Category: IIS

ASP.NET Core 有個預設行為,開發測試階段會顯示錯誤細節,包含錯誤訊息、Stack Trace 等資訊;當部署到 IIS 後,就只會顯示告知狀態碼為 HTTP ERROR 500,以避免程式資訊外洩形成資安風險: 嚴譯的系統會設計 Log 機制補捉及記錄錯誤,提供介面查詢或是後送 ELK...

之前研究過確保網站永遠處於執行狀態的 IIS 設定方式,最近遇上網站停用但網站背景排程照跑的靈異事件,發現事情跟我想的不一樣,自己對 IIS 站台 Process 模式及 AlwaysRunning 行為有些誤解,寫篇筆記備忘。 我們都知道 IIS 管理員站台有組控制鈕,可以重新啟動、啟動或停止站台...

之前處理過不少 TLS 憑證無效問題,這回遇上一枚絕對新鮮的罕見茶包。 狀況如上圖所示(純屬模擬示意,非實際狀況),瀏覽器警示網站不安全,檢視憑證信任鏈,根憑證(TWCA Global Root CA)、中繼憑證(TWCA Global EVSSL Certification Authority)...

嘗試用 IIS ARR 當 Reverse Proxy 重導 PRTG 服務管理網頁,發現僅 HTML 可正常讀取,網頁所需的 png 及 css 發生 ERR_CONNECTION_RESET 錯誤。 ARR 的狀態有點尷尬,2013 年更新 3.0 後幾乎就沒再更新了,網路查到的資料很多還停在...

用 IIS ARR 架 Reverse Proxy 已經好幾年,雖然運作正常,但有個問題始終困擾著我,我一直找不到傳說中有個「Application Request Routing Cache」圖示: 網路上看過有人跟我一樣抱怨找不到,起初我覺得是 ARR 太老舊跟 Windows 2016+ 相...

這幾年蠻常用 IIS ARR 架 Reverse Proxy 或做網址重新導向(應用範例:在 ASP.NET MVC 站台使用 IIS ARR、HTTP Host Header 資安弱點防護),由於常需在隔離環境離線安裝,我找到最簡便的做法是下載四合一組合包 Application Request ...

遇到接手現有網站主機、網站搬家規劃等需求,我想要有個工具可以盤點 IIS 上設了哪些網站應用程式、對映哪些 AppPool、Runtime 是 .NET 2.0 還是 4.0、哪些目錄特別設了匿名或 Winodws 整合驗證、鎖哪些來源 IP... 等種種細節。 自己許願自己實現,決定寫個 Powe...

前陣子分享過用 K6 跑壓力測試逼 IIS 噴出 HTTP 503,也展示如何從壓測到產出報表一氣喝成的壓力測試結果圖表自動化工具。前幾天跟同事討論被提醒 - 壓力測試畢竟是備戰演習沙盤推演,正式網站被塞爆噴 503 的案例才是最真實的情境,當下的數據更值得分析研究,更具參考價值。 圖片來源 有道...

有使用者反映 Chrome/Edge 無法自動登入使用 Windows 整合驗證 IIS 網站,會彈出登入對話框,敲完 AD 帳號密碼才能登入,有一部分使用者則可以用登入 Windows 的 AD 帳號自動登入,不需要敲密碼。 原以為跟上回一樣是 AD 傳輸被擋造成,但本次案例 URL 是用 IP,...

資安標準愈來愈嚴格,行之有年的做法現在可能被視為不夠安全。以 TLS 加密為例,加密協定中有所謂的 Cipher Suite (密碼套件),像 SSL Labs 檢查報告便會指出網站目前用的 TLS Ciper Suite 哪些強度不夠:(資安界走模範生風格,考 99 分也要打手心呢) 處理 TL...

遇到近年來數一數二的吊詭茶包。 有個 ASP.NET 測試網站近日由 Windows 整合驗證改為 Forms 驗證,卻在使用者瀏覽網頁時噴出大量 4625 登入失敗事件觸發警報。測試網站屬於另測試網域,用來登入帳號則是當時操作者本機的正式網域帳號,這行為似曾相似,在 AD Domain Contr...

遇到一堆跟憑證有關的 Windows 服務問題,想自己架個 Windows CA 做研究,開了 VM,練習用 PowerShell 安裝 AD 及 CA 伺服器。 安裝 AD Domain Controller (AD DS)   若 Win Server 原本用 DHCP,要先改為靜態固定 IP...