IIS常见问题及解答以及故障分析（3）

7.问：当我试图用ASP去访问一个数据库时，我得到了一个“拒绝访问”的回应，这是什么原因？
   
答：  有一个名为“Filemon”的优秀免费工具，你可以从Sysinternals.com上获得它。你可以使用Filemon来快速诊断出绝大多数的权限问题，因为它能实时显示服务器上的全部文件权限、调用的过程名称及访问的结果。因此，无论隐藏多么深的嵌套包含或多么模糊的临时索引，任何“拒绝访问”的消息都能被轻松识别。
当一个在先前的操作系统上能够正常工作的应用程序在升级后出现问题时，它就无能为力了。但是，这种类型的问题还是有启发意义的。IIS 4.0和IIS 5.0之间的一个差异就与COM和COM+之间的一个差异有关系。在IIS 5.0中，当一个COM+对象代表用户访问文件时，它的默认行为就是使用用户的安全上下文环境来完成这些工作。这在IIS 4.0中并不算什么事情。因此，当从IIS 4.0向IIS 5.0迁移包含COM的应用程序时，你可能需要向文件提供用户权限，而在IIS 4.0中并不需要。虽然跟以前相比这有些不方便，但是它在提高应用程序安全性设计方面的确是一个进步。即使是不能使用定制的COM对象去访问数据库，COM在本地的IIS组件中还是得到了广泛的应用。
这里有一个能够帮助您理解这种需求的例子，比如，你需要为正在创建数据库的用户授予请求使用Access临时文件夹的权限。更多的信息请查阅Microsoft Knowledge Base中的Q210457和Q271071。   

8.问：如何在没有恢复原始设置的情况下运行IIS锁定工具？  
   
答：  IIS锁定工具非常有效。这个工具允许你轻松、显著地增加服务器的安全性。一旦运行了这个工具，它就将其活动的历史记录储存到一个文件中，这个文件的位置是％systemdrive％\％systemdir％\system32\inetsrv。你将在下面的文件中找到这个信息：
Oblt-rep.log
Oblt-once.md0
Oblt-mb.md0
Oblt-undone.log也可能是最新的。
如果你删除了这些文件，向导就会启动，就好像IIS Lockdown tool并未被运行一样。重复这个过程并没有什么风险。在你这么做之前，一定要制作一个Metabase.bin的副本。
因为当它第一次运行的时候，这个过程将会让你运行锁定工具，就好像它从未被运行过，但并不会“解开”或反转锁定工具进行了一些设置，所以这个过程应该可以正常工作。

9问：在我的intranet环境中，如何处理“server-side include”语法，而不必重新命名所有的文件？
   
答：  IIS 4.0和IIS 5.0提供了这样一个选项，它不需要你更改所有文件的扩展名。ASP处理器也能处理服务器端的include语法，因此没有必要使用.stm或者是.asp扩展名。那么，这对你又有什么帮助呢？通过在应用程序配置中创建一个条目，你可以将.htm 文件映射为由asp.dll处理，这样，哪些带有.htm扩展名的文件就将由asp.dll来处理。通过使用这种方式，那些含有includes的.htm 文件不用重命名就能被处理。现在你可能在考虑：“这会不会导致我所有的.htm文件都像脚本一样被处理，从而降低系统的性能呢？”事实上，在IIS 4.0中，这的确是一个问题；但是，在IIS 5.0中，性能问题并不像你想象中的那么大，并且在IIS 5.1中，甚至会更好。IIS 5.0有一个特性叫做“Scriptless ASP”（无脚本ASP）用来处理这个特殊的问题。如果一个不包含脚本的文件被提交到ASP处理器，它就不会被解析，只是简单地作为静态页面发送出去--在这种特定的情况中是一个有用的特性。