还是昨天发现的那个问题，今天发现dz论坛又不能访问了，然后访问了一下其他应用程序池的站，访问正常，说明dz论坛所在的应用程序池，估计又死了。看来，昨天的解决方案，不妥。

登陆服务器，果然，该应用程序池，已经连着有三个了，前两个还没有正常关闭，第三个也已经二百多M了，吓人；马上结束掉这几个应用程序池，然后到iis管理里面，停止这个应用程序池，之后直接到httperr目录里面，查看iis错误日志，马上又发现了很多“虚拟股市”引起的日志错误，大篇的，很长；开启应用程序池，到后台关闭掉插件“虚拟股市”，然后观察了下应用程序池，发现比较平稳，论坛反应速度比较快，比较正常，cpu虽然还是有些高，但算正常。

一边观察服务器的状态，一边再次查看了下最近的错误日志，发现有很多503的错误，搜索一下网络吧；网上有人发贴说可能与应用程序池的进程回收设置有关，建议把应用程序池的回收属性页的所有回收选项都禁用，理由是如果没有发现内存泄漏，线程刮起等现象的话应该就不需要设置进程回收。

现在不确定503错误到底是不是和进程回收有关系，如果禁用进程回收设置会不会缓解这个问题，会不会引起更严重的错误。就是如果一个web应用程序用着用着就莫名其妙的出错了，而查不到原因，而重启IIS或者重启应用程序池就缓解了，这时候就设置一下达到一定条件进行进程回收，但只是暂时的解决方案，最终应该找到原因并修复应用程序。

IIS帮助里也明确说明了设置进程回收的场景，而且说重叠回收中不会断掉tcp链接，会自动把请求平滑过度到新进程中，也就是这个过程中不会引起服务不可用，也就是503错误。

所以我也比较倾向于关掉进程回收选项。

为应用程序池 ‘DefaultAppPool’ 提供服务的进程关闭时间超过了限制。进程ID是,IIS6.0经常假死（里面的观点不要无理由地打开回收工作进程和使用工作进程池。一般理由通常是有不明原因的内存泄露、线程挂起等）
http://hi.baidu.com/nayinian/blog/item/468c900fce94dcecab6457f7.html

为应用程序池 ‘DefaultAppPool’ 提供服务的进程关闭时间超过了限制。进程ID是,IIS6.0经常假死，经常有这样的提示:

事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 1013
日期: 2004-7-26
事件: 16:01:51
用户: N/A
计算机: COM-NET
描述:
为应用程序池 ‘DefaultAppPool’ 提供服务的进程关闭时间超过了限制。进程 ID 是 ’2552′。
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

相信这是由于不正确地设置了回收进程导致，建议关闭下列进程回收设置：
回收工作进程(分钟)：1200
回收工作进程(请求数目)：10000
启用CPU监视，最大CPU使用率：90%

这三种情况，恰恰我都设置了。依次所说，干脆把这有关回收的项目，全部关闭了，由服务器自已管理应用程序池的内存应用状况。

由于设定了进程自动回收，而当每达到10000次点击，或CPU超过100%,就会强行回收application，导致客户端会出现Sevice Unavailable的错误。(实际上10000次点击，访问量一般的网站，几分钟就够了。) 建议启用计数器日志来监视CPU利用率和asp.net的指标，可以帮助你定位每5~10分钟出现一次是否是上述原因导致。

另外，不要无理由地打开回收工作进程和使用工作进程池。一般理由通常是有不明原因的内存泄露、线程挂起等

回收工作进程相关说明（win2003安装iis在ie里键入下面的地址，里面介绍了启用进程回收的时机及重叠回收的概念）
mk:@MSITStore:C:\WINDOWS\Help\iismmc.chm::/htm/ca_recycwrkrprocess.htm

错误定义：503：“服务不可用”错误是一个非自定义的错误，该错误表示服务器当前无法处理该请求。

原因：

1、管理员可能关闭应用程序池以执行维护。
2、当请求到达时应用程序池队列已满。
3、应用程序池标识没有使用预定义账户：网络服务，而自己配置了标识，但是配置的这个用户不属于IIS_WPG组
4、应用程序池启用了CPU监视，并且设置了CPU利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面（.asp,.aspx）执行效率不高，会引起CPU的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭
5、应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为1000，可修改成一个更大的值，比如说4500.
6、web.config的system.web/httpRuntime节点的appRequestQueueLimit属性设置的值太低。

排查思路：

1、先检查C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log，看里面有没有503错误，503错误是不会记录到C:\WINDOWS\system32\LogFiles\W3SVC1下的，如果503那一行有AppShutdown字样，肯能是由于CPU占用率太高导致自动关闭应用程序池。如果是AppOffline可能是由于应用程序标识出错引起的，如果是Disabled可能是由于管理员手工关闭应用程序池引起的。根据这些信息然后再采取响应措施。
2、根据原因5和原因6来设置更大的请求队列数目。
3、禁用所有应用程序池回收选项。
4、添加ASP.NET\Requests Current，ASP.NET\Requests Queued两个计数器，查看IIS的请求数和队列数。

更多内容，可至此查询：

相关链接：

TechNet V播：HTTP503故障排除（里面提到的可能性不打）
http://www.microsoft.com/china/technet/vcast/live/episode.aspx?newsID=class01_022
\\CXZ.amigo.bjmcc.net\input\503.wmv
IIS 状态代码(里面提到iis状态码及可能原因，其中包括503)
http://support.microsoft.com/kb/318380
如果 AppPoolQueueLength 值是否太低 " HTTP 503 服务不可用 " 错误消息（如果网站访问量比较大也许是这个原因）
http://support.microsoft.com/kb/816995/zh-cn
http://support.microsoft.com/kb/816995/en
FIX： ASP.NET 队列请求太多（该问题是asp.net 1.0的bug，已经有hotfix修复）
http://support.microsoft.com/kb/822148/zh-cn
http://support.microsoft.com/kb/822148/en
<httpRuntime appRequestQueueLimit> 元素（文中提到如何通过配置文件来设置应用程序请求的最大数目）

http://msdn.microsoft.com/library/chs/default.asp?url=/library/CHS/cpgenref/html/gngrfhttpruntimesection.asp

客户端请求收到“503：服务不可用”错误（阐述503定义、可能原因及问题排查）
http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/
IIS 6.0入门及进阶webcast（有IIS排错系列）
https://www.microsoft.com/china/technet/webcasts/class/iis.mspx
大家是不是也常遇到服务器不可用啊?Service Unavailable（博客园的一群人讨论503的原因及应该采取的措施）
http://www.cnblogs.com/birdshome/archive/
为应用程序池 ‘DefaultAppPool’ 提供服务的进程关闭时间超过了限制。进程ID是,IIS6.0经常假死（里面的观点不要无理由地打开回收工作进程和使用工作进
程池。一般理由通常是有不明原因的内存泄露、线程挂起等）
http://hi.baidu.com/nayinian/blog/item/
回收工作进程相关说明（win2003安装iis在ie里键入下面的地址，里面介绍了启用进程回收的时机及重叠回收的概念）
mk:@MSITStore:C:\WINDOWS\Help\iismmc.chm::/htm/ca_recycwrkrprocess.htm

上述内容摘自：http://www.cnblogs.com/onlytiancai/archive/2007/06/03/769309.html

在IIS 6.0中，记录日志的功能已经改为由http.sys实现，http.sys在内核模式下运行。这一改进加快了日志写入速度，同时避免了多个工作进程争用同一日志文件。某些特殊的情况下，http.sys会遇到错误，这时它应该但却不能将日志信息写入Web网站的日志，例如，工作进程正在被回收，禁止http.sys处理用户请求，或者用户试图连接到服务器，但请求中只提供了IIS所需信息的一部分。如果出现这类情况，http.sys将把事件写入一个新的日志文件httperr.log。

　　在排解故障、优化IIS 6.0的过程中，httperr.log日志文件是十分重要的。默认情况下，httperr.log文件保存在\system32\logfiles目录，但可以修改，修改方法是找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters注册子键，在它下面添加一个名为ErrorLoggingDir的字符串值，在ErrorLoggingDir中设置保存日志文件的完整路径。在httperr.log日志文件中可以找到的信息包括：所有的503（服务不可用）错误，空闲连接超时，解析URL时出现的各种错误，最后10个提交给失败的应用程序池的请求。

　　IIS 6.0还拥有一种称为二进制日志的功能，启用这个功能后，IIS 6.0将把Web网站的所有日志信息写入一个二进制格式的日志文件，日志文件的扩展名是.ibl。要启用二进制日志功能，只要把配置文件的W3SVCC/CentralBinaryLoggingEnabled条目设置成ture（1）即可。对于ISP来说，这个功能应该非常有用。ISP的每台机器上可能有1000甚至更多的Web网站，如果每个Web网站每天生成一个日志文件，日志文件的总数很快会达到一个天文数字。微软最近发布的Log Parser 2.2工具能够读取二进制日志文件并生成报告，这个工具可以Log Parser 的最新版本（2.2 版）下载。Log Parser 2.2还能够读取前面介绍的httperr.log文件并生成报告。如果这个直接下载链接不行，就还是从上面这个链接开始下吧。http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=890cd06b-abf8-4c25-91b2-f8d975cf8c07&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2ff%2ff%2f1%2fff1819f9-f702-48a5-bbc7-c9656bc74de8%2fLogParser.msi

　　从很久以前开始，IIS就允许指定本地服务器上保存日志文件的目录了。不过，虽然IIS 5.0和IIS 4.0的IIS管理器允许在指定日志文件路径的时候输入一个远程服务器的通用命名规范（UNC）的路径，但Web服务器实际上不会把日志保存到远程服务器。只有IIS 6.0才真正支持日志文件路径的UNC路径名。

Log Parser 确实是一种非常酷的小实用工具，它解决了一些非常棘手的脚本启动问题。我们仍然不知道分析 SQL Server 日志有什么用，但是我们知道 Log Parser 的最新版本（2.2 版）能做以下事情：

• 搜索事件日志，快速找到并报告所关注的事件。

• 搜索文件系统，快速找到并报告所关注的文件和文件夹。

• 搜索 Active Directory，快速找到并报告所关注的对象。

• 搜索各种各样的日志文件。例如，Log Parser 能够搜索使用 W3C 扩展日志文件格式的日志。使用此格式的日志包括：个人防火墙日志；Microsoft Internet Security and Acceleration (ISA) Server 日志；Windows Media Services 日志；Exchange 跟踪日志；简单邮件传输协议 (SMTP) 日志文件。

• 快速而轻松地搜索 Internet 信息服务 (IIS) 日志、Netmon 捕获文件、注册表等多种文件。

这些功能还占不到它的全部功能的一半呢。Log Parser 使用一种真正的 SQL 查询语言，这意味着您可以执行聚合查询。想知道您的事件日志中的各种事件 ID 类型的数量（三十七个事件 100、四十三个事件 101、十四个事件 102）吗？没问题，Log Parser 能够胜任这项工作。当然，它还可以胜任很多很多其他工作。您可以使用一个 SQL 命令（例如“ORDER BY”）来以您需要的任何方式对返回数据进行排序，也可以使用“TOP”来仅返回若干最“如何如何”的记录（例如，您的硬盘上的 10 个最大的文件）。您可以从命令提示符下运行 Log Parser 2.2，也可以将其作为一个可编写脚本的 COM 对象 (MSUtil.LogQuery) 进行调用。

更多详细的功能示例我就不多说了，我要去安装测试去了，有意的到这个阿sir这里慢慢欣赏吧：有了 Log（即 Log Parser）就万事大吉了http://hi.baidu.com/totaobao/blog/item/c922a3649e3750f1f636542c.html

log parser2.2的详细情况及如何动作等功能，也可关注微软专贴：http://www.microsoft.com/china/technet/community/columns/profwin/pw0505.mspx

网络上有关iis的问题和相关解决方案，多不胜搜，但很多都比较零散，没有系统的解决方案；另外，有些解决方法，似是而非，不能找到其中的问题关键点，本人平时对于服务器的应用上也有点实践，因此，今天稍稍总结一点平时遇到地问题和解决方法，特别是对iis的特殊权限引起问题、iis应用程序池假死问题和比较罕见的iis重启命令和自动重启办法。其它相关问题，继续关注本博。

一、2003应用程序池自动死了，不能恢复了，一直出现 Service Unavailable 常见方法如下。

1：没有打SP1补丁的时候会出现这个IIS6.0假死问题，但现在微软都在自动更新里面出补丁了，一般你打好最新补丁后是不会出现此问题了。（所以现在的IIS假死与这个关系不是很大）

2：从IIS6.0开始CPU资源都在应用池里面限制了，不象以前的IIS.5。所以假死的池的缘故就是池被拉死，你在网站打不开的时候可以看到你的某个应用池是禁用的，上面出现一个红叉。你鼠标右键启动网站又会自动恢复。 这个原因：大概是以下几个因数造成的。

（1）：你限制了应用池的资源，限制得太小 比如：50这样或更少更多一点，这个时候如果你这个池下面的网站占用CPU太高，比如超过50% 那么5分钟后他就自动死了，手工默认建立的应用池默认是超过资源不操作。
出现上面这个情况解决方法：1：不限制CPU资源，（这个是不可取的，不限制资源，有的程序有BUG占用资源厉害了的，服务器都会被拉死，你可能都无法操作服务器。）2：在超过资源那里选择关闭，这个关闭默认是失败5次，90秒内恢复，一般默认就可。网站能自动恢复，这个关闭：不是永久关闭，意思是超过资源关闭，然后在某时间内自动恢复池。不操作就是不恢复，这个是很多人的误区。

（2）：内存限制 在IIS6.0应用池上面有虚拟内存和最大内存限制，如果你设置了这个。那么网站访问量大了 也会出现假死，所以不建议设置这里。默认就可。

3：就是服务器自身内存太小，网站运行当然需要使用到内存了，当内存不够的时候应用池也会死掉变成禁用。那么只有等内存全部释放出来才能恢复应用池了。出现这个情况：那么你就要考虑加内存或者检查到底是什么程序占用了内存了。比如MSSQL数据库，这个可是吃内存得大户啊，最好别和WEB服务器同时一个服务器上。很多人用1G内存做 2003系统，2003NET结构是很占用内存的，所以做服务器选2003还得把内存加到2G或更高才好。 内存不够上面 2点讲到的，是没办法操作了，也无法自动恢复。

4：就是ACCESS数据库太大或查询太多，这个也会出现把IIS拉死，解决方法；修复ACCESS数据库，或尽量少用ACCESS数据库，升级至sqlserver数据库；或者在技术方面革新，像现在有些网站系统，风讯、动易等cms；pjblog、zblog等博客程序，都支持生成静态功能.

5：不同网站用不同应用池：根据你自己实际情况而定，站点大的最好独立一个应用池，限制他的资源超过了自动回收，看上面（1）讲到的，这样就不影响其他站点。中型站点：多个网站共用一个应用池，比如5个站点用一个池，设置他资源时间等等。这样他们就算超资源了也不影响其他应用池的网站。

6：设置回收时间：很多人以为设置回收池越短越好，其实是错误的，每次回收当然是把内存回收回来了，但加重了一次服务器的负担，当服务器比较繁忙的时候，有可能导致其他应用池死。所以建议设置共1000就行了。其他独立池按照他网站流量而设置 可以设置600 也行，共用的不建议设置太短。

7：网站后台过不了多久自动退出又要重新登陆：这个情况就是你设置回收时间太短了，按照 6点设置吧。 不要设置什么20分、30分这样的，这样不好的。另外一个原因就是和站的响应设置时间有关，设置得稍长些。

8：windows 2003系统iis6访问本机的站点时提示“Service Unavailable”；
查看iis的应用程序池,状况提示为：未指定错误，同时应用程序池自动停止运行；

用事件查看器查看系统错误日志，发现如下提示：
———————————–
应用程序-特定 权限设置未将 COM 服务器应用程序(CLSID 为
{A9E69610-B80D-11D0-B9B9-00A0C922E750}
)的 本地 激活 权限授予用户 NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20)。可以使用组件服务管理工具修改此安全权限。

解决方法，给NETWORK SERVICE 加上访问iis服务的权限，具体方法如下：

点击“开始”-“控制面板”-“管理工具”-“组件服务”-“计算机”-“我的电脑”-“DCOM”选项，
选择其下的“IIS ADMIN SERVICE”，右健选择“属性”，找到“安全”，在“启动和激活权限”中编辑“自定义”，添加帐号“NETWORK SERVICE ”，给该帐号赋予“本地启动”和“本地激活”的权限，重新启动IIS之后再访问同一站点，则一切正常。

9：重启IIS中的特定应用程序池命令和自动重启的方法

在操作系统是Windows server 2003 SP1+的情况下，可以用以下命令部分重启IIS应用程序池：

cscript.exe c:\windows\system32\iisapp.vbs /a "DefaultAppPool"

其中/a 代表alternatively，"DefaultAppPool"代表应用程序池的实例名。如果要设置自动重启这个应用程序池，可以尝试放在批处理中，用计划任务调用此批处理即可。很多人觉得计划任务不安全，都要禁掉，事实上，计划任务的不安全是建立在其它方面不安全的前提上的，如果由于其它方面的不安全，被放入执行程序，计划任务执行，这和计划任务没有直接关系。当然，关掉，是会减少一些安全隐患，这是不错。

功能：可以在IIS意外终止时自动重启IIS，无须登陆系统，无人职守
条件：
1.服务器安装过Windows Script 5.6，可以正常运行.vbs脚本。
2.确保系统服务Windows Management Instrumentation 正常启动。

将以下代码复制为 fu.vbs，放至系统盘WINNT/System32/下，注意重命名时要和“cscript //h:cscript&&cscript fu.vbs” 中的fu.vbs保持一至，否则计划任务启动时报找不到文件的错误。
然后做计划任务，让其在系统启动时运行监控
vbs代码：

程序代码

strFullName = WScript.FullName
strWshHost = Right(strFullName, 11)
‘WScript.Echo "Default script host: " & strWshHost
If strWshHost = "WScript.exe" Then
Set objShell = CreateObject("WScript.Shell")
objShell.Run _
"%comspec% /k ""cscript //h:cscript&&cscript fu.vbs""", _
MAXIMIZE_WINDOW
If Err.Number <> 0 Then
WScript.Echo "Error 0x" & hex(Err.Number) & " occurred. " & _
Err.Description & ". " & VbCrLf & _
"Could not temporarily change the default script host to Cscript."
Err.Clear
WScript.Quit
End If
WScript.Quit
End If
‘—-上面这段代码是强制到cscript命令行，一般要在cmd命令行下输入cscript *.vbs,如果直接执行vbs会用wscript打开，这样只会弹个对话框，我不喜欢，有不想每次都cscript，所以要写点额外的代码，双击后会调用一个wscript执行csript，然后再消灭自己，幸好微软的网站上提供了这个代码—————————— ——
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel= impersonate, (Security)}!\\" & strComputer & "\root\cimv2")
Set colMonitoredEvents = objWMIService.ExecNotificationQuery _
("Select * from __instancecreationevent where TargetInstance isa’Win32_NTLogEvent’ and TargetInstance.EventCode = ’7031′ ")
Wscript.Echo "开始监视iis于 "&now
Do
Set objLatestEvent = colMonitoredEvents.NextEvent
Wscript.Echo "重新启动iis "&now
Set objShell = CreateObject("WScript.Shell")
objShell.Run "%COMSPEC% /c IISRESET.EXE",,1
‘——核心程序

whichfile=("iisresetlog.htm")
set fso=createobject("Scripting.FileSystemObject")
if Not fso.FileExists(whichfile) then
iomode=2 : create=true
‘Set MyFile = fso.CreateTextFile(whichfile,True)
else
iomode=8 : create=false
‘Set MyFile = fso.CreateTextFile(whichfile)
end if
set MyFile = fso.OpenTextFile(whichfile,iomode,create)
‘MyFile.writeLine("事件发生于 "&now&" 重启iis成功"&vbctrf)
if create=true then
MyFile.WriteLine ""
MyFile.WriteLine ""
MyFile.WriteLine ""
MyFile.WriteLine ""
MyFile.WriteLine ""
MyFile.WriteLine ""
end if
MyFile.WriteLine " iis重启时间: <font color=red>" &now& "</font>"
‘MyFile.WriteLine " 是否成功: 是 <>"
MyFile.WriteLine "<br>"
MyFile.WriteLine " "
MyFile.Close
set fso=nothing
Loop
‘—–用fso记录iis 重启日志。

注意：TargetInstance.EventCode = ’7031′ 这段代码控制了在什么情况下重启IIS，7031是系统的事件 ID代号，即当系统日志出现7031这样的事件时重启IIS。
下面是系统7031事件描述：IIS Admin Service 服务意外地终止，这种情况已经出现了 1 次。以下的修正操作将在 1 毫秒内运行: 运行配置的故障恢复程序。
同样的道理，可以根据不同的事件ID触发此脚本，修改objShell.Run "%COMSPEC% /c IISRESET.EXE",,1 这一行代码，可以执行任何win32所支持的程序，即可以根据任意事件触发执行任意的程序，那样用途更广了。

另：
%comspec%打开一个命令行窗口。%comspec% 是一个指向当前命令行外壳的环境变量。通过使用 %comspec%，您不必担心命令行外壳是 cmd.exe 还是 command.exe；%comspec% 会自动选择正确的一个。

/k 在调用 Dir 命令后，确保窗口始终保持打开。这就是 /k 参数的用处。如果我们想要确保命令窗口会在 Dir 命令调用完成后被自动关闭，应该将 /k (keep) 修改为 /c (close)。

虽然 LAMP 组合很不错，但是如果想要架设一台同时支持 PHP、ASP、ASP.NET、JSP、Perl 的 Web 虚拟主机服务器，还是用 Windows 2003 的 IIS 6 最好。网上有很多介绍在 IIS 6 上配置 PHP 的文章，但是那些方法不是性能不好，就是升级麻烦。下面的方法可以让你在第一次配置好后，能够非常方便的进行升级。

这里所说的升级，是指从某个 php4 版本升级到另一个 php4 版本，或者从某个 php5 版本升级到另一个 php5 版本，而不是指从 php4 升级到 php5。

准备：

1、一台安装好的 Windows 2003 服务器，并且已经安装了 IIS 6。

2、下载 windows 版的 PHP 二进制压缩包。

安装：

解压缩 PHP 二进制压缩包到 C:\php 目录下（这里假设 C: 盘是系统盘，即安装了Windows 系统的盘，如果系统盘是 D: 盘，则解压缩到 D:\php 目录下，以此类推，下同）。

然后打开“我的电脑”->“属性”->“高级”->“环境变量”->“系统变量”->“path”，编辑其值，在前面增加下面的路径地址：

C:\php;C:\php\dlls;C:\php\extensions;C:\php\sapi;

将 php.ini-dist 或 php.ini-recommended 复制到 C:\Windows 目录下，并改名为 php.ini，一般正式发布网站的服务器用 php.ini-dist，而作为调试用的服务器用 php.ini-recommended 更好。当然一般情况下，这个 php.ini 还是需要根据实际情况来修改的。

下面来介绍一下几个必要的修改选项：

extension_dir = "C:\php\extensions"

这个是 PHP 扩展所放置的目录，请确保跟你实际安装的目录相同。

extension=php_mbstring.dll
;extension=php_big_int.dll
extension=php_bz2.dll
extension=php_cpdf.dll
extension=php_crack.dll
extension=php_curl.dll
extension=php_db.dll
extension=php_dba.dll
extension=php_dbase.dll
extension=php_dbx.dll
extension=php_domxml.dll
;extension=php_exif.dll
;extension=php_fdf.dll
;extension=php_filepro.dll
extension=php_gd2.dll
extension=php_gettext.dll
extension=php_hyperwave.dll
extension=php_iconv.dll
;extension=php_ifx.dll
;extension=php_iisfunc.dll
extension=php_imap.dll
;extension=php_interbase.dll
extension=php_java.dll
extension=php_ldap.dll
;extension=php_mcrypt.dll
extension=php_mhash.dll
extension=php_mime_magic.dll
extension=php_ming.dll
extension=php_mssql.dll
extension=php_msql.dll
;extension=php_oci8.dll
extension=php_openssl.dll
;extension=php_oracle.dll
extension=php_pdf.dll
extension=php_pgsql.dll
;extension=php_printer.dll
extension=php_shmop.dll
;extension=php_snmp.dll
extension=php_sockets.dll
;extension=php_sybase_ct.dll
extension=php_w32api.dll
extension=php_xmlrpc.dll
extension=php_xslt.dll
extension=php_yaz.dll
extension=php_zip.dll

上面这些，开头没有加分号的是打开的扩展，加了分号的是没有打开的扩展。上面的设置包含了在 Windows 2003 上默认安装情况下可以打开所有扩展（这里列出的是 php 4 的）。

session.save_path = c:\sessions

这 个是 session 文件默认保存的目录，这个目录必须是一个存在的目录，不然默认的 session 功能会无效。我这里设置的是一个 ramdisk 上的一个目录。将 session.save_path 设置在 ramdisk 上可以加快 session 处理的速度。如果你没有安装 ramdisk，你可以把它指定到其他盘的任何一个目录下，如 C:\sessions 目录、C:\Windows\Temp 目录等。

好了，基本工作做完，现在该配置 IIS 了。

打开“ Internet 信息服务(IIS)管理器”，在“ Web 服务扩展”里，选择“添加一个新的 Web 服务扩展”，扩展名可填写“PHP ISAPI 扩展”，要求的文件选择：C:\php\sapi\php4isapi.dll（如果安装的是 PHP5，则此处是 C:\php\sapi\php5isapi.dll，下同），并设置扩展状态为允许。

打开“网站”->“属性”->“ISAPI 筛选器”->“添加”，筛选器名称可填写“PHP”，可执行文件仍然选择 C:\php\sapi\php4isapi.dll。

打 开“网站”->“属性”->“主目录”->“应用程序设置”->“配置”->“应用程序扩展”-> “添加”，可执行文件还是选择 C:\php\sapi\php4isapi.dll。扩展名填写“.php”，动作限制为“HEAD,GET,POST”。

打开“网站”->“属性”->“文档”->“启用默认内容文档”->“添加”，可以将 index.php 添加为默认内容文档。

然后选择“服务器机器名”->“所有任务”->“重新启动 IIS”来重启 IIS。

测试

在默认网站发布目录下，建立一个测试页面：

下载：phptest.php

<?php
phpinfo();
?>

如果打开这个页面能够看到 php 安装配置信息，就算是安装成功了。

如果想要更优化的执行 php 程序，可以安装 ZendOptimizer-2.6.0-Windows-i386.exe ，这个东西安装非常简单，这里就不介绍了。

升级

现在升级就非常简单了。只需要将新版本的 PHP 二进制压缩包下载下来，将原来的 C:\php 目录删除，将新版本解压缩到 C:\php 目录中，然后重新启动一下 IIS 就可以了。不需要修改任何配置，也不需要往 System32 目录中复制任何文件。

　　1.如何让asp脚本以system权限运行?

　　修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"….

　　2.如何防止asp木马?

　　基于FileSystemObject组件的asp木马

　　cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

　　regsvr32 scrrun.dll /u /s //删除

　　基于shell.application组件的asp木马

　　cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

　　regsvr32 shell32.dll /u /s //删除

　　3.如何加密asp文件?

　　从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

　　安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

　　运行screnc – l vbscript source.asp destination.asp

　　生成包含密文ASP脚本的新文件destination.asp

　　用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了

　　但无法加密中文。

　　4.如何从IISLockdown中提取urlscan?

　　iislockd.exe /q /c /t:c:\urlscan

　　5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

　　执行

　　cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

　　最后需要重新启动iis

　　6.如何解决HTTP500内部错误?

　　iis http500内部错误大部分原因

　　主要是由于iwam账号的密码不同步造成的。

　　我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

　　执行

　　cscript c:\inetpub\adminscripts\synciwam.vbs -v

　　7.如何增强iis防御SYN Flood的能力?

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

　　启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

　　安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

　　设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

　　"SynAttackProtect"=dword:00000002

　　同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

　　的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

　　"TcpMaxHalfOpen"=dword:00000064

　　判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。

　　"TcpMaxHalfOpenRetried"=dword:00000050

　　设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

　　项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。

　　微软站点安全推荐为2。

　　"TcpMaxConnectResponseRetransmissions"=dword:00000001

　　设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

　　"TcpMaxDataRetransmissions"=dword:00000003

　　设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

　　"TCPMaxPortsExhausted"=dword:00000005

　　禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

　　源路由包，微软站点安全推荐为2。

　　"DisableIPSourceRouting"=dword:0000002

　　限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

　　"TcpTimedWaitDelay"=dword:0000001e

　　8.如何避免*mdb文件被下载?

　　安装ms发布的urlscan工具，可以从根本上解决这个问题。

　　同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

　　9.如何让iis的最小ntfs权限运行?

　　依次做下面的工作:

　　a.选取整个硬盘:

　　ystem:完全控制

　　administrator:完全控制

　　(允许将来自父系的可继承性权限传播给对象)

　　.\program files\common files:

　　everyone:读取及运行

　　列出文件目录

　　读取

　　(允许将来自父系的可继承性权限传播给对象)

　　c.\inetpub\wwwroot:

　　iusr_machine:读取及运行

　　列出文件目录

　　读取

　　(允许将来自父系的可继承性权限传播给对象)

　　e.\winnt\system32:

　　选择除inetsrv和centsrv以外的所有目录，

　　去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

　　f.\winnt:

　　选择除了downloaded program files、help、iis temporary compressed files、

　　offline web pages、system32、tasks、temp、web以外的所有目录

　　去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

　　g.\winnt:

　　everyone:读取及运行

　　列出文件目录

　　读取(允许将来自父系的可继承性权限传播给对象)

　　h.\winnt\temp:(允许访问数据库并显示在asp页面上)

　　everyone:修改

　　(允许将来自父系的可继承性权限传播给对象)

　　10.如何隐藏iis版本?

　　一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

　　iis存放IIS BANNER的所对应的dll文件如下:

　　WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

　　FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

　　SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

　　你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

　　具体过程如下:

　　1.停掉iis iisreset /stop

　　2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

　　3.修改