关于win2003+iis6服务器设置排错集锦及其他
很多朋友在用IIS6架网站的时候遇到不少问题， 以下是在所知的2003iis碰见的一些问题，只要对着症状处理。服务器一定可以使用的。

问题1：未启用父路径

症状举例：
Server.MapPath() 错误 'ASP 0175 : 80004005'
不允许的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp，行 4
在 MapPath 的 Path 参数中不允许字符 '..'。

原因分析：
许多Web页面里要用到诸如../格式的语句（即回到上一层的页面，也就是父路径），而IIS6.0出于安全考虑，这一选项默认是关闭的。

解决方法：
在IIS中 属性->主目录->配置->选项中。把”启用父路径“前面打上勾。确认刷新。


问题2：ASP的Web扩展配置不当（同样适用于ASP.NET、CGI）

症状举例：
HTTP 错误 404 - 文件或目录未找到。

原因分析：
在IIS6.0中新增了web程序扩展这一选项，你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止，默认情况下ASP等程序是禁止的。

解决方法：
在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”。


问题3：身份认证配置不当

症状举例：
HTTP 错误 401.2 - 未经授权：访问由于服务器配置被拒绝。

原因分析：IIS 支持以下几种 Web 身份验证方法：
匿名身份验证
IIS 创建 IUSR_计算机名称 帐户（其中 计算机名称 是正在运行 IIS 的服务器的名称），用来在匿名用户请求 Web 内容时对他们进行身份验证。此帐户授予用户本地登录权限。你可以将匿名用户访问重置为使用任何有效的 Windows 帐户。
基本身份验证
使用基本身份验证可限制对 NTFS 格式 Web 服务器上的文件的访问。使用基本身份验证，用户必须输入凭据，而且访问是基于用户 ID 的。用户 ID 和密码都以明文形式在网络间进行发送。
Windows 集成身份验证
Windows 集成身份验证比基本身份验证安全，而且在用户具有 Windows 域帐户的内部网环境中能很好地发挥作用。在集成的 Windows 身份验证中，浏览器尝试使用当前用户在域登录过程中使用的凭据，如果尝试失败，就会提示该用户输入用户名和密码。如果你使用集成的 Windows 身份验证，则用户的密码将不传送到服务器。如果该用户作为域用户登录到本地计算机，则他在访问此域中的网络计算机时不必再次进行身份验证。
摘要身份验证
摘要身份验证克服了基本身份验证的许多缺点。在使用摘要身份验证时，密码不是以明文形式发送的。另外，你可以通过代理服务器使用摘要身份验证。摘要身份验证使用一种挑战/响应机制（集成 Windows 身份验证使用的机制），其中的密码是以加密形式发送的。
.NET Passport 身份验证
Microsoft .NET Passport 是一项用户身份验证服务，它允许单一签入安全性，可使用户在访问启用了 .NET Passport 的 Web 站点和服务时更加安全。启用了 .NET Passport 的站点会依靠 .NET Passport 中央服务器来对用户进行身份验证。但是，该中心服务器不会授权或拒绝特定用户访问各个启用了 .NET Passport 的站点。

解决方法：
根据需要配置不同的身份认证（一般为匿名身份认证，这是大多数站点使用的认证方法）。认证选项在IIS的属性->安全性->身份验证和访问控制下配置。


问题4：IP限制配置不当

症状举例：
HTTP 错误 403.6 - 禁止访问：客户端的 IP 地址被拒绝。

原因分析：
IIS提供了IP限制的机制，你可以通过配置来限制某些IP不能访问站点，或者限制仅仅只有某些IP可以访问站点，而如果客户端在被你阻止的IP范围内，或者不在你允许的范围内，则会出现错误提示。

解决方法：
进入IIS的属性->安全性->IP地址和域名限制。如果要限制某些IP地址的访问，需要选择授权访问，点添加选择不允许的IP地址。反之则可以只允许某些IP地址的访问。


问题5：IUSR账号被禁用

症状举例：
HTTP 错误 401.1 - 未经授权：访问由于凭据无效被拒绝。

原因分析：
由于用户匿名访问使用的账号是IUSR_机器名，因此如果此账号被禁用，将造成用户无法访问。

解决办法：
控制面板->管理工具->计算机管理->本地用户和组，将IUSR_机器名账号启用。


问题6：NTFS权限设置不当

症状举例：
HTTP 错误 401.3 - 未经授权：访问由于 ACL 对所请求资源的设置被拒绝。

原因分析：
Web客户端的用户隶属于user组，因此，如果该文件的NTFS权限不足（例如没有读权限），则会导致页面无法访问。

解决办法：
进入该文件夹的安全选项卡，配置user的权限，至少要给读权限。关于NTFS权限设置这里不再馈述。


问题7：IWAM账号不同步

症状举例：
HTTP 500 - 内部服务器错误

原因分析：
IWAM账号是安装IIS时系统自动建立的一个内置账号。IWAM账号建立后被Active Directory、IIS metabase数据库和COM+应用程序三方共同使用，账号密码被三方分别保存，并由操作系统负责这三方保存的IWAM密码的同步工作。系统对IWAM账号的密码同步工作有时会失效，导致IWAM账号所用密码不统一。

解决办法：
如果存在AD，选择开始->程序->管理工具->Active Directory用户和计算机。为IWAM账号设置密码。
运行c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass +密码 同步IIS metabase数据库密码
运行cscript c:\inetpub\adminscripts\synciwam.vbs -v 同步IWAM账号在COM+应用程序中的密码


问题8：MIME设置问题导致某些类型文件无法下载（以ISO为例）

症状举例：
HTTP 错误 404 - 文件或目录未找到。

原因分析：
IIS6.0取消了对某些MIME类型的支持，例如ISO，致使客户端下载出错。

解决方法：
在IIS中 属性->HTTP头->MIME类型->新建。在随后的对话框中，扩展名填入.ISO，MIME类型是application。


问题9：无法在网站后台上传超过200k的文件。




原因：
在 IIS 6.0 中，默认设置是特别严格和安全的，这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。
配置数据库属性实施的最大 ASP 张贴大小为 204,800 个字节，并将各个字段限制为 100 KB。在 IIS 6.0 之前的版本中，没有张贴限制。

这就造成了文件上传不能超过200k，而事实上是提交数据不能超过200k,你可以发一个很长的帖子试试，也会出现这个错误

解决办法：


然后在服务里关闭iis admin service服务
找到windows\system32\inesrv\下的metabase.xml,
打开，找到ASPMaxRequestEntityAllowed 把他修改为需要的值，默认为204800，即200K
然后重启iis admin service服务
把它修改为51200000（50M）

其他问题：

动态或静态内容错误

禁止应用程序对资源进行访问

在全新安装之后，iis 6.0 以工作进程隔离模式运行。默认情况下，以此模式运行的应用程序使用网络服务标识。"网络服务"是具有极少用户权限的帐户，因此可通过限制对 web 服务器上资源的访问来提供更高的安全性。如果在服务器处于工作进程隔离模式时将应用程序迁移到 iis 6.0，并且应用程序先前作为本地系统在进程内运行（在 inetinfo.exe 中），则应用程序可能由于网络服务标识设定的限制无法访问资源。本地系统帐户拥有操作系统上几乎所有资源的访问权限，因此，可能会产生严重的安全隐患。尽可能不要使用本地系统帐户。如果必须使用本地系统帐户来运行某个应用程序，则在其自己的虚拟目录中的新应用程序池中运行该应用程序，以便通过隔离该应用程序来减少攻击面。或者，如果应用程序需要使用可信计算库 (tcb) 的权限，则以可配置的身份运行该应用程序，并给该可配置的身份指派 tcb 权限。但是，这种方法仍存在安全隐患，因为可通过 tcb 权限执行很多操作。

详细信息，请参阅配置工作进程标识和 iis 和内置帐户。

动态内容请求返回 404 错误

为了更好地预防恶意用户和攻击者的攻击，iis 是在高度安全和锁定模式下安装的。在默认情况下，iis 仅处理静态内容，这意味着除非启用 asp、asp.net、在服务器端的包含文件、webdav 发布、frontpage® server extensions 和通用网关接口等功能，否则无法使用这些功能。如果在安装 iis 后没有启用此功能，则在拒绝此类服务时，iis 默认返回常规 404 自定义错误页以防止泄漏配置信息。默认情况下，iis 还将 404 错误及子状态代码 2 (404.2) 写入到 w3c 扩展日志文件中。

要点 您必须是本地计算机上 administrators 组的成员或者您必须被委派相应的权限才能执行下列步骤。作为安全性的最佳操作，请使用不属于 administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 iis 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

启用或禁用 web 服务扩展

在 iis 管理器中，展开本地计算机，然后单击"web 服务扩展"。
在详细信息窗格中，单击要启用或禁用的 web 服务扩展。
要启用已禁用的 web 服务扩展，请单击"允许"。
要禁用已启用的 web 服务扩展，请单击"禁止"。
单击"确定"。
要以编程方式启用或禁用 web 服务扩展，请参阅 websvcextrestrictionlist。

静态文件请求返回 404 错误

对于静态内容请求，此版本的 iis 仅处理具有已知文件扩展名的文件请求，此功能称为"已知扩展名"。如果所请求资源的文件扩展名没有映射到 mimemap 属性中的已知扩展名，则 iis 就会拒绝该请求，并默认在 w3c 扩展日志文件中记录 404 错误和子状态代码 3 (404.3)。要防止泄漏配置信息，可以将 iis 配置为在拒绝此类服务时默认返回常规 404 自定义错误页。您可以使用 iis 管理器添加或编辑多用途 internet 邮件交换 (mime) 映射。要关闭"已知扩展名"功能并允许 iis 处理具有任何扩展名的文件，可以将 *,application/octet-stream 值添加到 mime 映射列表中。如果更新全局 mime 映射，则在工作进程回收或重新启动万维网发布服务（www 服务）后，更改才会生效。如果更新单个网站 mime 映射，则更改会立即生效。

有关添加或编辑 mime 映射的详细信息，请参阅使用 mime 类型。

工作进程回收丢失应用程序会话状态

默认情况下，工作进程在 120 分钟后回收。如果在回收工作进程时 asp 应用程序并不存储会话状态，则该 asp 应用程序中的会话状态可能会丢失。要解决此问题，可以将会话状态存储在数据库中，或者禁用工作进程回收。

禁用工作进程回收

在 iis 管理器中，展开本地计算机，展开"应用程序池"，右键单击该应用程序池，然后单击"属性"。
在"回收"选项卡上，清除"回收工作进程（分钟）"复选框。
单击"确定"。

在服务器端的包含文件指令 (＃i nclude) 返回 404 错误（对于 .stm 文件）或 0131 错误（对于 .asp 文件）

如果 asp 页使用 ＃i nclude 在服务器端的包含文件指令和 ".." 记号来引用某个父目录，则除非重新配置了 aspenableparentpaths 配置数据库属性，否则，该指令将返回一条错误。默认情况下，将该属性设置为 false。如果将该属性设置为 true，则可能会产生潜在的安全隐患，因为包含文件路径可以访问应用程序根目录外的关键或机密文件。

通过 iis 管理器启用父路径

在 iis 管理器中，展开本地计算机，右键单击要配置的应用程序的开始位置目录，然后单击"属性"。
单击"目录"选项卡，然后单击"配置"。
单击"选项"选项卡。
在"应用程序配置"部分，选择"启用父路径"复选框。
单击"确定"。

asp 在事件日志中给 global.asa 生成"权限被拒绝"错误

由于早期版本的 asp 在事件中没有用户上下文，因此只能在宿主进程的安全上下文（或用户标识）中执行事件。这将会导致一些问题，例如在将文件写入 session_onend 事件中时发生拒绝访问错误。在当前版本中，asp 默认匿名运行 global.asa 事件、application_onend 和 session_onend（默认值为 true）。

要以编程方式更改此设置，请参阅 http://www.microsoft.com/technet ... f8305.mspx?mfr=true。