Beskrivning av uppdateringen med vilken utökat skydd för autentisering implementeras i IIS (Internet Information Services)

Supporten för Windows Server 2003 upphörde 14 juli 2015

Microsoft upphörde med supporten för Windows Server 2003 den 14 juli 2015. Denna ändring påverkar dina programuppdateringar och säkerhetsalternativ. Läs om vad detta innebär för dig och hur du behåller skyddet.

Inledning
Artikeln beskriver en uppdatering som inte rör säkerhet och som inför utökat skydd för autentisering i IIS (Internet Information Services).

När utökat skydd för autentisering är aktiverat skickas autentiseringsbegäranden både till huvudnamnen för tjänst (SPN, Service Principal Names) för den server som klienten försöker ansluta till, och till den yttre TLS-kanalen (Transport Layer Security) där den integrerade Windows-autentiseringen utförs.

Obs! Uppdateringen gavs ut på nytt 9 mars 2010 för att åtgärda ett installationsproblem och ett funktionsproblem:
  • Uppdateringen kan nu korrekt identifiera när en dator som kör Windows Server 2003 SP2 är en installation där IIS 6 innehåller vissa Windows Server 2003 SP1-binärfiler. Uppdateringen installeras då inte utan avbryts med ett felmeddelande. De versioner av uppdatering 973917 som gavs ut före detta datum installeras utan problem, men kan orsaka att IIS inte startar om efter installationen.
  • På en dator som kör Windows Server 2003 åtgärdar den här nyutgåvan ett problem som kan göra att stora mängder minne allokeras efter att utökat skydd för autentisering har aktiverats.
  • På en dator som kör Windows Server 2008 löser den här nyutgåvan ett problem som kan göra att det utökade skyddet inte fungerar som det ska när IIS är konfigurerat att använda kernelläget Windows-autentisering.
Mer Information

Konfiguration

Med det utökade skyddet förbättras den befintliga Windows-autentiseringsfunktionen så att vidarebefordrad autentisering och angrepp som baseras på uppfångade paket kan motverkas. Detta åstadkoms genom att säkerhetsinformation implementeras via två säkerhetsmekanismer:
  • Kanalbindningsinformation som anges via en kanalbindningstoken. Denna används främst för SSL-anslutningar.
  • Tjänstbindningsinformation som anges via tjänstens huvudnamn. Denna används främst för anslutningar utan SSL eller om en anslutning har upprättats. Till exempel kan detta ske i en situation där SSL avlastas till en annan enhet, t.ex. en proxyserver eller belastningsfördelningsfunktion.
I IIS 7.0 konfigureras det utökade skyddet via elementet <extendedProtection>. Den detaljerade konfigurationsinformationen finns under rubriken "Konfiguration i IIS 7.0 och IIS 7.5". I IIS 6.0 används samma konfigurationsparametrar, men dessa distribueras med hjälp av registernycklar. (Läs avsnittet "Konfiguration i IIS 6.0.")

Elementet <extendedProtection> kan innehålla en samling av <spn>-element, där vart och ett av dessa element innehåller ett unikt SPN för tjänstbindningsinformationen. Varje SPN motsvarar en unik slutpunkt i anslutningsvägen. Det kan vara målserverns eller en proxyservers fullständiga kvalificerade domännamn (FQDN) eller NetBIOS-namn. Om en klient t.ex. ansluts till en målserver via en proxyserver måste målserverns SPN-samling innehålla proxyserverns SPN. Varje SPN i samlingen måste föregås av "HTTP". Det innebär att SPN för "www.contoso.com" blir "HTTP/www.contoso.com".

Utökade skyddsscenarion

Tänk dig följande scenarion.
Scenario Flaggor: Beskrivning
Klienten ansluts direkt till målservern där HTTP används. Proxy, ProxyCohosting SPN-kontroll används, kontroll av kanalbindningstoken används inte.
Klienten ansluts direkt till målservern där SLL används. Inget Kontroll av kanalbindningstoken används, SPN-kontroll används inte.
Klienten ansluts till målservern via en proxyserver där HTTP används för sökvägen. Proxy, ProxyCohosting SPN-kontroll används, kontroll av kanalbindningstoken används inte.
Klienten ansluts till målservern via en proxyserver där SSL används för sökvägen. Proxy SPN-kontroll används, kontroll av kanalbindningstoken används inte.
Klienten ansluts till en proxyserver där SSL används och proxyservern ansluts till målservern där HTTP används (SSL-avlastning). Proxy SPN-kontroll används, kontroll av kanalbindningstoken används inte.
  • I dessa situationer kan du även ange flaggan AllowDotlessSpn om nätverksmiljön har stöd för NetBIOS-baserade SPN. Dessa är dock inte säkra.
  • Du bör inte ange flaggan NoServiceNameCheck i scenarion där SPN-kontroll används, men inte kontroll av kanalbindningstoken.
  • Windows-autentisering aktiveras och installeras inte i standardinstallationen av IIS 6.0, IIS 7.0 och IIS 7.5. Det utökade skyddet gäller endast om Windows-autentisering har aktiverats för webbplatsen eller programmet.

Konfiguration i IIS 7.0 och 7.5

Standardinstallationen av IIS 7.0 innehåller inte rolltjänsten för Windows-autentisering. Om du vill använda Windows-autentisering i IIS måste du installera rolltjänsten, inaktivera anonym autentisering för webbplatsen eller programmet, och sedan aktivera Windows-autentisering för webbplatsen eller programmet.

Obs! När du har installerat rolltjänsten anges följande konfigurationsinställningar i filen ApplicationHost.config i IIS 7.0.
<windowsAuthentication enabled="false" />

Så här aktiverar du utökat skydd för Windows-autentisering i IIS 7.5

  1. Klicka på Start, peka på Administrationsverktyg och klicka på Internet Information Services-hanteraren.
  2. I fönsterrutan Anslutningar expanderar du servernamnet, expanderar Platser och markerar önskad plats, program eller webbtjänst.
  3. Rulla till avsnittet Säkerhet i fönsterrutan Start och dubbelklicka sedan på Autentisering.
  4. Markera Windows-autentisering i fönsterrutan Autentisering.
  5. Klicka på Aktivera i fönsterrutan Åtgärder.
  6. Klicka på Avancerade inställningar i fönsterrutan Åtgärder.
  7. När dialogrutan Avancerade inställningar visas markerar du ett av följande alternativ på Utökat skydd-menyn:
    • Markera Acceptera om du vill aktivera utökat skydd samtidigt som du behåller stöd för klienter på lägre nivå som saknar stöd för utökat skydd.
    • Markera Obligatoriskt om du vill aktivera utökat skydd utan stöd för klienter på lägre nivå.
  8. Stäng dialogrutan Avancerade inställningar genom att klicka på OK.

Så här aktiverar du utökat skydd för Windows-autentisering i IIS 7.0

IIS Manager för IIS 7.0 saknar gränssnittsalternativ för att ändra det utökade skyddet. Det innebär att ändringar måste göras med hjälp av konfigurationsexemplet eller skripten som beskrivs längre fram i den här artikeln.

Konfiguration

Attribut
Elementet <extendedProtection> kan konfigureras på webbplatsnivå, programnivå eller på virtuell katalognivå i filen ApplicationHost.config.
AttributBeskrivning
flaggorValfritt flaggattribut.

Anger ytterligare funktionsinställningar för utökat skydd.

Flaggattributet kan utgöras av en kombination värden i nästa tabell. Standardvärdet är Inget.
tokenCheckingValfritt uppräkningsattribut.

Anger funktionen för kontroll av kanalbindningsinformation.

Attributet tokenChecking kan vara ett av de värden som beskrivs i nästa tabell. Standardvärdet är Inget.
Med flaggattributet konfigureras ytterligare funktionsinställningar för utökat skydd. Följande flaggor är möjliga.
NamnBeskrivning
IngetDenna flagga anger att ingen ytterligare funktion har aktiverats för det utökade skyddet. (Exempel: Ingen proxyserver används och SPN-kontroll är aktiverad och det krävs FQDN.)

Det numeriska värdet är 0.
ProxyDenna flagga anger att en del av kommunikationsvägen går via en proxy, eller att klienten ansluts direkt till målservern över HTTP.

Det numeriska värdet är 1.
NoServiceNameCheckDenna flagga anger att SPN-kontroll är inaktiverad. Flaggan bör inte användas i scenarion där endast SPN:er kontrolleras.

Det numeriska värdet är 2.
AllowDotlessSpnDenna flagga anger att SPN:er inte behöver vara FQDN.

Obs! Det är inte säkert att ange denna flagga eftersom namn som inte är FQDN-baserade är sårbara för angrepp via bedräglig namnmatchning. Denna inställning kan inte rekommenderas eftersom kunden utsätts för risk.

Det numeriska värdet är 4.
ProxyCohostingDenna flagga anger att endast HTTP kommer att användas i kommunikationsvägen mellan klient och server. SSL används inte i någon del av kommunikationen. SPN-kontroll används.

Obs! Om du anger denna flagga måste du även ange Proxy-flaggan.

Det numeriska värdet är 32.
Med attributet tokenChecking konfigureras funktionen för kontroll av kanalbindningstoken. Detta attribut kan ha följande värden.
NamnBeskrivning
IngetDetta värde anger att kontroll av kanalbindningstoken inte utförs i IIS. Inställningen emulerar funktionen som fanns före det utökade skyddet.

Det numeriska värdet är 0.
TillåtDetta värde anger att kontroll av kanalbindningstoken är aktiverad men inte obligatorisk. Med den här inställningen tillåts kommunikation med klienter som har stöd för utökat skydd så att de skyddas med funktionen. Samtidigt stöds även klienter som inte har stöd för utökat skydd.

Det numeriska värdet är 1.
KrävDetta värde anger att kontroll av kanalbindningstoken är obligatorisk. Med den här inställningen stöds inte klienter som saknar stöd för utökat skydd.

Det numeriska värdet är 2.
Underordnade element
ElementBeskrivning
spnLägger till ett SPN i samlingen.
clearSpnsRensar SPN-samlingen.
removeSpnTar bort ett SPN ur samlingen.

Konfigurationsexempel

I följande exempel visas hur ett <extendedProtection>-element används för att aktivera Windows-autentisering med utökat skydd för standardwebbplatsen. I exemplet läggs två SPN-poster till i SPN-samlingen.
<location path="Default Web Site">   <system.webServer>      <security>         <authentication>            <windowsAuthentication enabled="true">               <extendedProtection tokenChecking="Allow" flags="None">                  <spn name="HTTP/www.contoso.com" />                  <spn name="HTTP/contoso.com" />               </extendedProtection>            </windowsAuthentication>         </authentication>      </security>   </system.webServer></location>

Exempelkod

I följande exempel visas hur du aktiverar Windows-autentisering med utökat skydd för standardwebbplatsen och hur du lägger till två SPN i samlingen.
AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"Allow" /extendedProtection.flags:"None" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/www.contoso.com']" /commit:apphostappcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/windowsAuthentication /+"extendedProtection.[name='HTTP/contoso.com']" /commit:apphost
Obs! Du måste ange APPHOST för commit-parametern om du använder AppCmd.exe för att konfigurera inställningarna. Med den här inställningen anges konfigurationsinställningarna i lämpligt platsavsnitt i filen ApplicationHost.config.
C#

using System;using System.Text;using Microsoft.Web.Administration;internal static class Sample{   private static void Main()   {      using (ServerManager serverManager = new ServerManager())      {         Configuration config = serverManager.GetApplicationHostConfiguration();         ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site");         windowsAuthenticationSection["enabled"] = true;         ConfigurationElement extendedProtectionElement = windowsAuthenticationSection.GetChildElement("extendedProtection");         extendedProtectionElement["tokenChecking"] = @"Allow";         extendedProtectionElement["flags"] = @"None";         ConfigurationElementCollection extendedProtectionCollection = extendedProtectionElement.GetCollection();         ConfigurationElement spnElement = extendedProtectionCollection.CreateElement("spn");         spnElement["name"] = @"HTTP/www.contoso.com";         extendedProtectionCollection.Add(spnElement);         ConfigurationElement spnElement1 = extendedProtectionCollection.CreateElement("spn");         spnElement1["name"] = @"HTTP/contoso.com";         extendedProtectionCollection.Add(spnElement1);         serverManager.CommitChanges();      }   }}

Visual Basic .NET

Imports SystemImports System.TextImports Microsoft.Web.AdministrationModule Sample   Sub Main()      Dim serverManager As ServerManager = New ServerManager      Dim config As Configuration = serverManager.GetApplicationHostConfiguration      Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Default Web Site")      windowsAuthenticationSection("enabled") = True      Dim extendedProtectionElement As ConfigurationElement = windowsAuthenticationSection.GetChildElement("extendedProtection")      extendedProtectionElement("tokenChecking") = "Allow"      extendedProtectionElement("flags") = "None"      Dim extendedProtectionCollection As ConfigurationElementCollection = extendedProtectionElement.GetCollection      Dim spnElement As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")      spnElement("name") = "HTTP/www.contoso.com"      extendedProtectionCollection.Add(spnElement)      Dim spnElement1 As ConfigurationElement = extendedProtectionCollection.CreateElement("spn")      spnElement1("name") = "HTTP/contoso.com"      extendedProtectionCollection.Add(spnElement1)      serverManager.CommitChanges()   End SubEnd Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");windowsAuthenticationSection.Properties.Item("enabled").Value = true;var extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection");extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow";extendedProtectionElement.Properties.Item("flags").Value = "None";var extendedProtectionCollection = extendedProtectionElement.Collection;var spnElement = extendedProtectionCollection.CreateNewElement("spn");spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com";extendedProtectionCollection.AddElement(spnElement);var spnElement1 = extendedProtectionCollection.CreateNewElement("spn");spnElement1.Properties.Item("name").Value = "HTTP/contoso.com";extendedProtectionCollection.AddElement(spnElement1);adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")windowsAuthenticationSection.Properties.Item("enabled").Value = TrueSet extendedProtectionElement = windowsAuthenticationSection.ChildElements.Item("extendedProtection")extendedProtectionElement.Properties.Item("tokenChecking").Value = "Allow"extendedProtectionElement.Properties.Item("flags").Value = "None"Set extendedProtectionCollection = extendedProtectionElement.CollectionSet spnElement = extendedProtectionCollection.CreateNewElement("spn")spnElement.Properties.Item("name").Value = "HTTP/www.contoso.com"extendedProtectionCollection.AddElement(spnElement)Set spnElement1 = extendedProtectionCollection.CreateNewElement("spn")spnElement1.Properties.Item("name").Value = "HTTP/contoso.com"extendedProtectionCollection.AddElement(spnElement1)adminManager.CommitChanges()

Konfiguration i IIS 6.0

Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera och återställa registret i Windows XP

I IIS 6.0 kan utökat skydd för autentisering konfigureras genom att följande registernycklar anges.
Registernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\tokenChecking
Tillåtna värden: 0 (inget), 1 (tillåt), 2 (kräv)
Datatyp:DWORD
Standard: 0
NamnBeskrivning
IngetDetta värde anger att kontroll av kanalbindningstoken inte utförs i IIS. Inställningen emulerar funktionen som fanns före det utökade skyddet.

Det numeriska värdet är 0.
TillåtDetta värde anger att kontroll av kanalbindningstoken är aktiverad men inte obligatorisk. Med den här inställningen tillåts kommunikation med klienter som har stöd för utökat skydd så att de skyddas med funktionen. Samtidigt stöds även klienter som inte har stöd för utökat skydd.

Det numeriska värdet är 1.
KrävDetta värde anger att kontroll av kanalbindningstoken är obligatorisk. Med den här inställningen stöds inte klienter som saknar stöd för utökat skydd.

Det numeriska värdet är 2.
Registernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\flags
Tillåtna värden: 0 (inget), 1 (proxy), 2 (NoServiceNameCheck), 4 (AllowDotlessSpn), 32 (ProxyCohosting)
Datatyp:DWORD
Standard: 0
NamnBeskrivning
IngetDenna flagga anger att ingen ytterligare funktion har aktiverats för det utökade skyddet. (Till exempel används ingen proxy server.)

Det numeriska värdet är 0.
ProxyDenna flagga anger att en del av kommunikationsvägen går genom en proxy. Om klienten ansluts direkt till målservern över HTTP måste både Proxy och ProxyCoHosting aktiveras.

Det numeriska värdet är 1.
NoServiceNameCheckDenna flagga anger att SPN-kontroll är inaktiverad. Flaggan bör inte användas i scenarion där endast SPN:er kontrolleras.

Det numeriska värdet är 2.
AllowDotlessSpnDenna flagga anger att SPN:er inte behöver vara FQDN. Om du anger flaggan tillåts NetBIOS-baserade SPN.

Obs! Det är inte säkert att ange denna flagga eftersom namn som inte är FQDN-baserade är sårbara för angrepp via bedräglig namnmatchning. Denna inställning kan inte rekommenderas eftersom kunden utsätts för risk.

Det numeriska värdet är 4.
ProxyCohostingDenna flagga anger att endast HTTP kommer att användas i kommunikationsvägen mellan klient och server. SSL används inte i någon del av kommunikationen. SPN-kontroll används. Aktivera även denna flagga om både skyddad och oskyddad trafik som skickas via proxyn måste autentiseras.

Obs! Om du anger denna flagga måste du även ange Proxy-flaggan.

Det numeriska värdet är 32.
Registernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\spns
Tillåtna värden: <strängar>
Datatyp:MULTI_SZ
Standard: tomt
Följ instruktionerna nedan för att ange dessa registernycklar:
  1. Starta Registereditorn. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta upp och klicka på följande registerundernyckel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\extendedProtection\
  3. Kontrollera att
    tokenChecking
    ,
    Flags
    och
    spns
    finns angivna.

    Om de inte finns skapar du dem så här:
    1. Markera registerundernyckeln som visas i steg 2, peka på NyttRedigera-menyn och klicka på DWORD-värde.
    2. Skriv tokenChecking och tryck på Retur.
    3. Markera registerundernyckeln som visas i steg 2, peka på NyttRedigera-menyn och klicka på DWORD-värde.
    4. Skriv flags och tryck på Retur.
    5. Markera registerundernyckeln som visas i steg 2, peka på NyttRedigera-menyn och klicka på MULTI_SZ-värde.
    6. Skriv spns och tryck på Retur.
  4. Markera registervärdet tokenChecking.
  5. Klicka på ÄndraRedigera-menyn.
  6. Skriv önskat värde i rutan Data och klicka på OK.
  7. Markera registervärdet flags.
  8. Skriv önskat värde i rutan Data och klicka på OK.
  9. Markera registervärdet spns.
  10. Skriv önskat SPN i rutan Data och klicka på OK.
  11. Avsluta Registereditorn.
Mer information om funktionen Utökat skydd för autentisering och hur du aktiverar den när du har installerat den här uppdateringen, hittar du på följande Microsoft-webbplats: Mer information om IIS finns på följande Microsoft-webbplats:Integrerad Windows-autentisering med utökat skyddSPN (Service Principal Names)

Information om uppdateringen

Förutsättningar för Windows Server2003

Den här uppdateringen kräver en korrekt installation av Windows Server 2003 Service Pack 2 (SP2). I några fall kan vissa binärfiler för Service Pack 1 (SP1) vara installerade på en dator som annars kör SP2. Om den här uppdateringen installeras på en sådan dator kan ett IIS-fel inträffa, vilket gör att servern returnerar felet "503 Inte tillgänglig" för alla förfrågningar. Du kan ta reda på om servern kör rätt SP2-binärfiler för IIS genom att titta i följande filtabell och se om versionsnumren stämmer med filversionerna i listan eller med senare versioner.
File nameFile versionFile sizeDatePlatformSP requirement
Adrot.dll6.0.3790.395958,88017-Feb-2007x86SP2
Adsiis.dll6.0.3790.3959291,32817-Feb-2007x86SP2
Asp.dll6.0.3790.3959388,09617-Feb-2007x86SP2
Browscap.dll6.0.3790.395947,10417-Feb-2007x86SP2
Certobj.dll6.0.3790.395982,43217-Feb-2007x86SP2
Coadmin.dll6.0.3790.395964,00017-Feb-2007x86SP2
Controt.dll6.0.3790.395933,79217-Feb-2007x86SP2
Davcdata.exe6.0.3790.395927,13617-Feb-2007x86SP2
Davcprox.dll6.0.3790.39596,65617-Feb-2007x86SP2
Gzip.dll6.0.3790.395925,60017-Feb-2007x86SP2
Httpext.dll6.0.3790.3959241,66417-Feb-2007x86SP2
Httpmib.dll6.0.3790.395918,94417-Feb-2007x86SP2
Httpodbc.dll6.0.3790.395948,64017-Feb-2007x86SP2
Iisadmin.dll6.0.3790.395921,50417-Feb-2007x86SP2
Iiscfg.dll6.0.3790.39591,133,05617-Feb-2007x86SP2
Iisclex4.dll6.0.3790.062,97618-Feb-2007x86SP2
Iisext.dll6.0.3790.395982,94417-Feb-2007x86SP2
Iislog.dll6.0.3790.395976,28817-Feb-2007x86SP2
Iisres.dll6.0.3790.3959122,88017-Feb-2007x86SP2
Iisrstas.exe6.0.3790.395928,16017-Feb-2007x86SP2
Iisui.dll6.0.3790.3959217,08817-Feb-2007x86SP2
Iisuiobj.dll6.0.3790.395968,60817-Feb-2007x86SP2
Iisutil.dll6.0.3790.3959167,93617-Feb-2007x86SP2
Iisw3adm.dll6.0.3790.3959216,57617-Feb-2007x86SP2
Iiswmi.dll6.0.3790.3959194,56017-Feb-2007x86SP2
Inetinfo.exe6.0.3790.395914,33617-Feb-2007x86SP2
Inetmgr.dll6.0.3790.39591,058,30417-Feb-2007x86SP2
Inetmgr.exe6.0.3790.395919,45617-Feb-2007x86SP2
Infocomm.dll6.0.3790.3959235,52017-Feb-2007x86SP2
Isapips.dll6.0.3790.39598,19217-Feb-2007x86SP2
Isatq.dll6.0.3790.395952,73617-Feb-2007x86SP2
Iscomlog.dll6.0.3790.395919,45617-Feb-2007x86SP2
Logscrpt.dll6.0.3790.395925,60017-Feb-2007x86SP2
Lonsint.dll6.0.3790.395913,31217-Feb-2007x86SP2
Metadata.dll6.0.3790.3959234,49617-Feb-2007x86SP2
Nextlink.dll6.0.3790.395961,44017-Feb-2007x86SP2
Nntpadm.dll6.0.3790.3959187,39217-Feb-2007x86SP2
Nntpsnap.dll6.0.3728.02,663,42417-Feb-2007x86SP2
Rpcref.dll6.0.3790.39594,09617-Feb-2007x86SP2
Seo.dll6.0.3790.3959219,13617-Feb-2007x86SP2
Smtpadm.dll6.0.3790.3959179,20017-Feb-2007x86SP2
Smtpsnap.dll6.0.3728.02,086,40017-Feb-2007x86SP2
Ssinc.dll6.0.3790.395924,06417-Feb-2007x86SP2
Svcext.dll6.0.3790.395944,54417-Feb-2007x86SP2
Uihelper.dll6.0.3790.3959114,17617-Feb-2007x86SP2
Urlauth.dll6.0.3790.395915,36017-Feb-2007x86SP2
W3cache.dll6.0.3790.395919,45617-Feb-2007x86SP2
W3comlog.dll6.0.3790.395910,75217-Feb-2007x86SP2
W3core.dll6.0.3790.3959349,69617-Feb-2007x86SP2
W3ctrlps.dll6.0.3790.39596,14417-Feb-2007x86SP2
W3ctrs.dll6.0.3790.395924,06417-Feb-2007x86SP2
W3dt.dll6.0.3790.395939,42417-Feb-2007x86SP2
W3ext.dll6.0.3790.395992,67217-Feb-2007x86SP2
W3isapi.dll6.0.3790.395962,46417-Feb-2007x86SP2
W3tp.dll6.0.3790.395913,31217-Feb-2007x86SP2
W3wp.exe6.0.3790.39597,16817-Feb-2007x86SP2
Wam.dll6.0.3790.395923,04017-Feb-2007x86SP2
Wamps.dll6.0.3790.39596,65617-Feb-2007x86SP2
Wamreg.dll6.0.3790.395955,80817-Feb-2007x86SP2

Kända problem

  • Windows Server 2003

    Den här uppdateringen gavs ut på nytt 9 mars 2010 som en extra kontroll för att säkerställa att IIS 6-systemet på en dator som kör Windows Server 2003 SP2 inte innehåller binärfiler från SP1-versionen. Om sådana binärfiler upptäcks avslutas uppdateringen med ett felmeddelande. För att åtgärda detta kan du installera SP2-uppdateringen på nytt på dina datorer och därefter installera det här paketet.

    Den ursprungliga versionen av den här säkerhetsuppdateringen, som gavs ut före 9 mars 2010, kunde leda till att IIS-programpooler inte startade på installationer av Windows Server 2003 SP2 där IIS 6 kunde innehålla vissa SP1-binärfiler. Systemloggen kunde visa följande felmeddelande när IIS-tjänsten startade:
    Händelse-ID 1009, Beskrivning: En process som servar programpoolen 'DefaultAppPool' avbröts oväntat. Processens ID var 1234
    Om du vill veta mer om det här kända problemet klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    2009746 Internet Information Services 6.0 fungerar inte som det ska efter installation av KB973917 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Vi rekommenderar att du läser igenom "Förutsättningar för Windows Server 2003" om din dator inte är en ren Windows Server 2003 SP2-installation.

    Sedan den 16 december 2009 erbjuds du inte längre den här uppdateringen om du använder Automatiska uppdateringar, om din IIS-installation är i en konfiguration där både SP1- och SP2-binärfiler finns på datorn. Vi rekommenderar att du läser igenom följande artikel i Microsoft Knowledge Base om hur du säkerställer att den här uppdateringen kan installeras på din dator.
    2009746 Internet Information Services 6.0 fungerar inte som det ska efter installation av KB973917 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
  • Windows Server 2003 och Windows Server 2008

    Den här uppdateringen gavs ut på nytt 9 mars 2010. Nyutgåvan ersätter fullt ut den ursprungliga. Om du installerar den nya versionen avinstalleras den gamla och ersätts av den nya. Om du avinstallerar uppdateringen från 9 mars har datorn inget utökat skydd för IIS.
FILINFORMATION
Den engelska (USA) versionen av den här programuppdateringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time), men visas på din lokala dator i din lokala tid och med din aktuella inställning för sommartid. Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.

Filinformation för Windows XP och Windows Server 2003

  • De filer som gäller en viss milstolpe (RTM, SPn) och verksamhetsgren (QFE, GDR) anges i kolumnerna "SP requirement" och "Service branch".
  • GDR-verksamhetsgrenar innehåller endast brett utgivna korrigeringar för vitt spridda, kritiska problem. QFE-verksamhetsgrenar innehåller snabbkorrigeringar förutom brett utgivna korrigeringar.
  • Förutom filerna i dessa tabeller installerar denna programuppdatering även en tillhörande säkerhetskatalogfil (KBnummer.cat), som är signerad med en digital Microsoft-signatur.

För alla x64-baserade versioner av Windows Server 2003 och Windows XP Professional x64 som stöds

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616562,17618-Feb-201019:57x64SP2SP2GDR
Httpapi.dll5.2.3790.461637,37618-Feb-201019:57x64SP2SP2GDR
Strmfilt.dll6.0.3790.4647134,65618-Feb-201019:57x64SP2SP2GDR
W3core.dll6.0.3790.4667547,32818-Feb-201019:57x64SP2SP2GDR
W3dt.dll6.0.3790.466758,88018-Feb-201019:57x64SP2SP2GDR
W3isapi.dll6.0.3790.466784,99218-Feb-201019:57x64SP2SP2GDR
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:57x86SP2SP2GDR\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:57x86SP2SP2GDR\WOW
Ww3core.dll6.0.3790.4667350,72018-Feb-201019:57x86SP2SP2GDR\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:57x86SP2SP2GDR\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:57x86SP2SP2GDR\WOW
Http.sys5.2.3790.4616567,80818-Feb-201019:53x64SP2SP2QFE
Httpapi.dll5.2.3790.461637,37618-Feb-201019:53x64SP2SP2QFE
Strmfilt.dll6.0.3790.4647134,65618-Feb-201019:53x64SP2SP2QFE
W3core.dll6.0.3790.4667547,32818-Feb-201019:53x64SP2SP2QFE
W3dt.dll6.0.3790.466758,88018-Feb-201019:53x64SP2SP2QFE
W3isapi.dll6.0.3790.466784,99218-Feb-201019:53x64SP2SP2QFE
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:53x86SP2SP2QFE\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:53x86SP2SP2QFE\WOW
Ww3core.dll6.0.3790.4667351,23218-Feb-201019:53x86SP2SP2QFE\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:53x86SP2SP2QFE\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:53x86SP2SP2QFE\WOW

För alla x86-baserade versioner av Windows Server 2003 som stöds

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616292,86406-Nov-200912:54x86SP2SP2GDR
Httpapi.dll5.2.3790.461625,08811-Nov-200905:09x86SP2SP2GDR
Strmfilt.dll6.0.3790.464786,52811-Jan-201010:23x86SP2SP2GDR
W3core.dll6.0.3790.4667350,72018-Feb-201005:31x86SP2SP2GDR
W3dt.dll6.0.3790.466739,42418-Feb-201005:31x86SP2SP2GDR
W3isapi.dll6.0.3790.466762,97618-Feb-201005:31x86SP2SP2GDR
Http.sys5.2.3790.4616294,91206-Nov-200911:46x86SP2SP2QFE
Httpapi.dll5.2.3790.461625,08811-Nov-200905:51x86SP2SP2QFE
Strmfilt.dll6.0.3790.464786,52811-Jan-201009:36x86SP2SP2QFE
W3core.dll6.0.3790.4667351,23218-Feb-201005:50x86SP2SP2QFE
W3dt.dll6.0.3790.466739,42418-Feb-201005:50x86SP2SP2QFE
W3isapi.dll6.0.3790.466762,97618-Feb-201005:50x86SP2SP2QFE

För alla IA-64-baserade versioner av Windows Server 2003 som stöds

File nameFile versionFile sizeDateTimePlatformSP requirementService branch
Http.sys5.2.3790.4616806,91218-Feb-201019:57IA-64SP2SP2GDR
Httpapi.dll5.2.3790.461669,63218-Feb-201019:57IA-64SP2SP2GDR
Strmfilt.dll6.0.3790.4647254,97618-Feb-201019:57IA-64SP2SP2GDR
W3core.dll6.0.3790.46671,066,49618-Feb-201019:57IA-64SP2SP2GDR
W3dt.dll6.0.3790.466787,04018-Feb-201019:57IA-64SP2SP2GDR
W3isapi.dll6.0.3790.4667121,85618-Feb-201019:57IA-64SP2SP2GDR
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:57x86SP2SP2GDR\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:57x86SP2SP2GDR\WOW
Ww3core.dll6.0.3790.4667350,72018-Feb-201019:57x86SP2SP2GDR\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:57x86SP2SP2GDR\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:57x86SP2SP2GDR\WOW
Http.sys5.2.3790.4616815,10418-Feb-201019:51IA-64SP2SP2QFE
Httpapi.dll5.2.3790.461669,63218-Feb-201019:51IA-64SP2SP2QFE
Strmfilt.dll6.0.3790.4647254,97618-Feb-201019:51IA-64SP2SP2QFE
W3core.dll6.0.3790.46671,067,00818-Feb-201019:51IA-64SP2SP2QFE
W3dt.dll6.0.3790.466787,04018-Feb-201019:51IA-64SP2SP2QFE
W3isapi.dll6.0.3790.4667121,85618-Feb-201019:51IA-64SP2SP2QFE
Whttpapi.dll5.2.3790.461625,08818-Feb-201019:51x86SP2SP2QFE\WOW
Wstrmfilt.dll6.0.3790.464786,52818-Feb-201019:51x86SP2SP2QFE\WOW
Ww3core.dll6.0.3790.4667351,23218-Feb-201019:51x86SP2SP2QFE\WOW
Ww3dt.dll6.0.3790.466739,42418-Feb-201019:51x86SP2SP2QFE\WOW
Ww3isapi.dll6.0.3790.466762,97618-Feb-201019:51x86SP2SP2QFE\WOW

Filinformation för Windows Vista och Windows Server 2008

  • Vilka filer som hör till en viss produkt, milstolpe (RTM, SPn) och verksamhetsgren (LDR, GDR) framgår av filversionsnumren i följande tabell:ERROR: PhantomJS timeout occurred