none
IIS_IUSRS 계정 사라짐과 "기본 문서" 오류 RRS feed

  • 질문

  • 안녕하세요, 듣도 보고 못한 주요 증상 2가지가 발생하여 문의 드립니다.

    더 세부적인 정보를 모두 기재하기 어렵지만, 통상적으로 IIS 사용과 같은 구성이라고

    간주해주시면 될 것 같습니다.

    문의 드리고싶은 증상은,

    1. IIS 서버 사용권한에서 IIS_IUSRS, Users 계정 사라짐

    운영중인 서비스에서 갑자기 401 에러 발생하여 응급조치 후 서버 확인해보니,

    아래와 같이 IIS_IUSRS, Users 계정 사라졌습니다.

    IIS 서버 > 사이트 > 8개 웹사이트를 구성하여 사용 중인데, 동시에 모든 서버에서

    사라져버렸습니다.

    장애 발생 전후 시간에 서버에서 작업한 내용 등 특이한 조작/작업이 전혀 없었습니다.

    서버 복구를 위해 장애 발생한 윈도우 서버 자체를 리부팅한 후, 각 사이트에 위 2개

    계정과 권한 추가하여 401 에러 발생을 해소하였습니다.

    다만 재발의 여지가 있을 것으로 생각되어 질문 드립니다.

    2. "기본 문서" 설정 롤백 증상과 오작동

    사이트의 "기본문서" 에 index.aspx 를 추가하여 최상위로 구성 후 일정 시간/기간

    정상 작동하다, 갑자기 500 번 에러 발생하면서 index.aspx 와 default.aspx 파일

    모두 로드하지 못하는 증상이 1개 사이트에서만 발생하고 있습니다.

    저희 asp.net 은 2003 서버 시절 만든 서비스들이라 index.aspx 파일을 기본으로

    사용하였습니다. 이 증상이 발생하여, "기본 문서" 설정을 "부모 구성으로 되돌리기"한 후

    index.aspx 파일을 복사하여 파일이름만 default.aspx 로 변경하여 조치하였습니다.

    1번 장애 발생 하여 서버 리부팅 다시 한 번 index.aspx 를 추가하였는데, 재기동 시킨지

    약 1시간내외 직후부터 갑자기 500 번 에러 발생하여, 다시 "부모 구성으로 되돌리기"하여

    default.aspx 파일로 작동되도록 하여 장애 조치 하였습니다.

    이와 더불아, 이 웹 사이트의 bin 폴더에 dll 파일을 배포하면, 수분 내로 해당 파일이 배포하기

    전 파일로 롤백되는 증상도 발생하였었습니다.

    리부팅 후 해당 증상은 확인할 수는 없는 상태라 현재도 발생하고 있는지 확인하지는 못하였습니다.

    당시 조치는, dll 파일 배포 직후 파일 속성을 "읽기 전용"으로 바꾸어 서버의 특정계정(?)이나

    프로그램(?)이 파일을 롤백하지 못하도록 하여 처리하였습니다.

    해당 서버의 사양은 아래와 같습니다.

    --------------------------------------------------

    Windows Server 2012 Standard

    프로세서: Intel(R) Xeon(R) CPU E5-2609 v2 @ 2.50Ghz 2.49Ghz

    메모리: 16.GB

    시스템종류: 64비트 운영 체제, x64 기반 프로세서

    --------------------------------------------------

    그리고 평균적인 리소스 사용상태는 아래와 같습니다. 장애발생 시점도 거의 동일하였습니다.

    CPU: 12%~25%

    메모리: 3.4/16.0GB (21%) ~ 26%

    개인적으로도 MS 제품을 제법 오래 접해왔지만, 이런 증상은 듣도 보도 못해본 증상이지만, 현재 발생 중인 상태이기에

    대응책과 원인 파악/해결을 위해 질문 드립니다.

    소중한 조언 부탁드립니다.

    감사합니다.





    • 편집됨 질문 2017년 8월 31일 목요일 오전 5:10
    2017년 8월 31일 목요일 오전 5:05

모든 응답

  • 안녕하세요?

    해당 폴더 및 파일에 감사 설정 후 재발시 분석이 필요해 보입니다.

    1.D:\wwwroot\TOTAL 폴더 및 dll 파일에서 마우스 오른쪽 버튼을 클릭하신 후 “속성”을 누릅니다.
    2.“보안”탭에서 “고급” 버튼을 누릅니다.
    3.“감사”탭에서 “계속” 버튼을 누릅니다.
    4."추가" 버튼을 누르고 "보안 주체 선택" 선택 후 everyone을 입력 후 "확인"을 누릅니다.
    5.유형에서 “성공” 선택 후 "기본 권한"부분에서 "모든 제어“를 선택 하신 후 "확인”을 누릅니다.
    6.“적용”->”확인”->”확인”을 눌러 해당 메뉴를 종료합니다.
    7.시작->gpedit.msc 입력 후 엔터를 누릅니다.
    8.컴퓨터 구성->Windows 설정->로컬 정책->감사 정책->”개체 액세스 감사”를 에서 “성공, 실패”를 선택합니다.
    9.시작->gpupdate /force 입력 후 엔터를 누릅니다.
    10.문제가 발생되면 이벤트 로그 중 보안로그에서 하기와 같은 로그를 확인하셔서 변경하는 계정 및 프로세스(프로그램)을 점검하여 주시기 바랍니다.

    로그 이름:         Security
    원본:            Microsoft-Windows-Security-Auditing
    날짜:            2012-09-21 오후 2:21:23
    이벤트 ID:        4673
    작업 범주:         중요한 권한 사용
    수준:            정보
    키워드:           감사 성공
    사용자:           해당 없음
    컴퓨터:           xxxxx
    설명:
    권한 있는 서비스를 호출했습니다.

    주체:
    보안 ID:            FAREAST\xxxx
    계정 이름:                    xxx
    계정 도메인:                 FARE
    로그온 ID:                    0xd4398
    서비스:
    서버:     Security
    서비스 이름:       -
    프로세스:
    프로세스 ID:       0x15b

    감사합니다.


    • 편집됨 Turtle Ko 2017년 9월 7일 목요일 오전 6:13
    2017년 9월 7일 목요일 오전 6:11
  • 안녕하세요, 소중한 답변 감사합니다.

    재발되서는 안되는 문제지만, 안내해 주신 대로 보안감사 정책 설정하였습니다.

    지속적으로 모니터링하고, ms 에 별도 기술지원도 문의 중입니다.

    2017년 9월 8일 금요일 오전 7:25