittet med overskriften "Konfiguration på IIS 7.0 og IIS 7.5". Der anvendes de samme konfigurationsparametre i IIS 6.0, men parametrene implementeres ved hjælp af nøgler i registreringsdatabasen. Se afsnittet "Konfiguration på IIS 6.0."

Elementet <extendedProtection> kan indeholde en samling af <spn>-elementer, som hvert har et entydigt SPN-navn for tjenestebindingsoplysningerne. Hvert SPN-navn udgør et entydigt slutpunkt i forbindelsesstien. Det kan f.eks. være et fuldt kvalificeret domænenavn (FQDN) eller et NetBIOS-navn på destinationsserveren eller en proxyserver. Hvis en klient f.eks. opretter forbindelse til en destinationsserver via en proxyserver, skal samlingen af SPN-navne på destinationsserveren inkludere proxyserverens SPN-navn. Hvert SPN-navn i samlingen skal have præfikset "HTTP". Therefore, the SPN for "www.contoso.com" would be "HTTP/www.contoso.com".

Extended Protection Scenarios

Consider the following sample scenarios.
ScenarieFlagBeskrivelse
Klienten opretter direkte forbindelse til en destinationsserver, som bruger HTTP.Proxy, ProxyCohostingDer anvendes SPN-kontrol, men ikke kanalbindingstoken.
Klienten opretter direkte forbindelse til en destinationsserver, som bruger SSL.IngenDer anvendes kanalbindingstoken, men ikke SPN-kontrol.
Klienten opretter forbindelse til destinationsserveren via en proxyserver, som anvender en HTTP-sti.Proxy, ProxyCohostingDer anvendes SPN-kontrol, men ikke kanalbindingstoken.
Klienten opretter forbindelse til destinationsserveren via en proxyserver, som anvender SSL som sti.ProxyDer anvendes SPN-kontrol, men ikke kanalbindingstoken.
Klienten opretter forbindelse til en proxyserver, som anvender SSL, og proxyserveren opretter derefter forbindelse til destinationsserveren, som anvender HTTP (SSL-aflastning).ProxyDer anvendes SPN-kontrol, men ikke kanalbindingstoken.
  • I disse scenarier kan du også angive flaget AllowDotlessSpn, hvis netværksmiljøet understøtter NetBIOS-baserede SPN-navne. NetBIOS-baserede SPN-navne er dog ikke sikre.
  • I scenarier, hvor der anvendes SPN-kontrol uden kanalbindingstoken, skal du ikke angive flaget NoServiceNameCheck.
  • Windows-godkendelse aktiveres eller installeres ikke med standardinstallationer af IIS 6.0, IIS 7.0 eller IIS 7.5. Udvidet beskyttelse er kun tilgængelig, når Windows-godkendelse er aktiveret for webstedet eller programmet.

Konfiguration på IIS 7.0 og 7.5

Standardinstallationen af IIS 7.0 omfatter ikke rolletjenesten Windows-godkendelse. Hvis du vil bruge Windows-godkendelse på IIS, skal du installere rolletjenesten, deaktivere anonym godkendelse for webstedet eller programmet og derefter aktivere Windows-godkendelse for webstedet eller programmet.

Bemærk! Når du har installeret rolletjenesten, angives følgende konfigurationsindstillinger i filen ApplicationHost.config i IIS 7.0:
<windowsAuthentication enabled="false" />

Sådan aktiveres udvidet beskyttelse til Windows-godkendelse i IIS 7.5

  1. Klik på Start, peg på Administration, og klik derefter på Internet Information Services (IIS) Manager.

  2. Udvid servernavnet i ruden Forbindelser, udvid Websteder, og vælg derefter det websted eller program eller den webtjeneste, hvor du vil aktivere udvidet beskyttelse til Windows-godkendelse.
  3. Rul til afsnittet Sikkerhed i ruden Start, og dobbeltklik på Godkendelse.

  4. Vælg Windows-godkendelse i ruden Godkendelse.

  5. Klik på Aktiver i ruden Handlinger.


  6. Klik på Avancerede indstillinger i ruden Handlinger.

  7. Markér en af følgende indstillinger i menuen Udvidet beskyttelse, når dialogboksen Avancerede indstillinger åbnes:
    • Vælg Accepter, hvis du vil aktivere udvidet beskyttelse med understøttelse af tidligere klientversioner, som ikke understøtter udvidet beskyttelse.
    • Vælg Krævet, hvis du vil aktivere udvidet beskyttelse uden understøttelse af tidligere versioner.

  8. Klik på OK for at lukke dialogboksen Avancerede indstillinger.

Sådan aktiveres udvidet beskyttelse til Windows-godkendelse i IIS 7.0

Internet Information Services (IIS) Manager til IIS 7.0 har ingen tilgængelige indstillinger, hvor det er muligt at foretage ændringer i udvidet beskyttelse. Eventuelle ændringer skal derfor foretages ved hjælp af det konfigurationseksempel eller de scripts, der er vist senere i artiklen.

Konfiguration

Attribut
Det er muligt at konfigurere elementet <udvidet beskyttelse> for webstedet, programmet eller det virtuelle bibliotek i filen ApplicationHost.config.
AttributBeskrivelse
flagValgfri flagattribut.



Angiver ekstra indstillinger for udvidet beskyttelse.



Flag-attributten kan være en kombination af de værdier, der er angivet i den næste tabel. Standardværdien er Ingen.
tokenCheckingValgfri optællingsattribut.



Angiver funktionsmåden for kontrol med kanalbindingsoplysninger.



Attributten tokenChecking kan være en af de værdier, der er angivet i den næste tabel. Standardværdien er Ingen.
Flag-attributten konfigurerer ekstra indstillinger for udvidet beskyttelse. Følgende flag er mulige:
NavnBeskrivelse
IngenDette flag angiver, at der ikke er aktiveret yderligere indstillinger for udvidet beskyttelse. Der anvendes f.eks. ikke nogen proxyserver, og SPN-kontrol er aktiveret og kræver FQDN-navne.


Den numeriske værdi er 0.
ProxyDette flag angiver, at en del af kommunikationsstien går via en proxyserver, eller at klienten opretter direkte forbindelse til destinationsserveren via HTTP.


Den numeriske værdi er 1.
NoServiceNameCheckDette flag angiver, at SPN-kontrol er deaktiveret. Dette flag bør ikke bruges i scenarier, hvor der kun anvendes SPN-kontrol.


Den numeriske værdi er 2.
AllowDotlessSpnDette flag angiver, at SPN-navne ikke behøver at være fuldt kvalificerede domænenavne (FQDN).

Bemærk! Angivelse af dette flag er ikke et sikkert scenarie, da visse navne, der ikke er baseret på FQDN, er sårbare over for angreb med forfalsket navneoversættelse. Indstillingen anbefales ikke, da den kan gøre kundernes systemer sårbare.


Den numeriske værdi er 4.
ProxyCohostingDette flag angiver, at kommunikationsstien fra klienten til serveren udelukkende anvender HTTP. Kommunikationsstien bruger slet ikke SSL, og der anvendes SPN-kontrol.

Bemærk! Når du angiver dette flag, skal du også angive flaget Proxy.

Den numeriske værdi er 32.
Attributten tokenChecking angiver funktionsmåden for kontrol med kanalbindingstokens. Denne attribut kan have følgende værdier:
NavnBeskrivelse
IngenDenne værdi angiver, at der ikke udføres nogen kontrol med kanalbindingstoken i IIS. Indstillingen emulerer den funktionsmåde, der var gældende før den udvidede beskyttelse.


Den numeriske værdi er 0.
TilladDenne værdi angiver, at kontrol med kanalbindingstoken er aktiveret, men ikke påkrævet. Denne indstilling aktiverer udvidet beskyttelse for kommunikation med klienter, som understøtter udvidet beskyttelse, men understøtter også klienter, som ikke kan bruge udvidet beskyttelse.


Den numeriske værdi er 1.
KrævDenne værdi angiver, at kontrol med kanalbindingstoken er påkrævet. Indstillingen indeholder ingen understøttelse af klienter, som ikke understøtter udvidet beskyttelse.


Den numeriske værdi er 2.
Underordnede elementer
ElementBeskrivelse
spnFøjer et SPN-navn til samlingen.
clearSpnsRydder samlingen af SPN-navne.
removeSpnFjerner et SPN-navn fra samlingen.

Konfigurationseksempel

I følgende eksempel vises et element fra <udvidet beskyttelse>, som aktiverer Windows-godkendelse med udvidet beskyttelse for standardwebstedet. I eksemplet føjes der to SPN-poster til samlingen af SPN-navne.
<location path="Default Web Site">
<system.webServer>
<security>
<authentication>
<windowsAuthentication enabled="true">
<extendedProtection tokenChecking="Allow" flags="None">
<spn name="HTTP/www.contoso.com" />
<spn name="HTTP/contoso.com" />
</extendedProtection>
</windowsAuthentication>
</authentication>
</security>
</system.webServer>
</location>

Eksempelkode

I nedenstående eksempler aktiveres Windows-godkendelse med udvidet beskyttelse for standardwebstedet, og der føjes to SPN-poster til samlingen af SPN-navne.
AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"Allow" /extendedProtection.flags:"None" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/www.contoso.com']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/contoso.com']" /commit:apphost
Bemærk! Kontrollér, at parameteren commit er angivet til APPHOST, når du bruger AppCmd.exe til at konfigurere disse indstillinger. Indstillingen gemmer konfigurationsindstillingerne i det korrekte afsnit i filen ApplicationHost.config.
C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();

ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site");
windowsAuthenticationSection["enabled"] = true;

ConfigurationElement extendedProtectionElement = windowsAuthenticationSection.GetChildElement("extendedProtection");
extendedProtectionElement["tokenChecking"] = @"Allow";
extendedProtectionElement["flags"] = @"None";

ConfigurationElementCollection extendedProtectionCollection = extendedProtectionElement.GetCollection();

ConfigurationElement spnElement = extendedProtectionCollection.CreateElement("spn");
spnElement["name"] = @"HTTP/www.contoso.com";
extendedProtectionCollection.Add(spnElement);

ConfigurationElement spnElement1 = extendedProtectionCollection.CreateElement("spn");
spnElement1["name"] = @"HTTP/contoso.com";
extendedProtectionCollection.Add(spnElement1);

serverManager.CommitChanges();
}
}
}

Visual Basic .NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration

Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site")
windowsAuthenticationSection("enabled") = True

Dim extendedProtectionElement As ConfigurationElement = windowsAuthenticationSection.GetChildElement("extendedProtection")
extendedProtectionElement("tokenChecking") = "Allow"
extendedProtectionElement("flags") = "None"

Dim extendedProtectionCollection As ConfigurationElementCollection = extendedProtectionElement.GetCollection

Dim spnElement As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")
spnElement("name") = "HTTP/www.contoso.com"
extendedProtectionCollection.Add(spnElement)

Dim spnElement1 As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")
spnElement1("name") = "HTTP/contoso.com"
extendedProtectionCollection.Add(spnElement1)

serverManager.CommitChanges()
End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");
windowsAuthenticationSection.Properties.Item("enabled").Value = true;

var extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection");
extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow";
extendedProtectionElement.Properties.Item("flags").Value = "None";

var extendedProtectionCollection = extendedProtectionElement.Collection;

var spnElement = extendedProtectionCollection.CreateNewElement("spn");
spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com";
extendedProtectionCollection.AddElement(spnElement);

var spnElement1 = extendedProtectionCollection.CreateNewElement("spn");
spnElement1.Properties.Item("name").Value = "HTTP/contoso.com";
extendedProtectionCollection.AddElement(spnElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")
windowsAuthenticationSection.Properties.Item("enabled").Value = True

Set extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection")
extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow"
extendedProtectionElement.Properties.Item("flags").Value = "None"

Set extendedProtectionCollection = extendedProtectionElement.Collection

Set spnElement = extendedProtectionCollection.CreateNewElement("spn")
spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com"
extendedProtectionCollection.AddElement(spnElement)

Set spnElement1 = extendedProtectionCollection.CreateNewElement("spn")
spnElement1.Properties.Item("name").Value = "HTTP/contoso.com"
extendedProtectionCollection.AddElement(spnElement1)

adminManager.CommitChanges()

Konfiguration på IIS 6.0

Vigtigt! I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows XP

På IIS 6.0 kan du konfigurere udvidet beskyttelse ved godkendelse ved at angive følgende nøgler i registreringsdatabasen:
Registreringsdatabasenøgle: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\tokenChecking
Tilladte værdier: 0 (Ingen), 1 (Tillad), 2 (Kræv)
Datatype:DWORD
Standard: 0
NavnBeskrivelse
IngenDenne værdi angiver, at der ikke udføres nogen kontrol med kanalbindingstoken i IIS. Indstillingen emulerer den funktionsmåde, der var gældende før den udvidede beskyttelse.


Den numeriske værdi er 0.
TilladDenne værdi angiver, at kontrol med kanalbindingstoken er aktiveret, men ikke påkrævet. Denne indstilling aktiverer udvidet beskyttelse for kommunikation med klienter, som understøtter udvidet beskyttelse, men understøtter også klienter, som ikke kan bruge udvidet beskyttelse.


Den numeriske værdi er 1.
KrævDenne værdi angiver, at kontrol med kanalbindingstoken er påkrævet. Indstillingen understøtter ikke klienter, som ikke kan bruge udvidet beskyttelse.


Den numeriske værdi er 2.
Registreringsdatabasenøgle: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\flags
Tilladte værdier: 0 (ingen), 1 (proxy), 2 (NoServiceNameCheck), 4 (AllowDotlessSpn), 32 (ProxyCohosting)
Datatype:DWORD
Standard: 0
NavnBeskrivelse
IngenDette flag angiver, at der ikke er aktiveret yderligere indstillinger for udvidet beskyttelse. Der bruges f.eks. ikke nogen proxyserver.


Den numeriske værdi er 0.
ProxyDette flag angiver, at en del af kommunikationsstien går via en proxyserver. Når klienten opretter direkte forbindelse til destinationsserveren over HTTP, skal både Proxy og ProxyCoHosting være aktiveret.

Den numeriske værdi er 1.
NoServiceNameCheckDette flag angiver, at SPN-kontrol er deaktiveret. Dette flag bør ikke bruges i scenarier, hvor der kun anvendes SPN-kontrol.

Den numeriske værdi er 2.
AllowDotlessSpnDette flag angiver, at SPN-navne ikke behøver at være fuldt kvalificerede domænenavne (FQDN). Når du angiver dette flag, tillader du NetBIOS-baserede SPN-navne.

Bemærk! Angivelse af dette flag er ikke et sikkert scenarie, da visse navne, der ikke er baseret på FQDN, er sårbare over for angreb med forfalsket navneoversættelse. Indstillingen anbefales ikke, da den kan gøre kundernes systemer sårbare.

Den numeriske værdi er 4.
ProxyCohostingDette flag angiver, at kommunikationsstien fra klienten til serveren udelukkende anvender HTTP. Kommunikationsstien bruger slet ikke SSL, og der anvendes SPN-kontrol. Angiv dette flag, hvis der skal anvendes godkendelse for både sikker og usikker trafik, som sendes via proxyserveren.

Bemærk! Når du angiver dette flag, skal du også angive flaget Proxy.

Den numeriske værdi er 32.
Registreringsdatabasenøgle: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\spns
Tilladte værdier: <strenge>
Datatype:MULTI_SZ
Standard: tom
Du kan angive disse nøgler i registreringsdatabasen ved at benytte følgende fremgangsmåde:
  1. Start Registreringseditor. Det gør du ved at klikke på Start, klikke på Kør, skrive regedit og derefter klikke på OK.
  2. Find og klik på følgende undernøgle i registreringsdatabasen:


    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\
  3. Kontrollér, at værdierne tokenChecking, Flags og spns findes i registreringsdatabasen.



    Hvis værdierne ikke findes i registreringsdatabasen, skal du oprette dem ved at benytte følgende fremgangsmåde:
    1. Markér den undernøgle i registreringsdatabasen, der er angivet under trin 2, peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.
    2. Skriv tokenChecking, og tryk derefter på Enter.
    3. Markér den undernøgle i registreringsdatabasen, der er angivet under trin 2, peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.
    4. Skriv flags, og tryk derefter på Enter.
    5. Markér den undernøgle i registreringsdatabasen, der er angivet under trin 2, peg på Ny i menuen Rediger, og klik derefter på MULTI_SZ Value.
    6. Skriv spns, og tryk derefter på Enter.
  4. Klik på værdien tokenChecking i registreringsdatabasen for at markere den.
  5. Klik på Rediger i menuen Rediger.
  6. Skriv den foretrukne værdi i feltet Værdidata, og klik derefter på OK.
  7. Klik på værdien flags i registreringsdatabasen for at markere den.

  8. Skriv den foretrukne værdi i feltet Værdidata, og klik derefter på OK.
  9. Klik på værdien spns i registreringsdatabasen for at markere den.
  10. Angiv et relevant SPN-navn i feltet Værdidata, og klik derefter på OK.
  11. Afslut Registreringseditor.
Du kan finde flere oplysninger om udvidet beskyttelse ved godkendelse, herunder hvordan du aktiverer funktionen, når du har installeret denne opdatering, på følgende Microsoft-websted. Siden er evt. på engelsk: Du kan finde flere oplysninger om IIS på følgende Microsoft-websted. Siden er evt. på engelsk:Integreret Windows-godkendelse med udvidet beskyttelseSPN-navne (Service Principal Names)

Opdateringsoplysninger

Forudsætninger for Windows Server 2003

Denne opdatering kræver en korrekt installation af Windows Server 2003 Service Pack 2 (SP2). Der er tilfælde, hvor visse Service Pack 1 (SP1)-binærfiler kan installeres på en computer, der ellers kører SP2. Installation af denne opdatering på en sådan computer kan medføre en IIS-fejl, som kan få serveren til at returnere "503 Tjenesten er ikke tilgængelig"-fejlmeddelelser for alle anmodninger. I forbindelse med at finde ud af, om serveren kører med de korrekte SP2-binærfiler i stedet for IIS, skal du se følgende tabel for at kontrollere, at versionsnumrene svarer til versionerne af de filer, der vises her, eller til senere versioner.

File nameFile versionFile sizeDatePlatformSP requirement
Adrot.dll6.0.3790.395958,88017-Feb-2007x86SP2
Adsiis.dll6.0.3790.3959291,32817-Feb-2007x86SP2
Asp.dll6.0.3790.3959388,09617-Feb-2007x86SP2
Browscap.dll6.0.3790.395947,10417-Feb-2007x86SP2
Certobj.dll6.0.3790.395982,43217-Feb-2007x86SP2
Coadmin.dll6.0.3790.395964,00017-Feb-2007x86SP2
Controt.dll6.0.3790.395933,79217-Feb-2007x86SP2
Davcdata.exe6.0.3790.395927,13617-Feb-2007x86SP2
Davcprox.dll6.0.3790.39596,65617-Feb-2007x86SP2
Gzip.dll6.0.3790.395925,60017-Feb-2007x86SP2
Httpext.dll6.0.3790.3959241,66417-Feb-2007x86SP2
Httpmib.dll6.0.3790.395918,94417-Feb-2007x86SP2
Httpodbc.dll6.0.3790.395948,64017-Feb-2007x86SP2
Iisadmin.dll6.0.3790.395921,50417-Feb-2007x86SP2
Iiscfg.dll6.0.3790.39591,133,05617-Feb-2007x86SP2
Iisclex4.dll6.0.3790.062,97618-Feb-2007x86SP2
Iisext.dll6.0.3790.395982,94417-Feb-2007x86SP2
Iislog.dll6.0.3790.395976,28817-Feb-2007x86SP2
Iisres.dll6.0.3790.3959122,88017-Feb-2007x86SP2
Iisrstas.exe6.0.3790.395928,16017-Feb-2007x86SP2
Iisui.dll6.0.3790.3959217,08817-Feb-2007x86SP2
Iisuiobj.dll6.0.3790.395968,60817-Feb-2007x86SP2
Iisutil.dll6.0.3790.3959167,93617-Feb-2007x86SP2
Iisw3adm.dll6.0.3790.3959216,57617-Feb-2007x86SP2
Iiswmi.dll6.0.3790.3959194,56017-Feb-2007x86SP2
Inetinfo.exe6.0.3790.395914,33617-Feb-2007x86SP2
Inetmgr.dll6.0.3790.39591,058,30417-Feb-2007x86SP2
Inetmgr.exe6.0.3790.395919,45617-Feb-2007x86SP2
Infocomm.dll6.0.3790.3959235,52017-Feb-2007x86SP2
Isapips.dll6.0.3790.39598,19217-Feb-2007x86SP2
Isatq.dll6.0.3790.395952,73617-Feb-2007x86SP2
Iscomlog.dll6.0.3790.395919,45617-Feb-2007x86SP2
Logscrpt.dll6.0.3790.395925,60017-Feb-2007x86SP2
Lonsint.dll6.0.3790.395913,31217-Feb-2007x86SP2
Metadata.dll6.0.3790.3959234,49617-Feb-2007x86SP2
Nextlink.dll6.0.3790.395961,44017-Feb-2007x86SP2
Nntpadm.dll6.0.3790.3959187,39217-Feb-2007x86SP2
Nntpsnap.dll6.0.3728.02,663,42417-Feb-2007x86SP2
Rpcref.dll6.0.3790.39594,09617-Feb-2007x86SP2
Seo.dll6.0.3790.3959219,13617-Feb-2007x86SP2
Smtpadm.dll6.0.3790.3959179,20017-Feb-2007x86SP2
Smtpsnap.dll6.0.3728.02,086,40017-Feb-2007x86SP2
Ssinc.dll6.0.3790.395924,06417-Feb-2007x86SP2
Svcext.dll6.0.3790.395944,54417-Feb-2007x86SP2
Uihelper.dll6.0.3790.3959114,17617-Feb-2007x86SP2
Urlauth.dll6.0.3790.395915,36017-Feb-2007x86SP2
W3cache.dll6.0.3790.395919,45617-Feb-2007x86SP2
W3comlog.dll6.0.3790.395910,75217-Feb-2007x86SP2
W3core.dll6.0.3790.3959349,69617-Feb-2007x86SP2
W3ctrlps.dll6.0.3790.39596,14417-Feb-2007x86SP2
W3ctrs.dll6.0.3790.395924,06417-Feb-2007x86SP2
W3dt.dll6.0.3790.395939,42417-Feb-2007x86SP2
W3ext.dll6.0.3790.395992,67217-Feb-2007x86SP2
W3isapi.dll6.0.3790.395962,46417-Feb-2007x86SP2
W3tp.dll6.0.3790.395913,31217-Feb-2007x86SP2
W3wp.exe6.0.3790.39597,16817-Feb-2007x86SP2
Wam.dll6.0.3790.395923,04017-Feb-2007x86SP2
Wamps.dll6.0.3790.39596,65617-Feb-2007x86SP2
Wamreg.dll6.0.3790.395955,80817-Feb-2007x86SP2

Kendte problemer

  • Windows Server 2003

    Denne opdatering blev udgivet den 9. marts 2010 for at udføre en yderligere kontrol til at sikre, at IIS 6-systemet på en computer, der kører Windows Server 2003 SP2, ikke indeholder binære filer fra SP1-versionen. Hvis sådanne binære filer bliver fundet, afbrydes opdateringen med en fejlmeddelelse. Du kan løse den tilstand ved at geninstallere SP2-opdateringen på din computer. Når geninstallationen af SP2 er fuldført, skal du installere denne pakke.

    Den oprindelige version af denne sikkerhedsopdatering, som blev udgivet før 9. marts 2010, kan forårsage, at IIS-programgrupper ikke starter på installationer med Windows Server 2003 SP2, hvor IIS 6 muligvis indeholder nogle binære filer fra SP1. Systemlogfilen vil vise følgende fejlmeddelelse, når IIS-tjenesten startes:
    Hændelses-id 1009, beskrivelse: En programgruppe til processen "DefaultAppPool" blev afsluttet uventet. Proces-id'et var "1234".
    Du kan finde flere oplysninger om dette kendte problem ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

    2009746 Internet Information Services 6.0 fungerer muligvis ikke korrekt efter installation af KB973917. Artiklen er evt. på engelsk.
    Vi anbefaler, at du læser afsnittet "Forudsætninger for Windows Server 2003", hvis din computer ikke er en ny installation af Windows Server 2003 SP2.

    Hvis du bruger Automatiske opdateringer får du ikke længere tilbudt denne opdatering efter den 16. december 2009, hvis din IIS-installation er konfigureret på en sådan måde, at der findes binære filer til både SP1 og SP2 på computeren. Vi anbefaler, at du ser følgende artikel i Microsoft Knowledge Base, hvor du kan finde en beskrivelse af, hvordan du kan sikre, at computeren er klar til denne opdatering.
    2009746 Internet Information Services 6.0 fungerer muligvis ikke korrekt efter installation af KB973917. Artiklen er evt. på engelsk.
  • Windows Server 2003 og Windows Server 2008

    Denne opdatering blev genudgivet den 9. marts 2010 og erstatter den oprindelige udgave fuldstændigt. Hvis du installerer den nye udgave, vil den oprindelige udgave blive fjernet og erstattet af den nye. Hvis du afinstallerer opdateringen fra den 9. marts, vil din computer være uden udvidet beskyttelse for IIS-funktionalitet.

FILOPLYSNINGER

ERROR: PhantomJS timeout occurred