InfoPath Forms Services 每次回傳的 DoS 動作 - 事件 5737

適用版本： SharePoint Server 2010 Enterprise

上次修改主題的時間： 2009-08-11

警示名稱：   每次回傳的 InfoPath Forms Services DoS 動作

事件識別碼：   5737

摘要：   InfoPath Forms Services 表單會在儲存於瀏覽器用戶端的暫存事件記錄檔中，記錄每個動作。需要伺服器回傳時，會傳送記錄的記錄檔資料，並在伺服器上重新執行動作。當使用者更新表單或執行需要回傳的動作時 (例如執行商務邏輯或送出表單)，即會觸發回傳。若要防止 InfoPath Forms Services 耗費太多時間在單一回傳上，可在伺服器上定義每次回傳的動作數目上限之臨界值設定。此設定會限制單一回傳中可在伺服器上重新執行的動作數目，並防止惡意的使用者建立自己的事件記錄檔，而使伺服器當機。

使用者超出每次回傳所允許的表單動作數目臨界值。發生此狀況時，InfoPath Forms Services 就會中止使用者工作階段，以保護伺服器。

徵狀：   下列訊息會出現在事件記錄檔中：事件識別碼：5737 描述：表單動作數目 <整數> 超過每個要求所允許的最大值 <整數>。管理員可以設定及變更此值。(使用者: <使用者名稱>，表單名稱: <表單名稱>，要求: <https://servername/_layouts/Postback.Formserver.aspx>，表單識別碼: <表單識別碼>)

原因：   可能原因包括下列一或多項：

• 使用者企圖對執行 InfoPath Forms Services 的伺服器發動拒絕服務 (DoS) 攻擊。

• 每次回傳所允許的動作數目太少。

解決方法：   查看 Windows 事件記錄檔有無 DoS 攻擊的跡象

• 搜尋 Windows 事件記錄檔中有無 DoS 攻擊的跡象。若此為 DoS 攻擊，且影響到管理員核准的表單範本，請從網站集合移除表單範本或停用表單範本。

  查看 Windows 事件記錄檔：

  1. 開啟 Windows 事件檢視器。

  2. 在 Windows 應用程式事件記錄檔中搜尋事件識別碼 5737。

  3. 在事件描述中，檢查「表單識別碼」。若同一個表單識別碼有多個事件，可能表示惡意的使用者部署了每次回傳有許多動作的表單，企圖使伺服器當機。

  從網站集合停用表單範本：

  1. 在 SharePoint 管理中心網站上，按一下 [快速啟動] 中的 [一般應用程式設定]，然後按一下 [InfoPath Forms Services] 區段中的 [管理表單範本]。

  2. 按一下表單範本清單中要停用的表單範本，然後按下拉式清單中的 [從網站集合停用]。

  3. 在 [停用表單範本: <範本>] 頁面上，於 [停用位置] 區段中選取網站集合，然後按一下 [確定]。

  完全移除表單範本：

  1. 在管理中心頁面上，按一下 [快速啟動] 中的 [一般應用程式設定]，然後按一下 [InfoPath Forms Services] 區段中的 [管理表單範本]。

  2. 按一下表單範本清單中所要的表單範本，然後按下拉式清單中的 [移除表單]。

解決方法：   增加每次回傳所允許的動作數目

1. 在管理中心頁面上，按一下 [快速啟動] 中的 [一般應用程式設定]，然後按一下 [InfoPath Forms Services] 區段中的 [設定 InfoPath Forms Services]。

2. 在 [臨界值] 區段中，增加每個工作階段允許的回傳數目值。

   注意

   增加此設定值會對伺服器效能產生大幅的不良影響，並升高伺服器受 DoS 攻擊的風險。