来源: 互联网  发布时间: 2013-12-24

问题如下：
1.网页上显示

您试图在此 Web 服务器上访问的 Web 应用程序当前不可用。请点击 Web 浏览器中的“刷新”按钮重试您的请求。
管理员注意事项:
详述此特定请求失败原因的错误信息可在 Web 服务器的系统事件日志中找到。请检查此日志项以查明导致该错误发生的原因。

2.windows事件查看器-应用程序Log

The state server has closed an expired TCP/IP connection. The IP address of the client is 127.0.0.1. The expired Read operation began at 05/21/2007 20:12:04.

解决的方法很简单，把程序对应的IIS应用程序池回收一下就好了。

可是为什么会出现这个原因呢？还有为什么回收一下就好了呢？回收做了些什么？
出现的原因
在网上搜索了一翻，发现主要是一下几个问题，当然还有其他原因

1）.Framework的问题，例如1.0和2.0版本
2）aspnet_wp.exe 问题
3）安全更新程序 (KB886903)


可惜我们服务器出现的问题都不是以上几点引起的，经过我的分析认为是写的很烂很烂的程序占用了大量的资源最后导致内存泄漏，导致IIS的 进程当掉了。可惜了程序我是没办法改，都是别人写的，也不会改。不过我不可能每次出现这个问题就登陆到远程服务器上去回收一次吧，所以只有让他自动回收 了。

自动回收有好几种方式，也不知道那一种比较适合，而且回收工作进程是会把保存在内存里的Session清空，造成用户需要重新登陆的问题，所以自动回收要越少越好，以保证不会因为其中的一个用户使用了那个很烂的程式导致其他的用户都要重新登陆。

如果用了状态服务器或者是把Session保存到了数据库中去的程序自动回收后肯定是没有任何影响的，请求也不会中断还是一样继续运行，只是换了个工作进程继续为客户端工作，客户端是感觉不到的，当初没有为了方便没有把Session保存到数据库真是失策！

1.根据运行时间
系统默认是1740分钟,也就是29个小时,这个不是很好控制,建议不用，也就是去掉那个勾。

2.请求数目
这个要看具体的情况了。如果只有10个请求，可是有5个都在请求那个比较占资源的页面（可能是统计年度报表之类），这个 时候就会出现进程当掉的情况，如果请求有1000个可是一个也没运行比较占资源的页面，这个时候进程肯定是很正常的，所以根据请求的数目来决定也不符合实 际需要。

3.计划的时间
这个其实很好，不过具体什么时间回收好呢？通常我们都是设置上班前和下班后回收，这个时候回收是有必要的，不过针对出现随时可能出现是高内存占用并不是很适用。

4.内存（虚拟内存或已使用的内存）
这个针对出现内存问题引起的进程当掉实在太合适了，不过设置多大的值比较好是一个很重要的问题， 我是根据每次出现问题时进程是实际占用情况决定的。我们的服务器内存是2G，通常其他的一些服务会占用掉600多M，我发现有每次进程都是到1G多的时候 当掉，所以设置了最大使用内存为1000M的时候自动回收，设置后一直都没出现问题了。要查看进程的占用直接用windows任务管理器就好，值不能太小 了，否则如果访问量都很大超过这个值的时候也会自动回收，这个就很没必要了。一定要多多观察进程的实际占用情况再做决定。
在IIS的配置文件里面 如果配置了IIsApplicationPools节点的LogEventOnRecycle属性，每次回收的时候IIS的日志文件会根据 LogEventOnRecycle属性的值纪录下相关的信息，也个也是设置自动回收时的一个重要参考，不过由于这个日志文件只能看几个小时以前的纪录， 当前的纪录要几个小时后才写进去，所以看起来不方便，郁闷！


现在暂时根据最大占用内存自动收回以前的问题是解决了，暂时也发现什么新问题了，也不知道其他地方都是怎么设置的，是不是还有更好的方法呢？希望到了这篇文章的人能提点宝贵意见，大家一起交流一下经验。

IIS的配置文件在windows的安装目录下（C:/WINDOWS/system32/inetsrv/MetaBase.xml），直接修改配置文件需要停止IIS服务，修改前记得备份。

部分配置信息，写的好玩的



以下是摘录IIS自带的帮助。

工作进程回收如何工作
根据应用程序池回收的配置方式，万维网发布服务（WWW 服务）可以使用两种方法来回收已分配的工作进程：

•默认情况下，WWW 服务建立“重叠回收”，即继续运行要终止的工作进程，直到启动新的工作进程后为止。
•或者，WWW 服务可以终止一个工作进程，然后启动一个新的工作进程（如果工作负荷允许执行此操作的话）。

注意 当 WWW 服务回收某个工作进程时，它并不断开现有的 TCP/IP 连接。HTTP 协议堆栈 (HTTP.sys) 建立并维护 TCP/IP 连接。

在重叠回收方案中，要回收的进程继续处理请求，同时 WWW 服务创建一个替代工作进程。在停止旧工作进程之前启动新的工作进程，然后将请求定向到新的进程。此设计可以防止服务中断，因为旧进程关闭前仍然保持与 HTTP.sys 的通信以处理请求。因为可重叠关闭或启动的关闭超时值是可以配置的，所以在工作进程仍在处理请求的同时可以终止该进程（如果它在时间限制内没有处理完请求 的话）。

在配置应用程序池以基于运行时间来回收工作进程时，可以在设置的运行时间内回收所有的工作进程，但不能同时回收所有这些工作进程。可以在设置的时间内的不同时段进行回收应用程序，以减少客户端请求服务的中断次数。

类似地，在配置应用程序池以基于处理请求的数目来回收应用程序时，可以每隔一段时间回收一次以分担与工作进程回收有关的系统开销。

何时使用工作进程回收
在决定是否启动工作进程回收时，应考虑以下常规指南。最佳的解决方案是修复引起故障的应用程序。但是，并非总能使用重新编码，尤其是运行的其他应用程序代码无法修改时。

在以下情况下考虑使用回收：

• 无法修复 Web 服务器上您所主控的有故障的应用程序。
• 遇到不能确定的或间断性的故障。
• 您怀疑应用程序由于性能监视的原因而泄漏内存。
• 先前已实施了临时性的重置解决方案，例如，计划执行 IISReset 命令行实用工具。

在以下情况下，可能根本不需要使用回收：

• 您所主控的网站只包含静态内容，并且不包含自定义 Internet 服务器 API (ISAPI) 应用程序。
• 您所主控的应用程序已经过完全测试，并且不会出现内存或资源分配问题。

要有效地使用回收，请仔细检查回收所依据的标准（如下表中所示）。

回收依据的条件 描述 使用时间 ISAPI 请求 根据应用程序池中 ISAPI 的请求回收工作进程。 ISAPI 扩展可以将其自身声明为运行状况差。 运行时间 根据用户指定的时间（分钟）回收工作进程。 存在故障的应用程序的运行时间过长。 请求数目 当超文本传输协议 (HTTP) 请求超出某个特定阈值时回收工作进程。 根据应用程序接收到的请求数目，应用程序出现故障。 计划的时间 在 24 小时内的指定时间进行回收。 条件与运行时间的条件类似。 虚拟内存（保留的内存加上已使用的内存） 当工作进程虚拟内存达到某个特定阈值时回收该工作进程。 内存堆栈碎片过多（这是由于应用程序保留多次内存造成的）。症状是虚拟内存持续增加。 已使用的内存 当 W3wp.exe 进程使用的内存达到某个特定阈值时回收工作进程。 某些应用程序出现内存泄漏。 根据需要 当 IIS 管理员可以使用 Microsoft? 管理控制台 (MMC) 或脚本控制整个应用程序池的回收时开始回收。 在其他站点启动并运行时，有一个引起故障的应用程序池。请考虑回收该应用程序，而无需重置整个 WWW 服务。

    

    来源: 互联网  发布时间: 2013-12-24

作为最流行的Web服务器，Apache Server提供了较好的安全特性，使其能够应对可能的安全威胁和信息泄漏。

　　Apache 服务器的安全特性

　　1、 采用选择性访问控制和强制性访问控制的安全策略

　　从Apache 或Web的角度来讲，选择性访问控制DAC（Discretionary Access Control）仍是基于用户名和密码的，强制性访问控制MAC（Mandatory Access Control）则是依据发出请求的客户端的IP地址或所在的域号来进行界定的。对于DAC方式，如输入错误，那么用户还有机会更正，从新输入正确的的密码；如果用户通过不了MAC关卡，那么用户将被禁止做进一步的操作，除非服务器作出安全策略调整，否则用户的任何努力都将无济于事。

　　２、Apache 的安全模块

　　Apache 的一个优势便是其灵活的模块结构，其设计思想也是围绕模块（Modules）概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache Server的访问控制和认证、授权等一系列至关重要的安全服务。

　　mod_access模块能够根据访问者的IP地址（或域名，主机名等）来控制对Apache服务器的访问，称之为基于主机的访问控制。

　　mod_auth模块用来控制用户和组的认证授权（Authentication）。用户名和口令存于纯文本文件中。mod_auth_db和mod_auth_dbm模块则分别将用户信息（如名称、组属和口令等）存于Berkeley-DB及DBM型的小型数据库中，便于管理及提高应用效率。

　　mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证，但它相应的需要客户端的支持。

　　mod_auth_anon模块的功能和mod_auth的功能类似，只是它允许匿名登录，将用户输入的E-mail地址作为口令。

　　SSL（Secure Socket Lager），被Apache所支持的安全套接字层协议，提供Internet上安全交易服务，如电子商务中的一项安全措施。通过对通讯字节流的加密来防止敏感信息的泄漏。但是，Apache的这种支持是建立在对Apache的API扩展来实现的，相当于一个外部模块，通过与第三方程序的结合提供安全的网上交易支持。

　　Apache服务器的安全配置

　　Apache具有灵活的设置，所有Apache的安全特性都要经过周密的设计与规划，进行认真地配置才能够实现。Apache服务器的安全配置包括很多层面，有运行环境、认证与授权设置等。Apache的安装配置和运行示例如下：

　　1、以Nobody用户运行

　　一般情况下，Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权，那么它将给系统的安全构成很大的威胁，应确保Apache Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项，以Nobody用户运行Apache 达到相对安全的目的。

　　User nobody

　　Group# -1

　　2、ServerRoot目录的权限

　　为了确保所有的配置是适当的和安全的，需要严格控制Apache 主目录的访问权限，使非超级用户不能修改该目录中的内容。Apache 的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中，应为：

　　Server Root /usr/local/apache

　　3、SSI的配置

　　在配置文件access.conf 或httpd.conf中的确Options指令处加入Includes NO EXEC选项，用以禁用Apache Server 中的执行功能。避免用户直接执行Apache 服务器中的执行程序，而造成服务器系统的公开化。

　　

　　Options Includes Noexec

　　4、阻止用户修改系统设置

　　在Apache 服务器的配置文件中进行以下的设置，阻止用户建立、修改 .htaccess文件，防止用户超越能定义的系统安全特性。

　　

　　AllowOveride None

　　Options None

　　Allow from all

　　

　　然后再分别对特定的目录进行适当的配置。

　　5、改变Apache 服务器的确省访问特性

　　Apache 的默认设置只能保障一定程度的安全，如果服务器能够通过正常的映射规则找到文件，那么客户端便会获取该文件，如http://local host/~ root/ 将允许用户访问整个文件系统。在服务器文件中加入如下内容：

　　

　　order deny,ellow

　　Deny from all

　　

　　将禁止对文件系统的缺省访问。

　　6、CGI脚本的安全考虑

　　CGI脚本是一系列可以通过Web服务器来运行的程序。为了保证系统的安全性，应确保CGI的作者是可信的。对CGI而言，最好将其限制在一个特定的目录下，如cgi-bin之下，便于管理；另外应该保证CGI目录下的文件是不可写的，避免一些欺骗性的程序驻留或混迹其中；如果能够给用户提供一个安全性良好的CGI程序的模块作为参考，也许会减少许多不必要的麻烦和安全隐患；除去CGI目录下的所有非业务应用的脚本，以防异常的信息泄漏。

　　以上这些常用的举措可以给Apache Server 一个基本的安全运行环境，显然在具体实施上还要做进一步的细化分解，制定出符合实际应用的安全配置方案。

　　Apache Server基于主机的访问控制



　　Apache Server默认情况下的安全配置是拒绝一切访问。假定Apache Server内容存放在/usr/local/apache/share 目录下，下面的指令将实现这种设置：

　　

　　Deny from all

　　Allow Override None

　　

　　则禁止在任一目录下改变认证和访问控制方法。

　　同样，可以用特有的命令Deny、Allow指定某些用户可以访问，哪些用户不能访问，提供一定的灵活性。当Deny、Allow一起用时，用命令Order决定Deny和Allow合用的顺序，如下所示：

　　1、 拒绝某类地址的用户对服务器的访问权（Deny）

　　如：Deny from all

　　Deny from test.cnn.com

　　Deny from 204.168.190.13

　　Deny from 10.10.10.0/255.255.0.0

　　2、 允许某类地址的用户对服务器的访问权（Allow）

　　如：Allow from all

　　Allow from test.cnn.com

　　Allow from 204.168.190.13

　　Allow from 10.10.10.0/255.255.0.0

　　Deny和Allow指令后可以输入多个变量。

　　3、简单配置实例：

　　Order Allow, Deny

　　Allow from all

　　Deny from www.test.com

　　指想让所有的人访问Apache服务器，但不希望来自www.test.com的任何访问。

　　Order Deny, Allow

　　Deny from all

　　Allow from test.cnn.com

　　指不想让所有人访问，但希望给test.cnn.com网站的来访。

　　Apache Sever的用户认证与授权



　　概括的讲，用户认证就是验证用户的身份的真实性，如用户帐号是否在数据库中，及用户帐号所对应的密码是否正确；用户授权表示检验有效用户是否被许可访问特定的资源。在Apache中，几乎所有的安全模块实际上兼顾这两个方面。从安全的角度来看，用户的认证和授权相当于选择性访问控制。

　　建立用户的认证授权需要三个步骤：

　　1、建立用户库

　　用户名和口令列表需要存在于文件（mod_auth模块）或数据库（mod_auth_dbm模块）中。基于安全的原因，该文件不能存放在文挡的根目录下。如，存放在/usr/local/etc/httpd下的users文件，其格式与UNIX口令文件格式相似，但口令是以加密的形式存放的。应用程序htpasswd可以用来添加或更改程序：

　　htpasswd –c /usr/local/etc/httpd/users martin

　　-c表明添加新用户，martin为新添加的用户名，在程序执行过程中，两次输入口令回答。用户名和口令添加到users文件中。产生的用户文件有如下的形式：

　　martin:WrU808BHQai36

　　jane:iABCQFQs40E8M

　　art:FadHN3W753sSU

　　第一域是用户名，第二个域是用户密码。

　　2、配置服务器的保护域

　　为了使Apache服务器能够利用用户文件中的用户名和口令信息，需要设置保护域（Realm）。一个域实际上是站点的一部分（如一个目录、文档等）或整个站点只供部分用户访问。在相关目录下的.htaccess文件或httpd.conf ( acces.conf ) 中的段中，由AuthName来指定被保护层的域。在.htaccess文件中对用户文件有效用户的授权访问及指定域保护有如下指定：

　　AuthName “restricted stuff”

　　Authtype Basic

　　AuthUserFile /usr/local/etc/httpd/users

　　Require valid-user

　　其中，AuthName指出了保护域的域名（Realm Name）。valid-user参数意味着user文件中的所有用户都是可用的。一旦用户输入了一个有效的用户/口令时，同一个域内的其他资源都可以利用同样的用户/口令来进行访问，同样可以使两个不同的区域共用同样的用户/口令。

　　3、告诉服务器哪些用户拥有资源的访问权限

　　如果想将一资源的访问权限授予一组客户，可以将他们的名字都列在Require之后。最好的办法是利用组（group）文件。组的操作和标准的UNIX的组的概念类似，任一个用户可以属于一个和数个组。这样就可以在配置文件中利用Require对组赋予某些权限。如：

　　Require group staff

　　Require group staff admin

　　Require user adminuser

　　指定了一个组、几个组或一个用户的访问权限。

　　需要指出的是，当需要建立大批用户帐号时，那么Apache服务器利用用户文件数据库将会极大地降低效率。这种情况下，最好采用数据库格式的帐号文件，譬如 DBM数据库格式的文件。还可以根据需要利用db格式（mod_auth_db）的数据文件，或者直接利用数据库，如：mSQL（mod_auth_msql）或DBI兼容的数据库（mod_auth_dbi）。

    

    来源: 互联网  发布时间: 2013-12-24

我们都是通过错误日志查看
在rsyncd.log里面或.err文件里面，大家可以用记事本打开查看。

注意windows下面我们需要给SvcwRsync用户，管理同步目录的所有权限，基本上这样就可以了

问题一：
@ERROR: chroot failed
rsync error: error starting client-server protocol (code 5) at main.c(1522) [receiver=3.0.3]

原因：
服务器端的目录不存在或无权限，创建目录并修正权限可解决问题。

问题二：
@ERROR: auth failed on module tee
rsync error: error starting client-server protocol (code 5) at main.c(1522) [receiver=3.0.3]

原因：
服务器端该模块（tee）需要验证用户名密码，但客户端没有提供正确的用户名密码，认证失败。
提供正确的用户名密码解决此问题。

问题三：
@ERROR: Unknown module ‘tee_nonexists'
rsync error: error starting client-server protocol (code 5) at main.c(1522) [receiver=3.0.3]

原因：
服务器不存在指定模块。提供正确的模块名或在服务器端修改成你要的模块以解决问题。


问题1：
在client上遇到问题：
rsync -auzv --progress --password-file=/etc/rsync.pas root@192.168.133.128::backup /home/
rsync: could not open password file "/etc/rsync.pas": No such file or directory (2)
Password:
@ERROR: auth failed on module backup
rsync error: error starting client-server protocol (code 5) at main.c(1506) [Receiver=3.0.7]
遇到这个问题：client端没有设置/etc/rsync.pas这个文件，而在使用rsync命令的时候，加了这个参数--
password-file=/etc/rsync.pas

问题2：
rsync -auzv --progress --password-file=/etc/rsync.pas root@192.168.133.128::backup /home/
@ERROR: auth failed on module backup
rsync error: error starting client-server protocol (code 5) at main.c(1506) [Receiver=3.0.7]
遇到这个问题：client端已经设置/etc/rsync.pas这个文件，里面也设置了密码111111，和服务器一致，但是
服务器段设置有错误，服务器端应该设置/etc/rsync.pas ，里面内容root:111111 ,这里登陆名不可缺少

问题3：
rsync -auzv --progress --password-file=/etc/rsync.pas root@192.168.133.128::backup /home/
@ERROR: chdir failed
rsync error: error starting client-server protocol (code 5) at main.c(1506) [Receiver=3.0.7]
遇到这个问题，是因为服务器端的/home/backup 其中backup这个目录并没有设置，所以提示：chdir failed

问题4：
rsync: write failed on "/home/backup2010/wensong": No space left on device (28)
rsync error: error in file IO (code 11) at receiver.c(302) [receiver=3.0.7]
rsync: connection unexpectedly closed (2721 bytes received so far) [generator]
rsync error: error in rsync protocol data stream (code 12) at io.c(601) [generator=3.0.7]
磁盘空间不够，所以无法操作。
可以通过df /home/backup2010 来查看可用空间和已用空间

问题5：网络收集问题
1、权限问题
类似如下的提示：rsync: opendir "/kexue" (in dtsChannel) failed: Permission denied (13)注意查看同步的目录权限是否为755
2、time out
rsync: failed to connect to 203.100.192.66: Connection timed out (110)
rsync error: error in socket IO (code 10) at clientserver.c(124) [receiver=3.0.5]
检查服务器的端口netstat –tunlp，远程telnet测试。
可能因为客户端或者服务端的防火墙开启 导致无法通信，可以设置规则放行 rsync（873端口） 或者直接关闭防火墙。

还有一种在同步过程中可能会提示没有权限 （将同步目录加上SvcwRsync全部权限即可，更简单的方法就是将SvcwRsync设为管理员即可）


3、服务未启动
rsync: failed to connect to 10.10.10.170: Connection refused (111)
rsync error: error in socket IO (code 10) at clientserver.c(124) [receiver=3.0.5]
启动服务：rsync --daemon --config=/etc/rsyncd.conf
4、磁盘空间满
rsync: recv_generator: mkdir "/teacherclubBackup/rsync……" failed: No space left on device (28)
*** Skipping any contents from this failed directory ***
5、Ctrl+C或者大量文件
rsync error: received SIGINT, SIGTERM, or SIGHUP (code 20) at rsync.c(544) [receiver=3.0.5]
rsync error: received SIGINT, SIGTERM, or SIGHUP (code 20) at rsync.c(544) [generator=3.0.5]
6、xnetid启动
rsync: read error: Connection reset by peer (104)
rsync error: error in rsync protocol data stream (code 12) at io.c(759) [receiver=3.0.5]
查看rsync日志
rsync: unable to open configuration file "/etc/rsyncd.conf": No such file or directory
xnetid查找的配置文件位置默认是/etc下，根据具体情况创建软链接。例如：
ln -s /etc/rsyncd/rsyncd.conf /etc/rsyncd.conf
或者更改指定默认的配置文件路径，在/etc/xinetd.d/rsync配置文件中。