Posted: 2004/5月/29 5:19下午 | IP记录

一.错误表现
IIS5的HTTP 500内部服务器错误是我们经常碰到的错误之一，它的主要错误表现
就是ASP程序不能浏览但HTM静态网页不受影响。另外当错误发生时，系统事件日
志和安全事件日志都会有相应的记录。

具体如下：
(一)IE中的表现
当浏览以前能够正常执行的asp页面时会出现如下的错误:

网页无法显示
您要访问的网页存在问题，因此无法显示。
请尝试下列操作：
打开 127.0.0.1 主页，寻找指向所需讯息的连结。
单击刷新按钮，或者以后重试。
HTTP 500 - 内部服务器错误
Internet 讯息服务
技术讯息（支持个人）
详细讯息：
Microsoft 支持

或者是:
Server Application Error
The server has encountered an error  while loading an application durin
g the processing of your request.&n bsp;Please refer to the event log&n bsp;for mo
re detail information. Please contact&nb sp;the server administrator for ass
istance.

(二)安全日志记录(2条)
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期: 2001-9-9
事件: 11:17:07
使用者: NT AUTHORITY\SYSTEM
计算机: MYSERVER
描述:
登录失败:
原因: 使用者名未知或口令错误
使用者名: IWAM_MYSERVER
域: MYDOM
登录类型: 4
登录过程: Advapi
身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: MYSERVER

事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 681
日期: 2001-9-9
事件: 11:17:07
使用者: NT AUTHORITY\SYSTEM
计算机: MYSERVER
描述:
登录到帐户: IWAM_MYSERVER
登录的使用者: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
从工作站: MYSERVER
未成功。错误代码是: 3221225578

(三)系统日志中的记录(2条)
事件类型: 错误
事件来源: DCOM
事件种类: 无
事件 ID: 10004
日期: 2001-9-9
事件: 11:20:26
使用者: N/A
计算机: MYSERVER
描述:
DCOM 遇到错误「无法更新口令。提供给新口令的值包含口令中不允许的值。 」
并且无法登录到 .\IWAM_MYSERVER 上以执行服务器:
{3D14228D-FBE1-11D0-995D-00C04FD919C1}

事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 36
日期: 2001-9-9
事件: 11:20:26
使用者: N/A
计算机: MYSERVER
描述:
服务器未能转入应用程序 '/LM/W3SVC/4/Root'。错误是 'RunAs 的格式 必须是<
域名>\<使用者名>或只是<使用者名>'。
若要获取关于此消息的更多的讯息，请访问 Microsoft 联机支持站点: 
www.microsoft.com/contentredirect.asp 。

二.原因分析
综合分析上面的错误表现我们可以看出，主要是由于IWAM帐号（在我的计算机即
是IWAM_MYSERVER帐号）的口令错误造成了HTTP 500内部错误。
在详细分析HTTP500内部错误产生的原因之前，先对IWAM帐号进行一下简要的
介绍：

IWAM帐号是安装IIS5时系统自动建立的一个内置帐号，主要用于启动进程之外
的应用程序的Internet讯息服务。IWAM帐号的名字会根据每台计算机NETBIOS名字
的不同而有所不同，通用的格式是IWAM_MACHINE，即由「IWAM」前缀、连接线
「_」加上计算机的NETBIOS名字组成。我的计算机的NETBIOS名字是MYSERVER，
因此我的计算机上IWAM帐号的名字就是IWAM_MYSERVER，这一点与IIS匿名帐号
ISUR_MACHINE的命名方式非常相似。

IWAM帐号建立后被Active Directory、IIS metabase资料库和COM+应用程 序三方
共同使用，帐号口令被三方分别保存，并由操作系统负责这三方保存的IWAM口令
的同步工作。按常理说，由操作系统负责的工作我们大可放心，不必担心出错，
但不知是BUG还是其它什么原因，系统的对IWAM帐号的口令同步工作有时会失败，
使三方IWAM帐号所用口令不统一。当IIS或COM+应用程序使用错误IWAM的口令登录
系统，启动IIS Out-Of-Process Pooled Applications时， 系统会因口令错误而
拒绝这一请求，导致IIS Out-Of-Process Pooled Applicatio ns启动失败，也就
是我们在ID10004错误事件中看到的「不能执行服务器{3D14228D-FBE1-11D0-995
D-00C04FD919C1} 」（这里{3D14228D-FBE1-11D0-995D-00C04FD919 C1} 是IIS O
ut-Of-Process Pooled Applications的KEY），不能转入IIS5应用程 序，HTTP 5
00内部错误就这样产生了。

三.解决办法
知道了导致HTTP 500内部错误的原因，解决起来就比较简单了，那就是人工同步
IWAM帐号在Active Directory、IIS metabase资料库和COM+应用程序中的 口令。

具体操作分三步,均需要以管理员身份登录计算机以提供足够的操作权限（IWAM账
号以IWAM_MYSERVER为例）。

（一）更改Active Directory中IWAM_MYSERVER帐号的口令
因IWAM帐号的口令由系统控制，随机产生，我们并不知道是什么，为完成下面两
步的口令同步工作，我们必须将IWAM帐号的口令设置为一个我们知道的值。

1、选择「开始」->「程序」->「管理工具」->"Active Directory使用者和计 算机"，
启动「Active Directory使用者和计算机」管理单元。

2、单击「user」，选中右面的「IWAM_MYSERVER」，右击选择「重设口令(T)...」，
在跳出的重设口令对方框中给IWAM_MYSERVER设置新的口令，这儿我们设置成
「Aboutnt2001」（没有引号的），确定，等待口令修改成功。

（二）同步IIS metabase中IWAM_MYSERVER帐号的口令
可能因为这项改动太敏感和重要，微软并没有为我们修改IIS metabase中IWAM_M
YSERVER帐号口令提供一个显式的使用者接口，只随IIS5提供了一个管理脚本adsut
il.vbs，这个脚本位于C:\inetpub\adminscripts子目录下（位置可能会因你安装
IIS5时设置的不同而有所变动）。

adsutil.vbs脚本功能强大，参数非常多且用法复杂，这里只提供使用这个脚本修
改IWAM_MYSERVER帐号口令的方法:

adsutil SET w3svc/WAMUserPass Password

"Password"参数就是要设置的IWAM帐号的新的口令。因此我们将IIS metabase中
IWAM_MYSERVER帐号的口令修改为「Aboutnt2001」的命令就是：

c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUs erPass "Aboutnt2001"

修改成功后，系统会有如下提示：
WAMUserPass: (String) "Aboutnt2001"

（三）同步COM+应用程序所用的IWAM_MYSERVER的口令
同步COM+应用程序所用的IWAM_MYSERVER的口令，我们有两种方式可以选择:一种
是使用元件服务MMC管理单元，另一种是使用IWAM帐号同步脚本synciwam.vbs。
1、使用元件服务MMC管理单元
（1）启动元件服务管理单元：选择「开始」->「执行」->「MMC」，启动管理控
制台,打开「添加/删除管理单元」对话框,将「元件服务」管理单元添加上。

（2）找到「元件服务」->「计算机」->「我的计算机」->「COM+应用程序」->「O
ut-Of-Process Pooled Applications」，右击「Out-Of-Proce ss Pooled Appli
cations」->「属性」。

（3）切换到「Out-Of-Process Pooled Applications」属性对话框的「标 志」选
项卡。「此应用程序在下列帐户下执行」选择中「此使用者」会被选中，使用者名是
「IWAM_MYSERVER」。这些都是缺省的，不必改动。在下面的「口令」和「确认密
码」文本框内输入正确的口令「Aboutnt2001」，确定退出。

（4）系统如果提示「应用程序被一个以上的外部产品创建。你确定要被这些产品
支持吗？」时确定即可。

（5）如果我们在IIS中将其它一些Web的「应用程序保护」设置为「高（独立的）」,
那么这个WEB所使用的COM+应用程序的IWAM帐号口令也需要同步。重复（1）-

（4）步，同步其它相应Out of process application的IWAM帐号密 码。

2、使用IWAM帐号同步脚本synciwam.vbs
实际上微软已经发现IWAM帐号在口令同步方面存在问题，因此在IIS5的管理脚本
中单独为IWAM帐号口令同步编写了一个脚本synciwam.vbs，这个脚本位于C:\ine
tpub\adminscripts子目录下（位置可能会因你安装IIS5时设置的不同而有所变动）。

synciwam.vbs脚本用法比较简单：

cscript synciwam.vbs [-v|-h]

「-v」参数表示详细显示脚本执行的整个过程(建议使用)，「-h」参数用于显示
简单的帮助讯息。

我们要同步IWAM_MYSERVER帐号在COM+应用程序中的口令，只需要执行
「cscript synciwam.vbs -v」即可，如下：

cscript c:\inetpub\adminscripts\synciwam.vbs -v
Microsoft (R) Windows Script Host V ersion 5.6
版权所有(C) Microsoft Corporation 1996-2000。保留所有权 利。
WamUserName:IWAM_MYSERVER
WamUserPass:Aboutnt2001
IIS Applications Defined:
Name, AppIsolated, Package ID
w3svc, 0, {3D14228C-FBE1-11d0-995D-00C04FD919C1}
Root, 2,
IISHelp, 2,
IISAdmin, 2,
IISSamples, 2,
MSADC, 2,
ROOT, 2,
IISAdmin, 2,
IISHelp, 2,
Root, 2,
Root, 2,
Out of process applications defined:
Count: 1
{3D14228D-FBE1-11d0-995D-00C04FD919C1}
Updating Applications:
Name: IIS Out-Of-Process Pooled Applicat ions Key: {3D14228D-FBE1-11D0-
995D-00C04FD919C1}

从上面脚本的执行情况可以看出，使用synciwam.vbs脚本要比使用元件服务的方
法更全面和快捷。它首先从IIS的metabase资料库找到IWAM帐号"IWAM_MYSERVER"
并取出对应的口令「Aboutnt2001」，然后查找所有已定义的IIS Applications和
Out of process applications，并逐一同步每一个Out  of process applicatio
ns应用程序的IWAM帐号口令。

使用synciwam.vbs脚本时，要注意一个问题，那就是在你执行synciwam.vbs之前，
必须保证IIS metabase资料库与Active Directory中的IWAM口令已经一致。因
为synciwam.vbs脚本是从IIS metabase资料库而不是从Active Directo ry取得IW
AM帐号的口令，如果IIS metabase中的口令不正确，那synciwam.vbs取得的口令
也会不正确，同步操作执行到「Updating Applications」系统就会报80110414错
误，即「找不到应用程序{3D14228D-FBE1-11D0-995D-00C04FD919C1}」。

好了，到现在为止，IWAM帐号在Active Directory、IIS metabase资料库和C OM+
应用程序三处的口令已经同步成功，你的ASP程序又可以执行了！