IIS6.0用Policy Agentの問題
IIS5.0からIIS6.0へアップグレードされたお客様からIIS上でアクセス制御を行うPolicy Agentが誤動作するとの連絡を頂きました。調査した結果、この問題はIIS6.0上でPolicy Agentを使用するお客様に関係する要素があるためブログでもお知らせ致します。
IIS6.0上に配備されたISAPI Filterとの組合せによりPolicy Agent (2.1/2.2) が誤動作する場合があることが報告されています。IIS5.0までのPolicy Agent はISAPI Filter として配備されていましたが、IIS6.0 からは Wildcard Application Mapping として配備されるようになりました。この変更はMicrosoft社から推奨に基づいています。
一般にIISにより受け取られたリクエストは、まずサーバ上に配備された各種 ISAPI Filterによって処理されます。Wildcard Application Mappingsによる処理が行われるのは、その後です。そのため、ISAPI Filter のなかにリクエストの内容を書き換えるものがあった場合には、Policy Agent が誤動作する原因になります。
実際にどのような誤動作になるかは、その前に動作するISAPI Filter の種類により様々です。現時点では、
1) iisWASPlugin_http.dll (IBM/WebSphere)
2) isapi_redirect.dll (Jakarta/Tomcat)
との組合せで誤動作することが報告されています。これらは IIS をフロント・エンド・サーバとして利用するために ISAPI Filter として配備されるモジュールです。
