第十一章 IIS6.0的配置与管理.ppt

IIS6 0的配置与管理 第十二章 内容提要 IIS6 0概述IIS6 0的安装Web服务器的配置和管理FTP服务器的配置和管理IIS6 0的故障诊断IIS6 0 InternetInformationService Internet信息服务 是WindowsServer2003中的中的一个重要的服务组件 它提供了Web FTP SMTP和NNTP等主要服务 提供了可用于Intranet Internet或Extranet上的集成Web服务器能力 这种服务器具有可靠性 可伸缩性 安全性以及可管理性的特点 1 运行 开始 控制面板 添加 删除程序 单击 添加 删除Windows组件 在出现的组件安装向导中 选中 应用程序服务器 前面的复选框 12 2安装IIS6 0 安装IIS6 0 2 如果要安装ASP NET和FTP服务器 单击 详细信息 按钮 在应用程序对话框中选中 ASP NET 前面的复选框 如图12 3所示 3 选择 Internet信息服务 IIS 单击 详细信息 按钮 选中 文件传输协议 FTP 服务 安装FTP服务 如图12 4所示 如果还要安装对ASP的支持 选择 万维网服务 单击 详细信息 按钮 在出现的 万维网服务 对话框中选中 ActiveServerPages 组件 单击 确定 按钮 最后单击 下一步 按钮 完成对IIS的安装 安装IIS6 0 系统安装完组件后 在 开始 所有程序 管理工具 程序组中添加一项 Internet信息服务 IIS 管理器 并会创建用于存放网站的 SystemDriver Inetpub文件夹 同时 添加相应的访问Web网站的账户IUSR Computername 如计算机名 PUMA 和IWAM Computername 其中IUSR Computername是匿名用户 用户匿名访问网站 IWAM Computername用于启动进程外应用程序的账户 如运行ASP或ASP NET应用程序 12 3 1使用默认Web站点发布网站在安装了IIS6 0服务器后 系统会自动创建一个默认的Web站点 该站点使用默认设置 但内容为空 打开 开始 所有程序 管理工具 Internet信息服务 IIS 管理器 可以看到默认网站 如图12 6所示 12 3用IIS6 0创建Web站点 使用默认Web站点发布网站 只需将相关网站复制到 C Inetpub wwwroot 文件夹中 虽然这不是一种很好的方式 并将主页文档的文件名设置为Index htm Default htm或Default asp即可用域名 IP地址或计算机名访问该Web网站 通常 网站创建后 还需要通过修改默认站点的属性对Web服务器进行必要的配置和管理 在IIS管理控制台中右键单击 默认网站 按钮 在弹出的快捷菜单中选择 属性 即可在 默认网站属性 对话框中设置各种运行参数 设置IP地址和端口 在网站选项卡中可以设置网站所绑定的IP地址和TCP端口 默认情况下IP地址设置为 全部未分配 其意义表示该Web站点绑定计算机拥有的所有IP地址 可以使用此主机的任何一个IP地址来访问 包括回环地址127 0 0 1 当需要在一台计算机中创建多个虚拟网站时 就必须取消默认网站对所有IP地址的绑定 而只为它指定一个IP地址 Web服务的默认端口号为80 如果使用该默认端口提供Web服务 当使用Web浏览器访问Web网站时 只需输入域名而无须输入端口号 如 如果将Web服务器的端口号改为其他值 如8080 那么 在访问该网站时就必须指定端口号 如 8080 显然 这样给用户访问带来了困难和麻烦 但对某些企业内部网站 却可以提高网站的安全性 设置主目录 主目录是指保存Web网站文件的位置 当用户访问该网站时 Web服务器将从该文件夹中调用相应的文件给Web客户端 默认的Web主目录为 SystemDriver Inetpub wwwroot 如果WindowsServer2003安装在C盘 则路径为 C Inetpub wwwroot 一般情况下 为了减少黑客的攻击以及保证系统的稳定性和可靠性 建议选择其他文件夹存放Web网站 这里在本地路径文本框中选择 H jsjgcx 需要指出的是 网站存放路径也可以选择 另一台计算机上的共享 或 重定向到URL 将主目录指定为其他计算机 但是 因为访问其他计算机资源时需要指定访问权限 从而导致Web访问的复杂性 所以 一般情况下不建议这样使用 设置默认文档 单击 文档 选项卡 如图12 9所示 每个网站都有个主页 当在Web浏览器中输入该Web网站的地址时 将首先显示主页 默认文档即为Web网站的主页 如果系统未设置默认文档 访问网站时必须输入指定主页文件名的URL 统一资源定位符 如 12 3 2通过向导创建Web站点 1 打开 Internet信息服务 IIS 管理器 管理控制台 在左侧窗格中选择 网站 单击鼠标右键 在快捷菜单中选择 新建 级联菜单的 网站 命令 如图12 11所示 通过向导创建Web站点 2 弹出 网站创建向导 对话框 单击 下一步 按钮 3 输入网站描述信息 如 计算机学习园地 单击 下一步 按钮 4 在打开的对话框中 指定发布网站的Web服务器的IP地址和端口 然后单击 下一步 按钮 5 进入设置 网站主目录 对话框 指定网站的主目录 选中 匿名访问网站 前面的复选框 单击 下一步 按钮继续 6 进入设置 网站访问权限 对话框 设置网站的访问权限 可与选择默认设置 选中 读取 和 运行脚本 权限 单击 下一步 按钮 通过向导创建Web站点 7 单击 完成 按钮完成站点的创建 站点创建后 在IIS管理器中可以看到新建的站点是停止的 默认站点则处于运行状态 右键单击刚创建的 计算机学习园地 网站 在弹出的快捷菜单中选择 属性 在 文档 选项卡中添加网站主页文档index html 并将其移至第一个文件 然后单击 确定 按钮 8 在IIS管理控制台中把默认站点jsjgcx停止 并启动 计算机学习园地 网站 如图12 12所示 这样就成功地创建了网站 可以在IE浏览器中使用类似http 192 168 0 1地址访问该网站 12 3 3创建虚拟目录 在实际使用中 网站的内容可能来自多个目录 而不仅是主目录中的内容 要让网站可以访问多个目录的内容 一种方法是将其他目录的内容复制到主目录中 另一种方法是创建虚拟目录 将在不同目录下的物理目录映射到主目录中 虚拟目录可以与原有的文件不在同一个文件夹 同一磁盘甚至不在同一台计算机上 但用户访问时 就感觉在同一个文件夹中一样 用这种方法 用户不会知道文件在服务器中的位置 无法修改文件 从而提高安全性 使用IIS管理器创建虚拟目录 1 打开 Internet信息服务 IIS 管理器 管理控制台 右键单击想要创建虚拟目录的网站 在弹出的快捷菜单中选择 新建虚拟目录 2 单击 下一步 按钮 显示 虚拟目录别名 对话框 在 别名 文本框中输入虚拟目录的名称 如store 此别名是客户端浏览虚拟目录时所使用的名称 因此设置成有一定意义并便于记忆的英文名称 客户端浏览时一般使用类似这样的方式浏览 http 地址 虚拟目录名 如用http 192 168 0 1 store浏览本虚拟目录 使用IIS管理器创建虚拟目录 3 单击 下一步 按钮 显示 网站内容目录 对话框 在 路径 文本框中输入该虚拟目录欲引用的文件夹 如H Store 也可以单击 浏览 按钮查找 4 单击 下一步 按钮 显示 虚拟目录访问权限 对话框 通常选择默认的 读取 和 运行脚本 复选框 如图11 14所示 5 单击 下一步 按钮 完成虚拟目录的创建 返回 Internet信息服务 IIS 管理器 管理控制台 在网站下 添加了一个 Store 虚拟目录 如图12 15所示 通过这种方法 可以创建多个虚拟目录 12 3 4在一台宿主机上创建多个网站 在一台宿主机上创建多个网站也即虚拟网站 服务器 可以理解为使用一台服务器充当若干台服务器来使用 并且每个虚拟服务器都可拥有自己的域名 IP地址或端口号 虚拟服务器在性能上与独立服务器一样 并且可以在同一台服务器上创建多个虚拟网站 所以虚拟网站可以节约硬件资源 节省空间和降低能源成本 并且易于对站点进行管理和配置 虚拟网站的类型 创建多个网站的步骤 介绍使用主机头名称创建多个网站的步骤 1 规划好需要创建的网站名称 如要在主机PUMA IP地址为 192 168 0 1 上创建3个网站 www serverA com www serverB com www serverC com 2 在DNS服务器上分别创建3个区域serverA com serverB com和serverC com 然后分别在每个区域上创建名称为WWW的主机记录 区域和记录的创建方法见第8章 3 Internet信息服务 IIS 管理器 控制台中单击左侧窗格中的 网站 在弹出的快捷菜单中选择 新建 网站 命令 单击 下一步 按钮 输入网站的描述信息 如使用主机头名称serverA 单击 下一步 按钮 在 IP地址和端口设置 对话框中分别输入网站的IP地址和端口号 在 此网站的主机头 文本框中输入www serverA com 如图12 16所示 创建多个网站的步骤 4 单击 下一步 按钮 输入网站主目录所在的文件夹 如 E serverA 单击 下一步 按钮 5 设置 网站访问权限 对话框 设置默认的 读取 和 运行脚本 权限 如果要在网站上执行CGI或ASP程序 则应同时选择 执行 复选框 6 单击 下一步 按钮 完成www serverA com网站的创建 7 重复上述 1 6 的步骤 创建www serverB com网站 虚拟网站创建完成后 即可用www serverA com和www serverB com主机名来访问它们了 IIS6 0默认安装只支持静态页面 对于动态网站 如基于ASP或ASP NET的页面内容将不能正常显示 要支持动态网站 首先要做的就是打开其动态内容支持功能 即要想在IIS6 0上运行程序 必须使用IIS6 0的一种新特性 即Web服务扩展 或WebServiceExtension 依次选择 开始 程序 管理工具 Internet信息服务 IIS 管理器 在打开的左侧窗格中选择 Web服务扩展 将 ActiveServerPages 和 ASP NETv 1 1 4322 设置为允许 12 4配置支持动态网站和Web应用程序 支持动态网页 动态网站测试 1 用记事本新建Default asp文件 输入如下内容 2 在 jsjgcx 网站下创建虚拟目录Web 设置默认的 读取 和 运行脚本 权限 3 在Web浏览器上使用http 192 168 0 1 web访问的动态网页default asp 得到的结果如图12 19所示 动态网站测试 配置动态网站 1 启用会话状态 如果启用会话状态 服务器将为各个连接创建新的Session对象 这样便可以访问会话状态 也可以保存会话 如果不启用会话状态 便不能访问其状态并进行保存 并且不对事件进行处理 也不会发送Cookie文件 默认情况下 会话状态启用时设置会话超时为20分钟 图12 20ASP程序选项配置 2 启用缓冲 在ASP应用程序上启用缓冲指定了ASP应用程序的输出是否进行缓冲 在缓冲内容被传送到客户端浏览器之前 所有应用程序的输出都会被集中到缓冲区中 如果不启用缓冲 那么一旦ASP脚本的输出可用就会写入到客户端的浏览器上 默认情况下 启用缓冲 配置动态网站 3 启用父路径 启用父路径指定ASP页面是否允许相对于当前目录的路径 使用 表示法 如果设置为启用 则此属性可能会造成潜在的安全风险 因为包含路径可以访问应用程序根目录外的重要或机密的文件 父路径在默认情况下不启用 如何配置动态网站的这些属性 在 Internet信息服务 IIS 管理器 控制台中 鼠标右键单击需要配置的网站 选择 属性 菜单 选择 主目录 选项卡 单击 配置 按钮 出现 应用程序配置 对话框 单击 选项 按钮 可以配置相关选项 如图12 20所示 为了更有效 更安全地对Web服务器访问 需要对Web服务器上的特定网站 文件夹和文件授予相应访问权限 这些权限除了在IIS管理控制台中配置的Web权限外 还有IP地址访问权限 账户访问权限和NTFS访问权限等 所有这些权限均应得到满足 否则客户端无法访问Web服务器 访问控制的流程如下 1 用户向Web服务器提出访问请求 2 Web服务器向客户端提出验证请求并决定采用所设置的验证方式来验证客户端的访问权 例如 Windows集成验证方式会要求客户端输入用户名和密码 如果用户名 密码错误 则登录失败 否则会看其他条件是否满足 12 5设置Web站点的权限 设置Web站点的权限 3 Web服务器验证客户端是否在允许的IP地址范围 如果该IP地址遭到拒绝 则请求失败 然后客户端会收到 403禁止访问 的错误信息 4 Web服务器检查客户端是否有请求资源的Web访问权限 如果无相应权限 则请求失败 5 如果网站文件在NTFS分区 则Web服务器还会检查是否有访问该资源的NTFS权限 如果用户没有该资源的NTFS权限 则请求失败 6 只有以上 2 5 均满足 用户端才能允许访问网站 12 5 1设置验证方法 通过设置IIS来验证或识别客户端用户的身份 以决定是否允许该用户和Web服务器建立网络连接 但是如果使用匿名访问 或NTFS权限设置不请求Windows账户的用户提供名称与密码 则不进行验证 IIS6 0的验证方式共有5种 分别是匿名验证 集成Windows身份验证 Windows域服务器的摘要式身份验证 基本身份验证和 NETPassport身份验证 匿名验证 匿名验证可让用户随意访问Web服务器 而不需要提示用户输入用户名和密码 当用户端试图连接Web服务器时 Web服务器会指定一个匿名账户 IUSR computername 如IUSR PUMA 与客户端建立HTTP连接 IUSR computername账户会加入到计算机上的Guests组中 一般来说 用户访问互联网上的Web服务器时 一般都使用此匿名账户来进行连接 匿名验证 IIS默认启动了匿名账户 在使用其他验证方法之前 首先会尝试使用匿名账户访问Web服务器 关于匿名账户的启用步骤如下 1 在 Internet信息服务 IIS 管理器 控制台中 鼠标右键单击需要配置的网站 选择 属性 菜单 选择 目录安全性 选项卡 如图12 21所示 2 在身份验证和访问控制组中 单击 编辑 按钮 出现如图12 22所示的对话框 在 身份验证方法 对话框中选择 启用匿名访问 若启用匿名访问的同时启用了其他的验证方法 IIS会先使用 匿名 验证 有时 虽然同时启用了匿名访问和集成Windows身份验证 但浏览器还会提示用户输入用户名和密码 这是因为该匿名账户没有本地登录的权限 基本身份验证 基本身份验证是绝大多数WWW浏览器都支持的标准HTTP方法 如果采用此验证方式 那么客户端访问时会看到如图12 23所示的对话框 用户可在其中输入被指定的WindowsServer2003账户的用户名和密码 如果输入三次都错误的话 IIS服务器将会返回HTTP401 1未授权访问页面的错误信息 但这种验证方式并不是很安全的 用户名和密码是以ASCII码明文方式传送 所以它只能用于安全性要求不高的环境 摘要式身份验证 摘要式身份验证提供与基本验证相同的功能 但它以不同的方式传输验证信息 验证信息是通过哈希运算后生成 信息摘要 提交给服务器端验证的 从而保证了用户名和密码在网上传输的安全性 摘要式身份验证只有域控制器才支持 因此适用于有ActiveDirectory的网络环境 集成Windows身份验证 集成的Windows身份验证是一种安全的验证形式 因为用户名称和密码不用跨越网络传送 当启用集成Windows身份验证时 浏览器会通过一种加密机制来验证计算机的Windows账户密码 与基本身份验证不同 集成Windows身份验证开始时并不提示用户输入用户名和密码 客户机上的当前Windows用户信息可用于集成Windows身份验证 如果开始时的验证交换无法识别用户 则浏览器提示用户输入Windows账户用户名和密码 并使用集成Windows身份验证进行处理 客户端继续提示用户 直到用户输入有效的用户名和密码或关闭提示对话框为止 证书验证 可以针对以下两种情况用Web服务器的SecureSocketsLayer SSL 安全套接字层 安全功能 Web站点提供服务器证书让用户在传输个人敏感数据 例如信用卡号码 前先验证该Web站点 而客户在请求Web站点的数据时则使用客户端证书供Web站点验证 SSL验证会在登录的过程中 检查Web服务器和浏览器所送出的加密的数字密钥的内容 12 5 2Web服务器权限与NTFS权限 为了更有效 更安全地对Web服务器访问 需要对Web服务器上的特定网站 文件夹和文件授予Web服务器权限 与NTFS文件系统权限 只适用于有效Windows账户的特定用户或用户组 不同 Web服务器权限适用于访问网站的所有用户 而不管这些用户具有什么样的特定访问权限 Web权限 站点的Web服务器权限配置如图12 24所示 主要权限有 1 脚本资源访问 包含脚本的源代码 如ASP程序中的脚本 此权限只有在授予 读取 或 写入 权限时才可用 需要注意的是 如果允许脚本资源访问 用户将可以从ASP程序的脚本中查看到敏感信息 如用户名和密码 并且能够更改的服务器上运行的源代码 但这会严重影响服务器的安全和性能 建议使用单个的Windows集成的身份验证或更高级别的身份验证方式来处理对此类信息的访问 2 读取 此权限允许用户查看或下载文件或文件夹及其相关属性 读取 权限默认情况下是选中的 3 写入 此权限允许用户把文件及其相关属性上载到Web服务器启用的文件夹中 或允许用户更改启用了写入权限的文件的内容或属性 4 目录浏览 此权限将允许用户查看虚拟目录中的文件和子文件夹的超文本列表 Web权限 5 记录访问 此权限在日志文件中记录对此文件夹的访问 只有在为网站启用了日志记录才会记录日志条目 6 索引资源 此权限允许Microsoft索引服务在网站的全文索引中包含该文件夹 授予此项权限后 用户将可以对此资源执行查询 NTFS权限 Web服务器依靠NTFS权限来确保个别文件和目录不会受到未经授权访问 Web服务器权限适用于所有的用户 而NTFS权限则用来明确定义用户访问内容的资格 以及处理内容的方式 可以通过设置NTFS的访问权限来控制对Web服务器目录与文件的访问 也可以使用NTFS权限来定义希望授予具有合法Windows账户的特定用户及用户组的访问等级 如果要避免未经授权的访问 就必须适当的设置文件与目录的权限 设置好NTFS权限之后 需要再对Web服务器进行设置 使用户访问受控制的文件前 先行识别 或验证 其身份 可设置服务器的验证功能 请求用户在登录时必须具有合法的Windows账户名称及密码 NTFS权限与网站结合的例子 1 在IIS中设置好站点的主目录 IP地址 端口和默认文档 2 在 计算机管理 或ActiveDirectory中添加linite用户 3 在如图12 22的身份验证方法对话框中设置禁止匿名访问 允许Windows集成身份验证 4 在IE浏览器中输入http 192 168 0 1 即出现如图12 23所示的要求输入用户名和密码的对话框 5 输入Windows用户名linite及相应的密码 还是无法访问 输入三次后IE浏览器出现未授权错误 HTTP错误401 3 未经授权 访问由于ACL对所请求资源的设置被拒绝 NTFS权限与网站结合的例子 6 设置linite用户对e jsjgcx具有相应NTFS访问权限 如图12 25所示 7 在IE浏览器中输入http 192 168 0 1 再输入用户名linite及相应密码 则访问一切正常 12 6FTP服务器的安装与配置 FTP是FileTransferProtocol 文件传输协议 的缩写 专门用于文件传输服务 利用FTP可以传输文本文件和二进制文件 FTP是Internet上出现最早 使用也最为广泛的一种服务 是基于客户机 服务器模式的服务 通过该服务可在FTP服务器和FTP客户端之间建立连接 实现FTP服务器和FTP客户端之间的文件传输 文件传输包括从FTP服务器下载文件和向FTP服务器上传文件 FTP服务分服务器端和客户端 构建FTP服务器的软件常见的有IIS自带的FTP服务组件 Serv U和Linux下的vsFTP wu FTP等 12 6 1配置FTP服务器 FTP服务器的配置较简单 主要需要设置的是站点的IP地址 端口 主目录 访问权限等 默认FTP站点 的主目录所在的默认文件夹为 Systemdriver inetpub ftproot 用户不需要对FTP服务器做任何修改 只要将想实现共享的文件复制到以上目录即可 这时 允许来自任何IP地址的用户以匿名方式访问该FTP站点 由于默认状态下对主目录的访问为只读方式 所以用户只能下载而无法上传文件 FTP站点 选项卡 安全账户 选项卡 消息 选项卡 主目录 选项卡 目录安全性 选项卡 在选中 目录安全性 选项卡的 FTP站点属性 对话框中 如图12 31所示 可以设置特定IP地址的访问权限 来阻止某些个人或群组访问服务器 对于非常敏感的数据 或者想通过FTP传输实现对Web站点的更新 仅有用户名和密码的身份验证是不够的 利用IP地址进行访问限制也是一种非常重要的手段 这不仅有助于在局域网内部实现对FTP站点的访问控制 而且更利于阻止来自Internet的恶意攻击 通过指定允许或禁止访问的IP地址 子网掩码 一台或多台计算机的域名 就可以控制对FTP资源 如站点 虚拟目录或文件 的访问 12 6 2FTP虚拟站点与虚拟目录 1 FTP虚拟站点创建FTP虚拟站点的步骤 1 在 Internet信息服务 IIS 管理器 窗口中 鼠标右键单击 默认FTP站点 按钮 在弹出的快捷菜单中选择 新建 FTP站点 命令 如图12 32所示 2 显示 FTP站点创建向导 对话框 单击 下一步 按钮 打开 FTP站点描述 对话框 填写 FTP站点描述 如 MyFTPSite 单击 下一步 按钮继续 3 在打开的 IP地址和端口设置 对话框中 为FTP服务器指定一个静态IP地址 并设置默认TCP端口号21 如图12 33所示 单击 下一步 按钮继续 创建FTP虚拟站点的步骤 4 在如图12 34所示的 FTP用户隔离 对话框中指定FTP服务器隔离用户的方式 如果用户可以访问其他用户的FTP主目录 选择 不隔离用户 如果不同用户只能访问不同的FTP主目录 则选择 隔离用户 如果根据活动目录中的用户来隔离FTP主目录 则选择 用AcitveDirectory隔离用户 单击 下一步 按钮继续 5 在显示 FTP站点主目录 对话框中 输入主目录的路径 单击 下一步 按钮 12 6 3FTP客户端的使用 在建立FTP站点并提供FTP服务后 就可以为用户提供下载或上传服务了 可以用3种方式来访问FTP站点 分明是命令行状态的FTP命令 使用Web浏览器和FTP客户端软件 FTP命令 可以在客户端的命令提示符下 使用Windows自带的FTP命令连接到FTP服务器上 连接方法是 选择 开始 运行 命令 输入 CMD 在Windows98下为COMM