Beschrijving van de update waarmee Uitgebreide beveiliging voor verificatie in Internet Information Services (IIS) wordt geïmplementeerd

Inleiding

In dit artikel wordt een niet aan beveiliging gerelateerde update beschreven waarmee Uitgebreide beveiliging voor verificatie in Internet Information Services (IIS) wordt geïmplementeerd.

Wanneer Uitgebreide beveiliging voor verificatie is ingeschakeld, worden verificatieverzoeken gebonden aan de SPN's (Service Principal Names) van de server waarmee de client verbinding probeert te maken en aan het TLS-kanaal (Transport Layer Security) waarover de Geïntegreerde Windows-verificatie plaatsvindt.

Opmerking Deze update is op 9 maart 2010 uitgebracht om af te rekenen met een installatieprobleem en een functionaliteitprobleem:
  • Deze update detecteert voortaan op de juiste wijze wanneer een computer met Windows Server 2003 Service Pack 2 (SP2) een installatie bevat waarbij IIS 6 een aantal binaire bestanden voor Windows Server 2003 Service Pack 1 (SP1) bevat. In een dergelijk geval wordt de installatie afgesloten met een foutcode. De versies van 973917 die voor deze datum zijn uitgebracht, kunnen worden geïnstalleerd, maar IIS kan vervolgens niet opnieuw worden gestart nadat de installatie is voltooid.
  • Op een computer met Windows Server 2003 rekent deze versie van de update af met een probleem dat kan leiden tot het toewijzen van buitensporig grote hoeveelheden geheugen wanneer Uitgebreide beveiliging voor verificatie wordt ingeschakeld.
  • Op een computer waarop Windows Server 2008 wordt uitgevoerd, rekent deze versie van de update af met een probleem dat ertoe kan leiden dat Uitgebreide beveiliging niet correct werkt wanneer IIS is geconfigureerd voor het gebruik van Windows-verificatie in de kernel-modus.

Meer informatie

Configuratie

Met Uitgebreide beveiliging wordt de bestaande Windows-verificatiefunctionaliteit uitgebreid om het risico op verificatierelay- of 'man-in-the-middle'-aanvallen te verminderen. Dit wordt bereikt met behulp van beveiligingsinformatie die via twee beveiligingsmechanismen wordt geïmplementeerd:
  • Kanaalbindingsinformatie die wordt opgegeven via een CBT (Channel Binding Token). Deze wordt hoofdzakelijk gebruikt voor SSL-verbindingen.
  • Servicebindingsinformatie die wordt opgegeven via een SPN (Service Principal Name). Deze wordt hoofdzakelijk gebruikt voor verbindingen die geen gebruikmaken van SSL of wanneer een verbinding tot stand wordt gebracht. Dit kan bijvoorbeeld het geval zijn in een scenario waarin SSL wordt geoffload door een ander apparaat, zoals een proxyserver of een taakverdelingsvoorziening.
In IIS 7.0 wordt Uitgebreide beveiliging geconfigureerd via het element <extendedProtection>. Gedetailleerde configuratie-informatie is te vinden onder het kopje Configuratie onder IIS 7.0 en IIS 7.5. Voor IIS 6.0 worden dezelfde configuratieparameters gebruikt, maar de parameters worden met behulp van registersleutels geïmplementeerd. (Zie de sectie Configuratie onder IIS 6.0.)

Het element <extendedProtection> kan een verzameling <spn>-elementen bevatten, waarvan elk een unieke SPN voor de servicebindingsinformatie bevat. Elke SPN staat voor een uniek eindpunt in het verbindingspad. Dit kan een FQDN (Fully Qualified Domain Name) of NetBIOS-naam zijn van de doelserver of een proxyserver. Als een client bijvoorbeeld via een proxyserver verbinding maakt met een doelserver, moet de SPN-verzameling op de doelserver de SPN voor de proxyserver bevatten. Elke SPN in de verzameling moet het voorvoegsel 'HTTP' hebben. Daarom zou de SPN voor 'www.contoso.com' bijvoorbeeld 'HTTP/www.contoso.com' zijn.

Scenario's voor Uitgebreide beveiliging

Neem de volgende voorbeeldscenario's.
ScenarioVlaggenBeschrijving
Client maakt rechtstreeks verbinding met doelserver die HTTP gebruikt.Proxy, ProxyCohostingSPN-controle wordt gebruikt en controle van kanaalbindingstoken wordt niet gebruikt.
Client maakt rechtstreeks verbinding met doelserver die SSL gebruikt.GeenControle van kanaalbindingstoken wordt gebruikt en SPN-controle wordt niet gebruikt.
Client maakt verbinding met doelserver via een proxyserver die HTTP voor het pad gebruikt.Proxy, ProxyCohostingSPN-controle wordt gebruikt en controle van kanaalbindingstoken wordt niet gebruikt.
Client maakt verbinding met doelserver via een proxyserver die SSL voor het pad gebruikt.ProxySPN-controle wordt gebruikt en controle van kanaalbindingstoken wordt niet gebruikt.
Client maakt verbinding met proxyserver die SSL gebruikt en proxyserver maakt verbinding met de doelserver die HTTP gebruikt (SSL-offloading).ProxySPN-controle wordt gebruikt en controle van kanaalbindingstoken wordt niet gebruikt.
  • In deze scenario's kunt u ook de vlag AllowDotlessSpn opgeven als uw netwerkomgeving op NetBIOS gebaseerde SPN's ondersteunt. Op NetBIOS gebaseerde SPN's zijn echter niet beveiligd.
  • Voor de scenario's waarin SPN-controle wordt gebruikt en controle van channelbindingstoken niet wordt gebruikt, moet u de vlag NoServiceNameCheck niet opgeven.
  • Met de standaardinstallatie van IIS 6.0, IIS 7.0 of IIS 7.5 wordt Windows-verificatie niet ingeschakeld of geïnstalleerd. Uitgebreide beveiliging is alleen van toepassing wanneer Windows-verificatie is ingeschakeld voor uw website of toepassing.

Configuratie onder IIS 7.0 en 7.5

In de standaardinstallatie van IIS 7.0 is niet de service voor rollen van Windows-verificatie opgenomen. Als u Windows-verificatie wilt gebruiken onder IIS, moet u de service voor rollen installeren, anonieme verificatie voor uw website of toepassing uitschakelen, en vervolgens Windows-verificatie voor de site of toepassing inschakelen.

Opmerking Nadat u de service voor rollen hebt geïnstalleerd, worden de volgende configuratie-instellingen door IIS 7.0 vastgelegd in het bestand ApplicationHost.config.
<windowsAuthentication enabled="false" />

Uitgebreide beveiliging voor Windows-verificatie inschakelen voor IIS 7.5

  1. Klik op Start, wijs Systeembeheer aan en klik op Beheer van Internet Information Services (IIS).

  2. Vouw in het deelvenster Verbindingen de servernaam uit, vouw Sites uit en selecteer de site, toepassing of webservice waarvoor u Uitgebreide beveiliging voor Windows-verificatie wilt inschakelen.
  3. Blader naar de sectie Beveiliging in het beginvenster en dubbelklik op Verificatie.

  4. Selecteer in het deelvenster Verificatie op de optie Windows-verificatie.

  5. Klik op Inschakelen in het deelvenster Acties.


  6. Klik op Geavanceerde instellingen in het deelvenster Acties.

  7. Wanneer het dialoogvenster Geavanceerde instellingen wordt weergegeven, selecteert u een van de volgende opties in het menu Uitgebreide beveiliging:
    • Selecteer Accepteren als u uitgebreide beveiliging wilt inschakelen en tegelijkertijd down-level-ondersteuning wilt bieden voor clients die uitgebreide beveiliging niet ondersteunen.
    • Selecteer Vereist als u uitgebreide beveiliging wilt inschakelen zonder down-level-ondersteuning te bieden.

  8. Klik op OK om het dialoogvenster Geavanceerde instellingen te sluiten.

Uitgebreide beveiliging voor Windows-verificatie inschakelen voor IIS 7.0

Beheer van Internet Information Services (IIS) Manager voor IIS 7.0 beschikt niet over de opties om wijzigingen aan te brengen in Uitgebreide beveiliging. Daarom moeten wijzigingen worden aangebracht met behulp van het configuratievoorbeeld of de scripts die verderop in dit artikel worden getoond.

Configuratie

Kenmerk
Het element <extendedProtection> kan in het bestand ApplicationHost.config worden geconfigureerd op siteniveau, toepassingsniveau of virtuele mapniveau.
KenmerkBeschrijving
flagsHet optionele kenmerk flags.



Geeft de aanvullende instellingen voor gedrag voor uitgebreide beveiliging aan.



Het kenmerk flags kan een combinatie van de waarden in de volgende tabel zijn. De standaardwaarde is None.
tokenCheckingHet optionele kenmerk enum.



Geeft het gedrag aan voor de controle van kanaalbindingsinformatie.



Het kenmerk tokenChecking kan een van de waarden in de volgende tabel zijn. De standaardwaarde is None.
Met het kenmerk flags (vlaggen) wordt aanvullend gedrag voor uitgebreide beveiliging geconfigureerd. De mogelijke vlaggen zijn als volgt.
NaamBeschrijving
GeenDeze vlag geeft aan dat er geen aanvullend gedrag is ingeschakeld voor uitgebreide beveiliging. (Er wordt bijvoorbeeld geen proxyserver gebruikt en SPN-controle is ingeschakeld en vereist FQDN's.)


De numerieke waarde is 0.
ProxyDeze vlag geeft aan dat een deel van het communicatiepad via een proxy zal gaan of dat de client rechtstreeks verbinding maakt met de doelserver via HTTP.


De numerieke waarde is 1.
NoServiceNameCheckDeze vlag geeft aan dat SPN-controle is uitgeschakeld. Deze vlag mag niet worden gebruikt in scenario's waarin alleen SPN's worden gecontroleerd.


De numerieke waarde is 2.
AllowDotlessSpnDeze vlag geeft aan dat het voor SPN's niet vereist is om een FQDN te zijn.

Opmerking Het instellen van deze vlag is geen beveiligd scenario, omdat niet op FQDN gebaseerde namen kwetsbaar zijn voor naamomzettingsaanvallen. Deze instelling wordt niet aanbevolen omdat klanten hiermee mogelijk aan risico's worden blootgesteld.


De numerieke waarde is 4.
ProxyCohostingDeze vlag geeft aan dat het communicatiepad van client naar server alleen HTTP gebruikt. Geen onderdeel van het communicatiepad zal SSL gebruiken en SPN-controle wordt gebruikt.

Opmerking Als u deze vlag opgeeft, moet u ook de vlag Proxy opgeven.


De numerieke waarde is 32.
Door het kenmerk tokenChecking wordt het gedrag voor de controle van kanaalbindingstokens geconfigureerd. De mogelijke waarden voor dit kenmerk zijn als volgt.
NaamBeschrijving
GeenDeze waarde geeft aan dat door IIS geen controle van kanaalbindingstokens wordt uitgevoerd. Deze instelling simuleert het gedrag dat vóór de uitgebreide beveiliging bestond.


De numerieke waarde is 0.
Allow(Toestaan) Deze waarde geeft aan dat controle van kanaalbindingstokens is ingeschakeld, maar niet verplicht is. Deze instelling maakt het mogelijk dat communicatie met clients die uitgebreide beveiliging ondersteunen door de functie worden beveiligd, maar ondersteunt ook clients die geen gebruik kunnen maken van uitgebreide beveiliging.


De numerieke waarde is 1.
Require(Vereisen) Deze waarde geeft aan dat controle van kanaalbindingstokens verplicht is. Deze instelling biedt geen ondersteuning voor clients die geen uitgebreide beveiliging ondersteunen.


De numerieke waarde is 2.
Onderliggende elementen
ElementBeschrijving
spnVoegt een SPN toe aan de verzameling.
clearSpnsWist de verzameling van SPN's.
removeSpnVerwijdert een SPN uit verzameling.

Configuratievoorbeeld

In het volgende voorbeeld wordt een <extendedProtection>-element weergegeven waarin het inschakelen van Windows-verificatie met uitgebreide beveiliging voor de standaardwebsite wordt getoond. In het voorbeeld worden twee SPN-vermeldingen aan de verzameling SPN's toegevoegd.
<location path="Default Web Site">
<system.webServer>
<security>
<authentication>
<windowsAuthentication enabled="true">
<extendedProtection tokenChecking="Allow" flags="None">
<spn name="HTTP/www.contoso.com" />
<spn name="HTTP/contoso.com" />
</extendedProtection>
</windowsAuthentication>
</authentication>
</security>
</system.webServer>
</location>

Voorbeeldcode

In de volgende voorbeelden wordt getoond hoe Windows-verificatie met uitgebreide beveiliging wordt ingeschakeld voor de standaardwebsite en hoe twee SPN's aan de verzameling worden toegevoegd.
AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"Allow" /extendedProtection.flags:"None" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/www.contoso.com']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/contoso.com']" /commit:apphost
Opmerking U moet de parameter commit instellen op APPHOST als u AppCmd.exe gebruikt om deze instellingen te configureren. Met deze instelling worden de configuratie-instellingen vastgelegd op de juiste locatiesectie in het bestand ApplicationHost.config.
C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();

ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site");
windowsAuthenticationSection["enabled"] = true;

ConfigurationElement extendedProtectionElement = windowsAuthenticationSection.GetChildElement("extendedProtection");
extendedProtectionElement["tokenChecking"] = @"Allow";
extendedProtectionElement["flags"] = @"None";

ConfigurationElementCollection extendedProtectionCollection = extendedProtectionElement.GetCollection();

ConfigurationElement spnElement = extendedProtectionCollection.CreateElement("spn");
spnElement["name"] = @"HTTP/www.contoso.com";
extendedProtectionCollection.Add(spnElement);

ConfigurationElement spnElement1 = extendedProtectionCollection.CreateElement("spn");
spnElement1["name"] = @"HTTP/contoso.com";
extendedProtectionCollection.Add(spnElement1);

serverManager.CommitChanges();
}
}
}

Visual Basic .NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration

Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site")
windowsAuthenticationSection("enabled") = True

Dim extendedProtectionElement As ConfigurationElement = windowsAuthenticationSection.GetChildElement("extendedProtection")
extendedProtectionElement("tokenChecking") = "Allow"
extendedProtectionElement("flags") = "None"

Dim extendedProtectionCollection As ConfigurationElementCollection = extendedProtectionElement.GetCollection

Dim spnElement As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")
spnElement("name") = "HTTP/www.contoso.com"
extendedProtectionCollection.Add(spnElement)

Dim spnElement1 As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")
spnElement1("name") = "HTTP/contoso.com"
extendedProtectionCollection.Add(spnElement1)

serverManager.CommitChanges()
End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");
windowsAuthenticationSection.Properties.Item("enabled").Value = true;

var extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection");
extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow";
extendedProtectionElement.Properties.Item("flags").Value = "None";

var extendedProtectionCollection = extendedProtectionElement.Collection;

var spnElement = extendedProtectionCollection.CreateNewElement("spn");
spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com";
extendedProtectionCollection.AddElement(spnElement);

var spnElement1 = extendedProtectionCollection.CreateNewElement("spn");
spnElement1.Properties.Item("name").Value = "HTTP/contoso.com";
extendedProtectionCollection.AddElement(spnElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")
windowsAuthenticationSection.Properties.Item("enabled").Value = True

Set extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection")
extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow"
extendedProtectionElement.Properties.Item("flags").Value = "None"

Set extendedProtectionCollection = extendedProtectionElement.Collection

Set spnElement = extendedProtectionCollection.CreateNewElement("spn")
spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com"
extendedProtectionCollection.AddElement(spnElement)

Set spnElement1 = extendedProtectionCollection.CreateNewElement("spn")
spnElement1.Properties.Item("name").Value = "HTTP/contoso.com"
extendedProtectionCollection.AddElement(spnElement1)

adminManager.CommitChanges()

Configuratie onder IIS 6.0

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756 Een back-up van het register maken en het register terugzetten in Windows XP

In IIS 6.0 kan Uitgebreide beveiliging voor verificatie worden geconfigureerd door de volgende registersleutels in te stellen.
Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\tokenChecking
Toegestane waarden: 0 (Geen), 1 (Toestaan), 2 (Vereisen)
Gegevenstype:DWORD
Standaardinstelling: 0
NaamBeschrijving
GeenDeze waarde geeft aan dat door IIS geen controle van kanaalbindingstokens wordt uitgevoerd. Deze instelling simuleert het gedrag dat vóór de uitgebreide beveiliging bestond.


De numerieke waarde is 0.
Allow(Toestaan) Deze waarde geeft aan dat controle van kanaalbindingstokens is ingeschakeld, maar niet verplicht is. Deze instelling maakt het mogelijk dat communicatie met clients die uitgebreide beveiliging ondersteunen door de functie worden beveiligd, maar ondersteunt ook clients die geen gebruik kunnen maken van uitgebreide beveiliging.


De numerieke waarde is 1.
Require(Vereisen) Deze waarde geeft aan dat controle van kanaalbindingstokens verplicht is. Deze instelling biedt geen ondersteuning voor clients die geen uitgebreide beveiliging ondersteunen.


De numerieke waarde is 2.
Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\flags
Toegestane waarden: 0 (none), 1 (proxy), 2 (NoServiceNameCheck), 4 (AllowDotlessSpn), 32 (ProxyCohosting)
Gegevenstype:DWORD
Standaardinstelling: 0
NaamBeschrijving
GeenDeze vlag geeft aan dat er geen aanvullend gedrag is ingeschakeld voor uitgebreide beveiliging. (Er wordt bijvoorbeeld geen proxyserver gebruikt.)


De numerieke waarde is 0.
ProxyDeze vlag geeft aan dat een deel van het communicatiepad via een proxy zal gaan. Als de client rechtstreeks verbinding maakt met de doelserver over HTTP, moeten zowel Proxy als ProxyCoHosting zijn ingeschakeld.

De numerieke waarde is 1.
NoServiceNameCheckDeze vlag geeft aan dat SPN-controle is uitgeschakeld. Deze vlag mag niet worden gebruikt in scenario's waarin alleen SPN's worden gecontroleerd.

De numerieke waarde is 2.
AllowDotlessSpnDeze vlag geeft aan dat het voor SPN's niet vereist is om een FQDN te zijn. Als deze vlag wordt ingesteld, zijn op NetBIOS gebaseerde SPN's toegestaan.

Opmerking Het instellen van deze vlag is geen beveiligd scenario, omdat niet op FQDN gebaseerde namen kwetsbaar zijn voor naamomzettingsaanvallen. Deze instelling wordt niet aanbevolen omdat klanten hiermee mogelijk aan risico's worden blootgesteld.

De numerieke waarde is 4.
ProxyCohostingDeze vlag geeft aan dat het communicatiepad van client naar server alleen HTTP gebruikt. Geen onderdeel van het communicatiepad zal SSL gebruiken en SPN-controle wordt gebruikt. Schakel dit ook in als zowel beveiligd als niet-beveiligd verkeer dat via de proxy wordt verzonden met succes moet worden geverifieerd.

Opmerking Als u deze vlag opgeeft, moet u ook de vlag Proxy opgeven.


De numerieke waarde is 32.
Registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\spns
Toegestane waarden: <strings>
Gegevenstype:MULTI_SZ
Standaardinstelling: leeg
Voer de onderstaande procedure uit om deze registersleutels in te stellen:
  1. Start de Register-editor. Klik hiertoe op Start en op Uitvoeren. Typ regedit en klik op OK.
  2. Zoek de volgende registersubsleutel en klik op deze sleutel:


    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\
  3. Controleer of de registerwaarden tokenChecking, Flags en spns aanwezig zijn.



    Als deze registerwaarden nog niet bestaan, voert u de volgende stappen uit om deze te maken:
    1. Selecteer de registersubsleutel die in stap 2 wordt vermeld, wijs Nieuw aan in het menu Bewerken en klik op DWORD-waarde.
    2. Typ tokenChecking en druk op Enter.
    3. Selecteer de registersubsleutel die in stap 2 wordt vermeld, wijs Nieuw aan in het menu Bewerken en klik op DWORD-waarde.
    4. Typ flags en druk op Enter.
    5. Selecteer de registersubsleutel die in stap 2 wordt vermeld, wijs Nieuw aan in het menu Bewerken en klik op MULTI_SZ-waarde.
    6. Typ spns en druk op Enter.
  4. Klik om de registerwaarde tokenChecking te selecteren.
  5. Open het menu Bewerken en klik op Wijzigen.
  6. Typ de gewenste waarde in het vak Waardegegevens en klik op OK.
  7. Klik om de registerwaarde flags te selecteren.

  8. Typ de gewenste waarde in het vak Waardegegevens en klik op OK.
  9. Klik om de registerwaarde spns te selecteren.
  10. Voer in het vak Waardegegevens een geschikte spn in en klik op OK.
  11. Sluit de Register-editor af.
Ga voor meer informatie over de functie Uitgebreide beveiliging voor verificatie en over het inschakelen van deze functie nadat deze update is geïnstalleerd naar de volgende Microsoft-website: Ga voor meer informatie over IIS naar de volgende Microsoft-website:Geïntegreerde Windows-verificatie met uitgebreide beveiligingService Principal Names

Informatie over de update

Vereisten voor Windows Server 2003

Voor deze update is een correcte installatie van Windows Server 2003 Service Pack 2 (SP2) vereist. In sommige gevallen kunnen er binaire bestanden van Service Pack 1 (SP1) zijn geïnstalleerd op een computer waarop voor het overige SP2 wordt uitgevoerd. Als u deze update op zo'n computer installeert, kan een IIS-fout ontstaan waardoor de server voor alle aanvragen het foutbericht '503 Service niet beschikbaar' geeft. U kunt vaststellen of de server de juiste SP2-binaire bestanden voor IIS bevat door te controleren of de versienummers van uw bestanden gelijk zijn aan of later zijn dan de versienummers in de onderstaande tabel.

File nameFile versionFile sizeDatePlatformSP requirement
Adrot.dll6.0.3790.395958,88017-Feb-2007x86SP2
Adsiis.dll6.0.3790.3959291,32817-Feb-2007x86SP2
Asp.dll6.0.3790.3959388,09617-Feb-2007x86SP2
Browscap.dll6.0.3790.395947,10417-Feb-2007x86SP2
Certobj.dll6.0.3790.395982,43217-Feb-2007x86SP2
Coadmin.dll6.0.3790.395964,00017-Feb-2007x86SP2
Controt.dll6.0.3790.395933,79217-Feb-2007x86SP2
Davcdata.exe6.0.3790.395927,13617-Feb-2007x86SP2
Davcprox.dll6.0.3790.39596,65617-Feb-2007x86SP2
Gzip.dll6.0.3790.395925,60017-Feb-2007x86SP2
Httpext.dll6.0.3790.3959241,66417-Feb-2007x86SP2
Httpmib.dll6.0.3790.395918,94417-Feb-2007x86SP2
Httpodbc.dll6.0.3790.395948,64017-Feb-2007x86SP2
Iisadmin.dll6.0.3790.395921,50417-Feb-2007x86SP2
Iiscfg.dll6.0.3790.39591,133,05617-Feb-2007x86SP2
Iisclex4.dll6.0.3790.062,97618-Feb-2007x86SP2
Iisext.dll6.0.3790.395982,94417-Feb-2007x86SP2
Iislog.dll6.0.3790.395976,28817-Feb-2007x86SP2
Iisres.dll6.0.3790.3959122,88017-Feb-2007x86SP2
Iisrstas.exe6.0.3790.395928,16017-Feb-2007x86SP2
Iisui.dll6.0.3790.3959217,08817-Feb-2007x86SP2
Iisuiobj.dll6.0.3790.395968,60817-Feb-2007x86SP2
Iisutil.dll6.0.3790.3959167,93617-Feb-2007x86SP2
Iisw3adm.dll6.0.3790.3959216,57617-Feb-2007x86SP2
Iiswmi.dll6.0.3790.3959194,56017-Feb-2007x86SP2
Inetinfo.exe6.0.3790.395914,33617-Feb-2007x86SP2
Inetmgr.dll6.0.3790.39591,058,30417-Feb-2007x86SP2
Inetmgr.exe6.0.3790.395919,45617-Feb-2007x86SP2
Infocomm.dll6.0.3790.3959235,52017-Feb-2007x86SP2
Isapips.dll6.0.3790.39598,19217-Feb-2007x86SP2
Isatq.dll6.0.3790.395952,73617-Feb-2007x86SP2
Iscomlog.dll6.0.3790.395919,45617-Feb-2007x86SP2
Logscrpt.dll6.0.3790.395925,60017-Feb-2007x86SP2
Lonsint.dll6.0.3790.395913,31217-Feb-2007x86SP2
Metadata.dll6.0.3790.3959234,49617-Feb-2007x86SP2
Nextlink.dll6.0.3790.395961,44017-Feb-2007x86SP2
Nntpadm.dll6.0.3790.3959187,39217-Feb-2007x86SP2
Nntpsnap.dll6.0.3728.02,663,42417-Feb-2007x86SP2
Rpcref.dll6.0.3790.39594,09617-Feb-2007x86SP2
Seo.dll6.0.3790.3959219,13617-Feb-2007x86SP2
Smtpadm.dll6.0.3790.3959179,20017-Feb-2007x86SP2
Smtpsnap.dll6.0.3728.02,086,40017-Feb-2007x86SP2
Ssinc.dll6.0.3790.395924,06417-Feb-2007x86SP2
Svcext.dll6.0.3790.395944,54417-Feb-2007x86SP2
Uihelper.dll6.0.3790.3959114,17617-Feb-2007x86SP2
Urlauth.dll6.0.3790.395915,36017-Feb-2007x86SP2
W3cache.dll6.0.3790.395919,45617-Feb-2007x86SP2
W3comlog.dll6.0.3790.395910,75217-Feb-2007x86SP2
W3core.dll6.0.3790.3959349,69617-Feb-2007x86SP2
W3ctrlps.dll6.0.3790.39596,14417-Feb-2007x86SP2
W3ctrs.dll6.0.3790.395924,06417-Feb-2007x86SP2
W3dt.dll6.0.3790.395939,42417-Feb-2007x86SP2
W3ext.dll6.0.3790.395992,67217-Feb-2007x86SP2
W3isapi.dll6.0.3790.395962,46417-Feb-2007x86SP2
W3tp.dll6.0.3790.395913,31217-Feb-2007x86SP2
W3wp.exe6.0.3790.39597,16817-Feb-2007x86SP2
Wam.dll6.0.3790.395923,04017-Feb-2007x86SP2
Wamps.dll6.0.3790.39596,65617-Feb-2007x86SP2
Wamreg.dll6.0.3790.395955,80817-Feb-2007x86SP2

Bekende problemen

  • Windows Server 2003

    Deze update is uitgebracht op 9 maart 2010 en voorziet in een extra controle waarbij er wordt nagegaan of het IIS 6-systeem op een computer waarop Windows Server 2003 SP2 wordt uitgevoerd binaire bestanden uit de SP1-versie bevat. Als dergelijke binaire bestanden worden gevonden, wordt deze update afgesloten met een foutbericht. U kunt dit probleem verhelpen door de SP2-update opnieuw op uw computers toe te passen en door vervolgens dit pakket te installeren nadat u SP2 opnieuw hebt geïnstalleerd.

    De oorspronkelijke versie van de beveiligingsupdate, die vóór 9 maart 2010 is uitgebracht, kan er de oorzaak van zijn dat ISS-groepen van toepassingen niet worden gestart onder installaties van Windows Server 2003 SP2 waarbij IIS 6 mogelijk binaire bestanden uit SP1 bevat. In het systeemlogboek wordt in een dergelijk geval het volgende foutbericht weergegeven wanneer de IIS-service wordt gestart:
    Gebeurtenis-id 1009, beschrijving: Een proces voor de groep toepassingen DefaultAppPool is onverwacht beëindigd. De proces-id is '1234'.
    Klik voor meer informatie over dit bekende probleem op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:

    2009746 Internet Information Services 6.0 werkt mogelijk niet correct nadat KB973917 is geïnstalleerd (Het Engels)
    Het is raadzaam om de sectie Vereisten voor Windows Server 2003 door te nemen als uw computer niet van een schone Windows Server 2003 SP2-installatie is voorzien.

    Als de IIS-installatie op uw computer gebruikmaakt van een configuratie waarin zowel binaire bestanden uit SP1 als uit SP2 aanwezig zijn, wordt deze update met ingang van 16 december 2009 niet langer aangeboden wanneer u gebruikmaakt van Automatische updates. Het is raadzaam om het volgende Microsoft Knowledge Base-artikel door te nemen voor de volgende stappen die moeten worden uitgevoerd, zodat u zeker weet dat de computer is voorbereid voor het toepassen van deze update.
    2009746 Internet Information Services 6.0 werkt mogelijk niet correct nadat KB973917 is geïnstalleerd (Het Engels)
  • Windows Server 2003 en Windows Server 2008

    Deze update is op 9 maart 2010 opnieuw uitgebracht. Deze opnieuw uitgebrachte update vervangt de gehele oorspronkelijke versie. Als u deze nieuw versie installeert, wordt de oorspronkelijke versie verwijderd en door de nieuwe versie vervangen. Het verwijderen van de versie van 9 maart van deze update leidt er toe dat Uitgebreide beveiliging voor de IIS-functionaliteit wordt verwijderd.

Bestandsgegevens

ERROR: PhantomJS timeout occurred