问题[iis-8](server)

我的 VPS 包含十几个网站，其中包括以下几个 SSL 证书。

• *.railtrax.com
• *.insiderarticles.com

目前，所有 * .railtrax.com网站都运行良好。但是 * .insiderarticles.com网站（我只有一个）在浏览器中给了我一个错误（注意最后一段）。

您的连接不是私密的

攻击者可能试图从 insiderarticles.com 窃取您的信息（例如，密码、消息或信用卡）。

NET::ERR_CERT_COMMON_NAME_INVALID

该服务器无法证明它是 insiderarticles.com；它的安全证书来自 *.railtrax.com。这可能是由于配置错误或攻击者拦截了您的连接造成的。

如您所见，insiderarticles.com的证书表明它是发给 * .railtrax.com 的。

Insiderarticles.com 证书

但我选择了正确的证书。

Insiderarticles.com 编辑绑定对话框

如果我使用 Jexus 运行绑定诊断，我会收到以下错误：

BINDING: http 74.208.136.116:80:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: http 74.208.136.116:80:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: https 74.208.136.116:443:insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

BINDING: https 74.208.136.116:443:www.insiderarticles.com
Found a conflicting TCP reserved port range. Please run "netsh int ipv4 show excludedportrange protocol=tcp" at command prompt to troubleshoot.

如果我运行建议的命令，我会得到以下信息。

但这对我没有帮助。

有关证书的所有其他内容似乎都是有效的。我为 * .insiderarticles.com安装了证书，它运行良好。在我为 *.railtrax.com 安装证书后，这很可能是 insiderarticles.com 停止工作的时候。

这可能与需要服务器名称指示复选框有关吗？对于insiderarticles.com ，此复选框已选中，对于所有 * .railtrax.com网站均未选中。我尝试为所有 * .railtrax.com网站检查此选项，但似乎没有任何区别。

任何人都可以推荐后续步骤来解决此问题吗？

当 ASP（经典、VBScript）页面上发生错误时，生成的错误消息（如果设置为显示错误响应）以及完整的FREB 日志（如果您已打开）显示已处理的行号发生错误的 ASP 文件。

这非常有用，因为您可以查看文件，找到错误并修复它。或者至少，如果您的 ASP 文件只是一个不包含任何其他文件的文件，则可以。

另一方面，如果您的文件确实有任何<!-- #include -->包含其他文件的指令，那么事情就不那么有用了。由于 ASP/IIS 包含在文件处理之前发生，因此行号不是磁盘上任何实际文件中的实际行号，而是由复制到主文件中的所有包含文件组成的文件中的行号各自的位置。当你有一个顶部有大约 30 个包含指令的文件，然后你被告知在第 592 行有一个错误，你最终完全不知道该行在哪个物理文件中，你只剩下 30文件，直到找到正确的文件。

不幸的是，据我所知，无法检索有关特定行最初属于哪个文件的信息，因此无法获得完全有用的错误消息版本。

但是服务器至少应该可以提供它实际正在处理的页面的源代码，以便您可以查看它，找到第 592 行并至少知道导致错误的行的内容和上下文是。

我不希望这可以在输出到浏览器的错误消息中提供（这将是一个明显的、巨大的安全漏洞），但它肯定应该很容易包含在包含成千上万的失败请求跟踪中关于文件执行的其他所有细节的行。可悲的是，我还没有找到真正做到这一点的方法。

有没有办法指示 IIS 提供已编译的 ASP 文件（作为纯文本）作为失败请求跟踪的一部分，以便错误消息中的行号实际上有用？

tl;dr：使用 AD CS 颁发的证书时，Server 2012 R2 和基于 Chromium 的浏览器之间的 TLS 1.2 失败。在 Server 2016+ 和 2012 R2 上使用 Firefox/IE/Cygwin-curl 运行良好。

我们有几个内部 Server 2012 R2 Web 服务器，我们正试图将它们从公开颁发的证书转移到由我们的 AD 集成 CA 颁发的证书上，并消除不太安全的加密设置，包括 CBC MAC。Server 2012 R2 不支持 GCM 的 ECDHE_RSA，这意味着我们正在尝试使用基于 ECDH 的证书。但是，当我们允许使用 CBC-MAC 的密码套件时，我们遇到了类似的问题，例如 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 以及从同一 CA 颁发的 RSA 证书。使用 GlobalSign 颁发的公共通配符证书，我们能够连接所有浏览器。

企业 CA 和脱机根 CA 都是受信任的，我们已经验证它工作正常。使用颁发给 2016 和 2019 服务器的多个不同模板的证书在所有浏览器上都可以正常工作。基于 ECDH 和 RSA 的模板在 2016+ 上同样适用。

ECDH 证书模板加密：

RSA 证书模板加密：

2012 R2 服务器上的 RSA 和 ECDH 证书都被 Firefox security.enterprise_roots.enabled、pre-Chromium Edge、IE 和 Cygwincurl和wget. 我已经确认我们在注册表中使用了现代密码，使用IISCrypto重新设置它们，并验证了服务器使用 OpenSSL 和 nmap 提供了兼容的可用密码。同样，我已经确认客户端实际上能够使用这些密码进行连接。

Firefox 显示它正在与 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 连接，根据Qualys，我们正在使用的 Chrome 版本支持它。

与 ECDH

PORT    STATE SERVICE
443/tcp open  https
| ciphers:
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

每次我们尝试与 Chrome 连接时，都会记录一对事件 36874/36888，说明客户端上没有支持的密码套件。

我们在使用企业 CA 颁发的证书时遇到问题的密码套件列表，其中大部分仅用于测试（警告已被剪断）：

PORT    STATE SERVICE
443/tcp open  https
| ciphers:
|   SSLv3:
|     ciphers:
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: C

我的问题是：

1. 当服务器提供兼容的密码套件时，为什么基于 Chromium 的浏览器无法协商密码套件？
2. 为了允许 Server 2012 R2 使用内部颁发的证书，我需要设置什么？
3. 除了将应用程序服务器升级到 2016/2019 之外，还有更好的方法来处理我正在尝试做的事情吗？在这一点上，似乎完全禁用 TLS 并将所有内容放在 LB/反向代理之后可能是一个更好的主意，即使这些是单服务器解决方案。

编辑：我用 Chromium 打开了一个错误，他们已经确认服务器提供的密码套件应该被 Chrome 接受。在我提供了通过 CHROME://Net-Export 捕获的网络日志之后，他们现在正在调查。这可能与旧的Chrome/2012 错误有关。一旦谷歌报告了问题所在，我将再次更新这篇文章。但是，在这一点上，我们这边的配置似乎没有任何问题。

感谢您的关注！

如何在 IIS7 中使用 appcmd 设置网站的物理路径？

就像是...

appcmd set site summit /[path='/'].path:c:\newpath

我的服务器经常受到恶意脚本的攻击（来自不同的地理位置，所以 IP 过滤无效）

幸运的是，我已经确定了一些常见的表单发布值，并希望过滤来自我的 IIS 8.0 服务器的请求。

请求过滤似乎是前进的方向，但据我所知，它仅适用于查询字符串和 URL。

我弄错了吗？任何帮助将不胜感激，谢谢！

我有一个开发 Web 服务器环境，由 2 个配置有 NLB（多播模式）的 Windows 2012 VM 组成。它们每个都使用一个分配有 2 个 IP 的网络适配器：共享 NLB IP 和它们的非共享单独 IP。我们的使用模式是在其中一个 VM 处于活动 NLB 池之外时运行构建和部署。构建完成后，将新更新的服务器添加回池中，并删除另一台。这样我们就可以保持恒定的正常运行时间。

我的问题是，在 2 台服务器中的 1 台上，IIS 不允许通过 NLB 从我们网络外部的 IP 地址进行连接。因此，如果该服务器是 NLB 池中唯一活动的服务器，则内部 PC 可以连接，但我们网络外部的主机无法连接。他们得到一个超时。我可以看到使用 Wireshark 的 TCP SYN，并且没有任何 ACK 被发回。如果我将 NLB 配置翻转到另一台服务器，它允许内部和外部 IP 连接。我从我控制的外部主机验证了这一点：我尝试了使用 NLB IP 的 HTTP 请求并得到了相同的结果。

我检查过的事情：

• 据我所知，两台服务器上的 NLB 和 IIS 配置/绑定是相同的。
• IIS 中没有 IP 过滤规则。
• Windows 防火墙已关闭。
• 我尝试切换到单播 NLB 模式，但这破坏了一切。
• 我尝试将 NLB 主机优先级更改为 4 和 3 而不是 1 和 2，但没有效果。
• 我还通过在端口 80 上通过 IP 地址的简单请求来重现问题，从而从等式中消除了主机标头和 SSL。

如何解决 IIS 未从外部 IP 确认 SYN 的问题？它可以记录这种事情吗？

如果我无法解决为什么 IIS 不允许服务器 2 上的连接，我唯一的办法就是从头开始重建整个 VM 并重试...

我的客户端试图从 Web 访问 Web 服务，但它收到 http 错误 Forbidden。我不知道问题是在我的服务上还是在客户端代理服务上。我如何设置 IIS 也记录失败尝试？

来自服务器经验很少的人的两个问题。

我已经建立了一个简单的 IIS8 (Windows 2012) 服务器，上面有一个网站。这很好用。

我可以在我家外面访问它（是的，这是我家中运行的小型服务器），但前提是我输入我的静态 IP 地址。我想使用 DNS 地址运行它，这样我就可以使用我购买的域名，但我不知道该怎么做。

我会在当前机器上设置 DNS 服务器吗？我需要一台不同的（单独的）机器吗？如果我可以把它放在我现在的机器上，有没有好的指导网站详细说明它是如何为有新手知识的人完成的？我是一名C#程序员，对服务器端了解不多。

我有一个 IIS 8（win 2012 r2）服务器，我想将同一个网站绑定到 2 个不同的域和 2 个不同的证书。

我不能使用通配符，因为域是不同的 FQDN。

如果我为 https 和端口 443 添加 2 个绑定，我无法选择 2 个不同的证书（当我更改一个绑定时，它会更改另一个）。

有一种方法可以在不使用不同端口或拆分到 2 个不同网站的情况下解决此问题？

谢谢！

我有 IIS 8，我只需要将 localhost 请求重定向到同一 IIS 上的一个页面到另一个页面。

我用 URL Rewrite 模块和条件尝试了它，但也许这是错误的方式......