Что такое код iis возможности


Содержание

IIS 7.0: краткая инструкция для системного администратора. Часть 1 – пpoверка результатов установки.

Продолжаем говорить об процедуре установки веб сервера под управлением IIS 7.0 на Windows Server 2008, которая была рассмотрена в предыдущем посте.

Теперь перейдем к проверке результатов установки IIS 7.0. Самый простой вариант проверить, работает ли веб сервер, особенно – находясь за локальной консолью, это обратиться из любого веб-браузера по адресу http://localhost/. Далее, проверить с локальной и удаленной машины по IP-адресу.

При установке IIS 7.0 создается веб сайт по умолчанию, сконфигурированный на ответ при любом URL-запросе, поступившем на порт 80 любого сетевого интерфейса сервера, на котором установлен IIS 7.0. Т.е. запрос браузера типа http://localhost/ должен быть обработан как запрос к веб сайту по умолчанию. Содержимое сайта по умолчанию представляет собой 2 файла – iisstart.htm и welcome.png (который отображается в iisstart.htm), которые и будут открыты клиентом. Поэтому результат обращения к localhost будет иметь следующий вид:

Теперь, если все хорошо (если «плохо» – поиск неисправностей и ошибок мы рассмотрим позже, в отдельном разделе), убедимся, что все модули, которые должны быть установлены по умолчанию – подключены и работают, а базовая конфигурация – отвечает нашим требованиям.

1. Основным инструментом управления IIS 7.0 является консоль Internet Information Services (IIS) Manager, которая устанавливается по умолчанию, вместе с ролью Web Server в Windows Server 2008 (IIS Management Console, раздел Management Tools при установки модулей). После соответствующей установки консоль управления IIS 7.0 можно найти, как дочернюю запись внутри раздела Web Server (IIS) в разделе ролей Server Manager, либо как пункт в разделе Administrative Tools меню Start, либо выполнив команду inetmgr (в командной строке или через пункт Run того же меню Start).

2. При старте консоль Internet Information Services (IIS) Manager открывается с «домашней страницей», на которой в виде панелей находится информация о том, к каким веб серверам и веб сайтам подключался пользователь консоли до этого (если консоль только установлена вместе с ролью Web Server (IIS), то в консоле присутствует запись только о локальном веб сервере), также присутствуют ссылки для выбора подключения к другим серверам, веб сайтам, веб приложениям и папкам, а также ссылки на внешние ресурсы, посвященные IIS.

3. Кроме того, на домашней странице присутствует панель новостей, которые подгружаются как новостная RSS-лента с сайта www.iis.net, если администратор нажимает на ссылку Enable IIS News. Новости, кстати, очень полезные, рекомендуется включать и использовать эту информацию в повседневной работе.

4. При подключении к какому либо веб серверу IIS 7.0 консоль Internet Information Services (IIS) Manager представляет его конфигурацию, как логическую структуру – уровень самого веб сервера, чьи настройки являются глобальными и распространяются по умолчанию на все веб сайты, пулы приложений и, сообственно, веб сайты со своими настройками. Эта конфигурационная иерархия, в виде разворачивающегося дерева, начинающегося с узла с именем (или IP) веб сервера, отображается в левой панели консоли Internet Information Services (IIS) Manager.

5. Если выбрать какой-то узел в дереве конфигурации, то в центральной панель консоли Internet Information Services (IIS) Manager будут отображены в виде отдельных иконок все параметры (а также – модули или списки), соответствующие конфигурации выбранного узла, а в правой панели – набор контекстных задач и операций, которые администратор (или пользователь) может выполнить над данным узлом.

6. Выбираем верхний узел, узел веб сервера, в котором представлены иконки, отвечающие за параметры работы модулей всего веб сервера, эти параметры наследуются по умолчанию для всех веб сайтов. Убеждаемся, что все необходимые модули установлены и отображены. Снимок экрана при установке конфигурации по умолчанию приведен ниже.

7. В правой панели при выборе узла веб сайта отображаются все операции, возможные для выполнения непосредственно с веб сервером (службами IIS в целом) в данном конексте – перезапуск, останов, запуск, переход к пулам приложений и сайтам.

8. Убеждаемся, что пулы приложений (Application Pools) сконфигурированы. Пулы приложений будут рассмотрены позже. Пулы являются дочерним узлом в дереве конфигурации для узла веб сайта. При установке по умолчанию создается только один пул – DefaultAppPool, в котором регистрируется одно приложение – сконфигурированный по умолчанию веб сайт, работу которого мы уже проверили. См. снимок экрана.

9. Ниже узла пулов приложений в дереве конфигурации находится узел веб сайтов (Sites), при выборе которого отображается список работающих на данном веб сервере веб сайтов. По умолчанию создается один веб сайт под названием Default Web Site с внутренним номером (ID) равным 1, «привязанный» на 80 порт всех IP-адресах всех сетевых интерфейсов к любому URL в запросе, и использующий в качестве домашнего каталога своего контента каталог с путем %SystemDrive%\inetpub\wwwroot (что при установленном Windows Server 2008 на диск C: соответствует C: \inetpub\wwwroot).

10. При выборе в левой панели консоли узла веб сайта (Default Web Site), также, как и в случае с выбором узла веб сервера, в центральной панели отображаются иконки для доступа к параметрам конфигурации различных модулей, на этот раз – конкретного веб сайта. Убеждаемся, что также, как и в случае со всем веб сервером, все необходимые модули представлены в центральной панели.

11. В правой панели консоли, аналогично панели для всего веб сервера, отображаются контекстные команды, правда, на этот раз их список серьезно расширен – старт/стоп/перезапуск процесса веб сайта, просмотр его базовых и расширенных настроек (а не параметров модулей), настройки привязки (адрес, порт, доменное имя – по сочетанию которых будет отвечать на запросы данный веб сайт) и т.п.

В принципе, для базовой проверки работоспособности и целостности установки данных шагов вполне достаточно. Но если вы хотите поближе познакомиться с «полным» набором настроек и конфигурацией «по умолчанию» – то можете проделать следующие шаги.

12. Выберите узел веб сервера в дереве конфигурации в левой панели консоли Internet Information Services (IIS) Manager. В центральной панели кликните на иконку Modules. В центральной панели откроется следующий полный список установленных по умолчанию модулей, представляющий из себя перечень .dll файлов.

13. Чтобы убедиться, что веб сервер будет работать только со статическими файлами (по умолчанию) или только с нужными вам расширениями – выберите снова узел веб сервера и в центральной панели кликните на иконку Handler Mappings. Откроется список «привязки» расширений вызываемых на веб сайте пользователем файлов и привязанных к данным расширениям модулям, выполняющим обработку данного вызова. Обратите внимание, что по умолчанию все файлы привязаны к модулю обработки статических файлов (т.е. запрос какого либо скриптового или исполнимого файла из домашнего каталога веб сайта не будет приводить к его исполнению на сервере, а лишь к передаче данного файла пользователю), а также к модулям документа по умолчанию и просмотра каталога. С этими модулями мы познакомимся позже.

14. И, наконец, для того, чтобы убедиться в безопасности веб сайта – проверьте параметры его аутентификации. Для этого выбираем иконку Authentication в той же центральной панели. По умолчанию никаких модулей аутентификации веб сервер (и веб сайты) не поддерживает. Т.е. все подключения для него анонимны. В чем безопасность? Это значит, что пользователям будет доступен только то содержимое домашних каталогов сайтов – файлы и подкаталоги – которые имеют NTFS разрешения для чтения «всем» (Everyone). В случае, если таких разрешений файл не имеет, пользователю будет отказано в доступе с соответствующей ошибкой 401. Если же пользователь попробует каким-то образом аутентифицироваться в процессе HTTP запроса на сервере – то поскольку никаких модулей аутентификации, кроме анонимного, на веб сервере не установлено – он снова получит соответствующую ошибку 401.

Такие настройки безопасности по умолчанию – только анонимные пользователи – позволяют гарантировать защиту данных на сервере, для которых требуются соответствующие разрешения, а также – что механизм аутентификации веб сервера (которого в данном случае просто нет) не будет использован для перебора паролей и прочих попыток «взлома» через учетные записи.

Итак, сервер установлен и его работоспособность проверена. Теперь достаточно поместить какой либо статический контент (файлы HTML, изображения, документы и файлы для выгрузки пользователями) в домашний каталог его сайта по умолчанию (напоминаю, что это в большинстве случаев C:\inetpub\wwwroot) – и веб сайт под управлением IIS 7.0 начнет работать. Ну, и конечно, для внешних сайтов – не забыть прописать их A-record в вашей доменной зоне на публичном DNS сервере.

В следующей части – установка IIS 7.0 в режиме командной строки, особенности работы IIS 7.0 на Server Core.

ИТ База знаний

ShareIT — поделись знаниями!

Полезно

Узнать IP — адрес компьютера в интернете

Онлайн генератор устойчивых паролей

Онлайн калькулятор подсетей

Калькулятор инсталляции IP — АТС Asterisk

Руководство администратора FreePBX на русском языке

Руководство администратора Cisco UCM/CME на русском языке

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Похожее и популярное

Пошаговый ввод в домен Windows 10

Apache или IIS – сравнение и преимущества

Погружение в Iptables – теория и настройка

Как восстановить пароль от root в CentOS 7

Apache или IIS – сравнение и преимущества

Про веб — сервера

Если вы, или ваша организация намереваетесь создать Web – сервис, будь то сайт или приложение, то так или иначе вы обратите внимание на наиболее популярные на рынке платформы для создания web – серверов – Apache или Internet Information Services (IIS), которые занимают около 70% от всей доли интернета.

Многие сравнивают противостояние этих двух платформ как соперничество между Microsoft и Linux. В данной статье мы беспристрастно и объективно рассмотрим плюсы и минусы этих платформ.

Apache

Apache HTTP web – сервер – полное название платформы, распространяемой организацией Apache Software Foundation как открытое программное решение или проще говоря «open-source». Программное обеспечение сервера распространяется абсолютно бесплатно и его лицензия позволяет конечному пользователю редактировать исходный код, чтобы адаптировать Apache под свои нужды, а так же, внести вклад в будущее развитие серверной платформы.

Веб – сервер Apache может работать на всех популярных операционных системах, но чаще всего он используется в рамках Linux. Именно в паре с СУБД MySQL и PHP – скриптами образуется известный комплекс программного обеспечения LAMP Web – сервер (Linux, Apache, MySQL, PHP), который повсеместно используется в сети интернет.

В рамках исследования Netcraft, проводимого в феврале 2014 года, web – сервер Apache занимал 42% рынка. Однако стоит отметить, что в том же июне 2013 года этот показатель составлял 54% и 59% в 2010 году. Это связано с улучшением позиций основного конкурента IIS и ростом позиций Nginx.

С точки зрения функционала, Apache имеет впечатляющие характеристики. Многие функции реализуются как совместимые модули, расширяющие базовый функционал, диапазон которых варьируется от поддержки языков программирования до обеспечения различных схем аутентификации. Например, это могут быть языки Perl или Python. Модули аутентификации включают в себя элементы управления доступом к различным директориям сервера, пароль, установление подлинности и так далее. Многие другие функции, такие как Secure Sockets Layer (SSL) или TLS (Transport Layer Security) так же обеспечивается модульной системой. Помимо этого, Apache поддерживает возможность развернуть несколько web – сайтов, или графических интерфейсов приложений. Веб – сервер сжимает страницы, чтобы уменьшить их размер, что обеспечивает высокую скорость их загрузки. Наряду с высоким показателем безопасности, это является конкурентной чертой Apache.

Выделим два основных недостатка Apache HTTP web – сервера:

  • Перенасыщенность функционалом: Еще раз стоит подчеркнуть, что Apache действительно чрезвычайно богат на функции, возможности и инструментарий. Но, к сожалению, в рамках типовой инсталляции пользователь задействует только 10 % от этих функций.
  • С точки зрения архитектуры, Apache, работает по модели «процессов». Это означает, что для каждого соединения Apache выделяет отдельную «коннекцию», или другими словами поток данных, что вызывает значительную загрузку. Конкуренты, а именно асинхронные платформы и сервера работающие по модели «событий», имеют преимущество обработки нескольких процессов одновременно в рамках одной транзакции.

Internet Information Services (IIS) это веб – сервер разработки компании Microsoft и занимает второе место на рынке вслед за Apache. Платформа IIS будет работать только с Windows и поставляется в комплекте с этой операционной системы. В отличие от Apache, где основную поддержку продукта предоставляет сообщество разработчиков, IIS официально поддерживается компанией Microsoft. Разработка этого продукта не так стремительна по сравнению с Apache, но как было сказано выше, одним из главных конкурентных преимуществ IIS является официальная поддержка компании Microsoft, что очень важно для крупного бизнеса. Многие специалисты в области ИТ признают IIS одним из немногих коммерческих продуктов, который по настоящему может быть конкурентом «open-source» решению.

Постоянная доработка безопасности, производительности и удобства администрирования позволили увеличить долю присутствия на рынке IIS с 21% в 2010 году до 32% в феврале 2014 (ранее указанное исследование компании Netcraft). Самые большие продвижения были сделаны с точки зрения безопасности. Версия IIS 6.0 была уязвима к атакам: известный вирус Code Red, который заменял содержимое web – сайта на баннер об авторах вируса. Важно отметить, что многие уязвимости проявляются на уровне операционной системы.

Как и Apache, IIS использует различные расширения для внедрения дополнительного функционала. Например, работа с файлами по FTP, маршрутизация с помощью Application Request Routing (ARR), который позволяет вести балансировку нагрузки и повышать отказоустойчивость, различные медиа – компоненты, аудио, видео, динамическое изменение URL и прочие. Веб – сервер IIS предлагает более высокую совместимость с программной платформой .NET Framework и ASPX (Active Server Pages) чем Apache. Важно, что в IIS поддерживаются такие функции как мониторинг, отслеживание запросов в режиме реального времени. Конечно, IIS можно назвать «условно» бесплатным, так как распространяется он в комплекте с Microsoft Windows Server.

С точки зрения производительности, IIS уступает Apache, в виду архитектурной особенности и строгой работы на Windows.

Подведем итог

И IIS и Apache имеют свои плюсы и минусы. Определиться с web – сервером поможет учет следующих факторов: Сервер IIS должен быть приобретен в комплекте с Windows, Apache не имеет официальной технической поддержки, но имеет высокие показатели безопасности, IIS отлично совместим с .NET и так далее. В таблице ниже приведены некоторые сравнительные характеристики:

Опция Apache IIS
Поддерживаемая ОС Windows, Linux, Unix, Mac OS Windows
Техническая поддержка Сообщество Корпоративная
Стоимость Полностью бесплатно Покупается в комплекте с Windows
Разработка «open-source» Проприетарное решение
Безопасность Хорошо Отлично
Производительность Хорошо Хорошо
Рынок 42% 32%
  • WEB сервер Apache
  • IIS
  • 5895
  • 83

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас :( Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации :) Просто оставьте свои данные в форме ниже.

Windows Server 2008 — новая серверная операционная система

Мы продолжаем наше знакомство с новой серверной операционной системой компании Microsoft — Windows Server 2008. Предыдущие части данного обзора были посвящены следующим темам:

  1. основные понятия, связанные с серверной операционной системой, роли, которые может выполнять Windows Server 2008, а также система управления сервером — Server Manager (см. КомпьютерПресс № 4’2007);
  2. вариант установки Windows Server 2008 с минимальным набором функциональности — Server Core, транзакционная файловая система (TxF) и транзакционный реестр (см. КомпьютерПресс № 5’2007);
  3. расширения, появившиеся на уровне ядра операционной системы, процессы и потоки, изменения в сетевом стеке, а также вопросы, связанные с порядком загрузки операционной системы (см. КомпьютерПресс № 6’2007);
  4. технологии, связанные с управлением инфраструктурой и приложениями, выполняемыми на ее основе, — Windows Eventing 6.0, Windows Installer 4.0, Windows PowerShell, Microsoft Management Console 3.0 и Windows Task Scheduler 2.0 (см. КомпьютерПресс № 8’2007);
  5. Windows Server 2008 в роли сервера приложений (см. КомпьютерПресс № 9’2007).

В этой части мы продолжим рассмотрение Windows Server 2008 в роли сервера приложений и обратим внимание на компонент, известный под названием Internet Information Services 7.0 (IIS 7). Данный компонент — это больше, чем просто web-сервер. IIS 7 — это защищенная, простая в управлении платформа для разработки и хостинга web-приложений и сервисов. Internet Information Services 7.0 (IIS 7) содержит большое число новинок и расширений, которые могут быть интересны как для ИТ-специалистов, так и для компаний, занимающихся хостингом, и для разработчиков.

Internet Information Services 7.0 для ИТ-специалистов

Для ИТ-специалистов Internet Information Services 7.0 представляет собой надежный, защищенный и легко управляемый web-сервер. Благодаря настраиваемой процедуре установки IIS 7, администраторы могут существенно уменьшить область атак (attack surface), минимизировать число обновлений и снизить объем ресурсов, требуемых для развертывания web-инфраструктуры. Web-сайты, работающие под управлением IIS 7, а также выполняемые на сервере приложения, более защищены от внешних воздействий за счет автоматической изоляции, конфигурации и генерации уникальных идентификаторов процессов.

Управление сервером IIS 7 стало гораздо проще — администраторам стала доступна утилита, позволяющая выполнять основные настройки в виде серии упрощенных диалоговых панелей. Эта утилита, а также новая утилита командной строки, предназначенная для администрирования, WMI-провайдер и набор программных интерфейсов для управляемого кода (.NET API) делают администрирование web-сайтов и приложений более эффективным. В IIS 7 также реализовано более простое управление web-фермами — конфигурация web-сервера, код приложения и его содержимое могут храниться на централизованном файл-сервере и совместно применяться несколькими web-серверами.

Администраторы также могут делегировать административные полномочия владельцам сайтов, которые могут конфигурировать web-сервер через файл web.config или посредством утилиты Remote IIS Manager и удаленного соединения через HTTP/SSL при работе под управлением Windows Vista, Windows XP, Windows Server 2003 и Windows Server 2008.

Internet Information Services 7.0 для web-хостеров

Для web-хостеров Internet Information Services 7.0 — это эффективный по затратам, масштабируемый web-сервер, позволяющий создавать решения для хостинга, предназначенные для большого числа потребителей. Снижение затрат на хостинг с использованием IIS 7 достигается за счет применения новой, масштабируемой архитектуры, которая поддерживает хостинг тысяч web-сайтов на одном сервере. IIS 7 позволяет web-хостерам обслуживать большее число пользователей за счет использования нового модуля — FastCGI, который обеспечивает быструю и надежную обработку для PHP и других web-технологий. Входящий в состав IIS 7 FTP-сервер обеспечивает хостеров полностью интегрированным web/FTP-сервером, который поддерживает все современные механизмы публикации, включая FTP/SSL и аутентификацию на базе членства (membership-based authentication).

Internet Information Services 7.0 для разработчиков

И наконец, для разработчиков Internet Information Services 7.0 представляет собой гибкий расширяемый web-сервер, который может использоваться для разработки и развертывания web-приложений на Windows Vista и Windows Server 2008. В IIS 7 поддерживается полноценная модульная архитектура, состоящая более чем из 40 модулей, каждый из которых базируется на программном интерфейсе, обеспечивающем расширяемость функциональности. Разработчики могут создавать новые модули или замещать существующие с помощью как традиционных языков программирования, так и .NET-языков.

Помимо этого разработчики имеют возможность расширения конфигурации IIS 7 и создания утилит для управления сервером, которые могут быть встроены в новую административную утилиту — IIS Manager. Разработчики могут создавать приложения, применяя различные программные интерфейсы — IIS 7 поддерживает «классическую» технологию Active Server Pages (ASP) и ASP .NET с возможностью расширения функциональности сервера через библиотеку классов .NET Framework, обеспечивает такие сервисы ASP .NET, как аутентификация на базе форм и кэширование выходной информации, которые доступны для всех типов приложений.

Кроме того, IIS 7 поддерживает большинство современных технологий создания web-приложений, в том числе PHP, PERL, ColdFusion, Ruby и ряд других. Поддержка системы распределенной конфигурации позволяет хранить настройки в файлах Web.config — таким образом, приложения могут быть предварительно сконфигурированы и развернуты на IIS 7 командой xcopy. Такой подход позволяет разработчикам гораздо быстрее обнаруживать ошибки, снижать время на разработку и развертывание, минимизировать время простоя сайтов.

После того как мы узнали о том, какая новая функциональность в Internet Information Services 7.0 может представлять интерес как для ИТ-специалистов, так и для компаний, занимающихся хостингом, и для разработчиков, рассмотрим основные новинки в IIS 7 более подробно.

Основные новинки в Internet Information Services 7.0

В настоящее время одним из самых популярных, надежных и масштабируемых web-серверов является IIS 6. За примерами далеко ходить не надо: построенный на Internet Information Services 6.0 сайт MySpace обслуживает 23 млрд обращений в месяц, сайт Microsoft.com (до недавнего времени работавший под управлением IIS 6) обслуживает 10 тыс. обращений в секунду и 300 тыс. одновременных соединений, а сайт Match.com (работающий на IIS 6) — 30 млн обращений в день.

С момента выпуска IIS 6 не было обнаружено ни одной критической уязвимости, а по данным port80software.com, более чем 54% компаний, входящих в список Fortune 1000, используют IIS 6 для обеспечения каждодневных бизнес-операций.

Новая версия web-сервера, Internet Information Services 7.0, продолжает развитие web-платформы Microsoft и включает ряд расширений и дополнений, которые делают ее еще более надежной, управляемой, расширяемой и способной к решению новых задач, возникающих перед разработчиками и администраторами (рис. 1).

Рис. 1. Основные новинки в Internet Information Services 7.0

Модульная архитектура и расширяемость

Новая архитектура web-сервера основана на компонентном подходе, позволяющем обеспечить гибкость и расширяемость. Это означает, что функциональность IIS 7 реализована в виде набора модулей, которые в зависимости от тех или иных задач могут быть не только добавлены или удалены, но и полностью заменены на модули, созданные разработчиками. Потребители сервисов могут существенно сократить затраты на обеспечение безопасности, развертывание, установку обновлений, имея при этом всю функциональность web-приложений, требуемую для решения их задач.

Модульную архитектуру, реализованную в IIS 7, можно условно разделить на две группы: модульный канал обработки запросов (pipeline) и модульный интерфейс администрирования. Модульный канал обработки запросов предоставляет набор более чем из 40 модулей, обеспечивающих функциональность сервера. При необходимости модули могут быть удалены или заменены на самостоятельно разработанные, что может потребоваться в тех случаях, когда мы хотим уменьшить область возможных внешних атак, снизить ресурсы, используемые для поддержания функционирования сервера, или увеличить производительность. Как мы уже отмечали, самостоятельно разрабатываемые модули могут быть написаны как на традиционных языках, так и на «управляемом» коде. В последнем случае разработчики могут использовать технологии .NET для всего процесса разработки, интегрироваться с инфраструктурой и легко включать в состав решений на базе IIS поддержку новых технологий.

Чтобы понять преимущества модульной архитектуры, вспомним, как происходит обработка запроса в IIS 6. Данный web-сервер является монолитным с точки зрения дизайна — вся его функциональность реализована в виде одной динамически загружаемой библиотеки — w3core.dll. Такой подход затруднял настройку и отладку. Например, если вам не требовалась поддержка Digest Authentication, вы могли отключить эту опцию, но код, обеспечивающий данную функциональность, все равно загружался в память. Технология ASP .NET активизировалась при обращении к ресурсам с соответствующими расширениями имен файлов и загружалась в рабочий процесс сервера (W3WP) по требованию, через соответствующий обработчик запросов — ISAPI Handler. Это происходило на этапе обработки запросов, когда совершилось уже несколько ключевых для обработки событий, включая, например, аутентификацию. Добавление функциональности было возможно только через создание ISAPI-фильтров, обрабатывающих соответствующие входящие и исходящие запросы. Создание таких фильтров требовало определенных усилий — можно было использовать только язык С++ (рис. 2).

Рис. 2. Обработка запросов в IIS 6

В IIS 7 монолитная функциональность IIS 6 была разделена более чем на 40 модулей. Эти модули регистрируют себя как обработчики событий, возникающих при прохождении запроса, таких как аутентификация, выполнение, отсылка результата обработки и т.п. Поскольку IIS 7 может автоматически загружать .NET Framework в рабочий процесс, модули, созданные на традиционном и «управляемом» коде, могут совместно обслуживать поток запросов. Это означает, что можно создавать HTTP-модули и обработчики и регистрировать их в IIS. Такие модули выполняются внутри IIS и могут обрабатывать любые типы запросов, а не только запросы, обращенные к ASP .NET (рис. 3).

Рис. 3. Обработка запросов в IIS 7

Напомним, в чем заключается различие между обработчиками и модулями. Модули обеспечивают обработку всех запросов; примеры — модуль аутентификации, модуль сжатия и т.п. Обработчики предоставляют сервисы для определенных расширений имен файлов — могут быть ISAPI-обработчики (*.dll) и статические обработчики (*.htm, *.jpg, *.gif и т.п.). В IIS 7 все модули и обработчики могут быть реализованы как на традиционном, так и на управляемом коде. Эти модули и обработчики могут работать либо в рамках интегрированного пула приложения, либо с использованием управляемого кода, либо в рамках классического пуля приложения, в котором используется способ вызова .NET, совместимый с IIS 6.

На рис. 4 показаны основные модули, входящие в состав IIS 7.

Рис. 4. Основные модули, входящие в состав IIS 7

Создание модуля на управляемом коде требует выполнения ряда шагов:

  1. Создание класса, реализующего интерфейс IHttpModule.
  2. Написание кода для метода Init, который инициирует модуль и подписывается на события.
  3. Написание кода для обработки событий, на которые модуль подписан.
  4. Реализация метода Dispose.
  5. Регистрация модуля в файле Web.config или в файле Applicationhost.config.

Шаблон модуля на управляемом коде выглядит следующим образом:

public class BasicAuthenticationModule : System.Web.

void Init(HttpApplication context)

На рис. 5 показаны основные события, которые могут обрабатываться в модулях.

Рис. 5. Основные события на уровне канала обработки

После того как класс модуля создан, в методе Init мы подписываемся на интересующие нас события:

public void Init(HttpApplication context)

// Подписаться на событие authenticate для

// Подписаться на событие EndRequest для дальней-

После того как модуль расширения создан, он должен быть добавлен в конфигурацию IIS 7 как глобальный модуль (файл Applicationhost.config); как локальный модуль (файл Application-host.config) — например:

или в файл Web.config:

При необходимости можно указать определенную последовательность выполнения модулей. Модули можно добавлять с помощью утилиты IIS Manager, пакетной утилиты APPCMD, через интерфейс WMI, с помощью утилиты PowerShell или программно, используя пространство имен Microsoft.Web.Administration.

Для создания обработчиков на управляемом коде необходимо выполнить следующие шаги:

  1. Создать класс, реализующий интерфейс IHttpHandler.
  2. Добавить код для метода ProcessRequest — этот метод получает параметр типа HttpContext, который обеспечивает доступ к встроенным контекстным объектам Request, Response и ряду других.
  3. Задать значение свойства IsReusable, определяющего, могут ли другие запросы использовать данный обработчик.
  4. Сконфигурировать обработчик в файле Applicationhost.config или web.config.

Второй механизм расширения — это модульный интерфейс. Как мы помним, утилита администрирования в IIS 6 на базе Microsoft Management Console (MMC) была не очень простой для подключения расширений. Новая утилита в IIS 7 — IIS 7 Manager (IISMGR) поддерживает модульный дизайн, позволяющий добавлять новые управляющие элементы, удалять и добавлять функциональность, добавлять страницы, созданные на базе Windows Forms, интегрировать конфигурацию приложений непосредственно в IISManager и систему конфигурации сервера.

Интеграция с .NET

Впервые в семействе web-серверов компании Microsoft в IIS 7 реализована полная интеграция с ASP .NET, что предоставляет разработчикам и администраторам ряд следующих преимуществ: облегчает администрирование и повышает безопасность приложений, обеспечивает доступ к функциональности .NET на уровне модулей на управляемом коде — аутентификация на базе форм, авторизация на уровне URL, кэширование .NET, применение ролевых провайдеров, использование новых программных интерфейсов для управления IIS 7, возможность развертывания приложений командой Xcopy.

В IIS 6 интеграция с ASP .NET происходила следующим образом: ASP.NET загружалась ISAPI-обработчиком как ISAPI-приложение. Отметим, что в обработчике запросов IIS 6 есть механизм аутентификации, но схожий механизм присутствует и в ASP .NET. В ASP .NET есть собственно отражение обработчиков, так же как и в IIS 6 есть свои обработчики ошибок, система кэширования. Все это есть и в ASP .NET, но работает по-иному, как показано на рис. 6. Такое дублирование приводит к непониманию, какой компонент в конечном счете будет обрабатывать различные активности (см. рис. 6).

Рис. 6. Интеграция с ASP .NET в IIS 6

В IIS 7 возможности ASP .NET перенесены в ядро обработки запросов (так называемое core pipeline). Это сделало возможным применение ASP .NET для всех типов запросов, а не только запросов к .NET-приложениям. Таким образом, если требуется использование аутентификации на базе форм для сайта на PHP, это возможно реализовать в IIS 7. Кроме того, поддержка .NET делает более быстрой возможность реализации новых функций и поддержки новых технологий. При создании модулей на управляемом коде, которые будут применяться в IIS 7, важно помнить о двух режимах, в которых они могут выполняться. В IIS 7 существует два пула приложений: классический, который используется в IIS 6 и вызывает ASP .NET через ISAPI-расширение, и интегрированный пул, когда CLR загружается для предоставления сервисов модулям и обработчикам на управляемом коде. Оба режима показаны на рис. 7.

Рис. 7. Два режима выполнения управляемого кода

В IIS 7 не поддерживается режим IIS 5 — Worker Process Isolation Mode, который позволяет использовать ISAPI-фильтры в режиме Read Raw Data — это невозможно из-за особенностей архитектуры IIS 7. Для поддержки такого режима потребуется применение IIS 6 в режиме совместимости с IIS 5.

Средства управления и администрирования

В состав IIS 7 входит набор различных средств администрирования, в том числе новый пользовательский интерфейс, новая утилита командной строки, новое пространство имен для программного управления и новый программный интерфейс для скриптинга.

Новое в IIS 7 средство администрирования — IIS Manager — предоставляет более эффективный способ управления web-сервером. Эта утилита поддерживает конфигурацию как IIS, так и ASP .NET, позволяет делегировать управление, управлять безопасностью, диагностикой и прочими функциями. К другим особенностям этой утилиты относится поддержка расширяемого интерфейса на основе .NET Framework, поддержка Windows- и не Windows-учетных записей при делегировании управления и возможность удаленного администрирования по HTTP/SSL.

Новая утилита командной стоки (appcmd) служит для администрирования сервера и может считывать и записывать конфигурационные настройки, обращаться к потокам обработки сайтов и приложений и выполнять другие действия, связанные с управлением сервером.

Для управления сервером в IIS 7 включен новый WMI-провайдер (root\WebAdministration), который обеспечивает доступ к конфигурационной информации и состоянию сервера из приложений на VBScript и JScript.

Для приложений на управляемом коде предоставляется новый программный интерфейс, реализованный в пространстве имен Microsoft.Web.Administration. Он может использоваться как для управления сервером, так и для доступа к информации о состоянии сервера, диагностической информации и конфигурации сервера. Ниже показан пример применения программного интерфейса для получения списка запущенных процессов и запросов:

ServerManager iisManager = new ServerManager();

foreach(WorkerProcess w3wp in iisManager. Worker-

foreach(Request request in w3wp.GetRequests(0)) <

Диагностика и обнаружение ошибок

Быстрое обнаружение и исправление ошибок — одна из новинок в IIS 7, реализованная на уровне новой подсистемы диагностики. Эта подсистема предоставляет администраторам детальную информацию по каждому запросу в реальном времени — с момента получения запроса сервером до его прохождения по всем элементам приложения. Эти возможности IIS 7 сокращают необходимость в анализе дампов и позволяют конфигурировать настраиваемые обработчики для URL. В этих обработчиках можно собирать информацию о времени, потраченном на обработку запроса (например: «записать в журнал все ответы с кодом 200 (ok), которые заняли более 15 с»), коды статуса и подстатуса HTTP (например: «записать в журнал все ошибки с кодом 500 для Invoice.aspx»), а также коды ошибок. Диагностикой можно управлять из интерфейса администратора, через WMI, программные интерфейсы, а также из пакетной утилиты Appcmd.

Помимо этого можно обрабатывать трассировочные события для модулей, обработчиков и ASP .NET-страниц. Преимущества трассировки в IIS 7, по сравнению с трассировкой на уровне ASP .NET, заключаются в том, что в IIS журналы сохраняются на диске, обрабатываются по запросу и обновляются в контексте всей обработки запроса. Таким образом, данные, записываемые в этих журналах, сохраняются в XML и могут быть преобразованы стандартными средствами XSL — данные из таких журналов более просты в потреблении другими утилитами и предоставляют структурированные структуры и метаданные.

Хостинг web-сервисов

Обычно IIS ассоциируется с web-сервером, обеспечивающим хостинг web-страниц и приложений, доступных web-браузерам по протоколу HTTP. В IIS 6 была введена концепция «пулов приложений» — мощной среды выполнения, задающей границы процессов для web-сайтов и приложений, идентификаторы процессов, а также способы повторного использования ресурсов, активации и завершения работы. Пулы приложения являются мощным средством для web-администраторов, позволяющим изолировать приложения и управлять их работой.

В IIS 7 подход, реализованный в IIS 6 для пулов приложений на уровне протокола HTTP, стал доступным и для других протоколов. Этот сервис, не зависящий от протоколов, называется Windows Process Activation Service и предназначен в первую очередь для обслуживания сервисов, созданных на базе Windows Communication Foundation — компонента .NET Framework 3.0, позволяющего выбирать адаптеры протоколов, используемых для активации сервисов. Сервис Web Activation Service (WAS) поддерживает активацию по протоколам TCP, Named Pipe, MSMQ или HTTP, обеспечивает внешний мониторинг, повторное использование освобождаемых ресурсов, общий доступ к состоянию сервисов из ASP .NET и ряд других полезных функций.

Заключение

В данном обзоре были рассмотрены основные новинки в Internet Information Services 7.0: возможности для администраторов и ИТ-специалистов, web-хостеров и разработчиков, а также модульная архитектура, механизмы расширения, интеграция с .NET, управляемость и расширенные средства диагностики.

В следующих номерах мы продолжим знакомство с Windows Server 2008.

Администрирование Windows XP

Информационные службы интернета

Несмотря на то что система Windows XP Professional гордится своими новыми инструментами для работы в интернете, один из самых мощных инструментов существует со времен появления Windows NT. Информационные службы интернета (Internet Information Services, IIS) предоставляют интегрированное обслуживание протокола транспортировки гипертекста (Hypertext Transport Protocol, HTTP ) и протокола передачи файлов (File Transfer Protocol, FTP ). IIS также включают в себя расширения и приложения других разработчиков, которые выводят его возможности за границы обычных интернет-сервисов. Сюда входят электронная почта, система безопасности и инструменты управления сайтами.

В этой лекции мы рассмотрим главный инструмент веб-сервиса компании Microsoft и его применение в среде Windows XP Professional. Сначала мы поговорим о том, что собой представляет IIS, и как им пользоваться. Затем рассмотрим процесс инсталляции в системе Windows XP Professional. В конце лекции мы дадим несколько полезных советов по использованию IIS.

Что такое IIS

IIS представляют собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для построения и управления веб-сайтами, машину поиска и поддержку разработчиков веб-приложений, имеющих доступ к базам данных.

Компания Microsoft разработала IIS для построения веб-сервисов с использованием архитектуры учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей, вместо того чтобы создавать новые. Преимущества этой особенности очевидны, если мы представим себе нужды крупной организации с огромными базами пользовательских данных. Кроме того, возможность тесной интеграции нового сервиса с доменом делает применение IIS еще более выгодным.

Другим хорошим качеством IIS является то, что эти службы интегрируются в операционные системы Windows XP Professional и Windows 2000 вместе с NTFS. Они работают вместе со стандартными инструментами сервера, такими как Event Viewer (Просмотр событий), Performance Monitor (Системный монитор), SNMP и System Management Server (Сервер управления системой), позволяя быстрее справляться с затруднениями и улучшая управление.

IIS также поддерживает интерфейс программирования приложений интернет-сервера (Internet Server Application Programming Interface, ISAPI). С помощью ISAPI можно создавать программы для работы с данными, которые приходят на сервер и возвращаются клиенту. ISAPI используется для создания соединений с серверами баз данных посредством службы ODBC (Open Database Connectivity). В этом разделе рассматривается версия IIS 5.1.

Отличительные черты IIS 5.1

IIS 5.1 является одной из версий служб интернета компании Microsoft, предоставляющей много инструментов для облегчения управления и веб-разработки.

Как упоминалось ранее, многие улучшения IIS касаются внутренней работы Windows XP Professional, обеспечивая прочную базу для функциональности и надежности системы. Улучшенная система безопасности и администрирования доступны в любой момент. Усовершенствования IIS 5.1 имеют отношение к четырем конкретным областям: надежности, безопасности, управлению и приложениям.

Надежность

По сравнению с прежними версиями IIS 5.1 демонстрирует повышенную надежность и стабильность. Например, при сбое перезапуск IIS стал более быстрым и легким. В ранних версиях при возникновении проблемы и остановке IIS администратору приходилось перезапускать четыре различных службы. IIS 5.1 перезапускается щелчком правой кнопки мыши на элементе консоли управления MMC или из командной строки.

HTTР (протокол, отвечающий за обмен данными в интернете) также улучшил свои качества в IIS 5.1. Администраторы веб-сайтов могут генерировать свои собственные модифицированные сообщения об ошибках. IIS включает в себя инструмент сжатия HTTP, который используется для упаковки статических и динамических веб-страниц с целью их ускоренной пересылки. Динамические страницы должны сжиматься отдельно, а статические страницы хранятся в кэше, что ускоряет передачу для будущих запросов данных.

Наконец, в IIS применяется защита приложений, которая позволяет приложениям работать отдельно от остальных IIS-процессов. В случае падения приложения вместе с ним не упадет весь IIS-сервер.

Регистрация и дросселирование. В IIS 5.1 улучшен процесс регистрации. У администраторов появилось больше возможностей отслеживать то, что происходит с их веб-сервисами. IIS могут не только генерировать регистрацию в почасовом режиме, но и позволяют обрабатывать зарегистрированные данные. К таким данным относятся пользовательское время и время ядра, дефекты страниц и прерванные процессы. Такой способ регистрации позволяет администраторам определять, где используются ресурсы системы, как можно изменить эти ресурсы, и что может этому препятствовать.

Если, просмотрев регистрационный журнал, администратор решит предпринять какие-либо действия, то он может воспользоваться инструментом, который называется дросселированием. Для управления ресурсами веб-серверов существует два вида дросселирования.

  • Дросселирование процесса. Позволяет управлять использованием процессора с помощью приложений, находящихся вне процесса. Такие приложения работают в отделенном от центральных IIS-процессов участке памяти. Эта особенность повышает надежность работы IIS. Если приложение, находящееся вне процесса, становится нестабильным, то это не влияет на основную работу сервера.
  • Дросселирование полосы пропускания на каждом веб-сайте. Используется для ограничения полосы пропускания, если веб-сервер содержит другие сервисы типа электронной почты или FTP. Этот вид дросселирования позволяет администраторам регулировать величину полосы пропускания сервера, используемую каждым сайтом.

WebDAV. WWW является замечательным местом для массовой публикации материалов. Однако насколько удобно просматривать информацию, настолько же неудобно совместно работать над проектом. Компания Microsoft предлагает решать эту проблему с помощью продукта WebDAV (Web Distributed Authoring and Versioning).

WebDAV представляет собой расширение HTTP и позволяет авторам работать с файлами и каталогами, находящимися на сервере, с удаленных компьютеров посредством HTTP-соединения. Так как IIS интегрируется с Windows XP Professional, WebDAV получает дополнительную функциональность благодаря обеспечению безопасности и доступа к файлам системы Windows.

WebDAV позволяет удаленным пользователям перемещать, искать, редактировать или удалять файлы и каталоги с сервера. MMC позволяет легко создавать WebDAV-каталог. После того как каталог создан, авторизованные пользователи могут публиковать документы на сервере и вносить изменения в файлы. На рис. 7.1 показано, как происходит обмен документами с помощью WebDAV.

Примечание. Для того чтобы вносить изменения в файлы с помощью WebDAV, пользователи должны пройти авторизацию, то есть получить специальное разрешение на внесение изменений.

Клиенты, использующие WebDAV, могут получать доступ к каталогам посредством Windows XP Professional, Internet Explorer 6.0, Microsoft Office XP или любого другого клиентского приложения, поддерживающего протокол WebDAV. Установить соединение с WebDAV достаточно просто. На Windows XP Professional клиенте откройте My Network Places (Сетевое окружение) и воспользуйтесь мастером добавления в сетевое окружение (Add Network Place Wizard) (рис. 7.2).

После запуска мастера проделайте следующие шаги.

  1. В окне мастера следуйте инструкциям Windows XP Professional по созданию ярлыка веб-сайта, на котором находится WebDAV-сайт.
  2. После создания ярлыка его значок появится в папке My Network Places (Сетевое окружение).
  3. В поле Other Places (Другие места) щелкните на My Documents (Мои документы).
  4. Выберите файл или папку, которые нужно скопировать на веб-сервер.
  • В поле File and Folder Tasks (Задачи для файлов и папок) щелкните на Copy this file (Скопировать файл) или Copy this folder (Скопировать папку).
  • В диалоговом окне Copy Items (Копирование элементов) щелкните на папке My Network Places (Сетевое окружение) и затем щелкните на папке с ярлыком.
  • Щелкните на Copy (Копировать).
  • Поддержка WebDAV со стороны системы Windows XP Professional хороша еще и тем, что любое приложение, запущенное в нем, получает возможность работать с протоколом WebDAV.

    Обеспечение безопасности

    При появлении каждой новой служебной программы улучшается и обеспечение безопасности. Наиболее интересными инструментами системы безопасности IIS являются Fortezza, Transport Layer Security, Advanced Digest Authentication и протокол аутентификации Kerberos v.5. В IIS содержатся и такие старые проверенные инструменты, как Secure Sockets Layer (SSL) и сертификаты, ставшие в новой версии IIS еще надежнее. Давайте поближе познакомимся с системой обеспечения безопасности IIS 5.1.

    • Интегрированная Windows-аутентификация. Эта мера безопасности существовала еще в Windows NT, где она называлась Challenge and Respose (Запрос и подтверждение). В IIS 5.1 эта функция получила не только новое название, но и возможность поддержки протокола Kerberos. Одним из основных свойств Kerberos является способность передавать данные для аутентификации на Windows и не-Windows компьютеры, которые поддерживают Kerberos. Так как обязанности по аутентификации можно делегировать другому компьютеру, стало гораздо легче изменять размеры веб-сайта с несколькими серверами. Теперь устанавливать одни серверы в качестве веб-серверов, а другие — в качестве серверов баз данных стало легче и безопаснее.
    • Certificate Server 2.0. Мастер сертификатов веб-сервера (Web Server Certificate Wizard) упрощает процесс настройки сертификата безопасности и позволяет использовать для связи протокол защищенных сокетов (SSL). Другой мастер позволяет конфигурировать список доверия сертификатов (Certificate Trust List, CTL). Мастер разрешений IIS (IIS Permissions Wizard) присваивает веб- и NTFS-разрешения веб-сайтам, виртуальным каталогам и файлам сервера.
    • Server-Gated Cryptography (SGC) и Fortezza. Эти меры обеспечения безопасности требуют специального сертификата и позволяют финансовым учреждениям использовать 128-битное шифрование. Fortezza является Федеральным правительственным стандартом сообщений.

    Примечание. Название Fortezza является зарегистрированным товарным знаком Национального агентства по безопасности

    • Secure Socket Layers (SSL). Этот протокол защищенных сокетов чаще всего применяется веб-браузерами и серверами для создания безопасных соединений. В IIS 5.1 используется самая последняя версия этого протокола — SSL 3.0.
    • Transport Layer Security (TLS). Этот протокол основан на SSL и предназначен для криптографической аутентификации пользователя. Он дает возможность программистам разрабатывать независимый TLS-код, который может обмениваться зашифрованной информацией с другим процессом, не требуя от программиста знания кода этого процесса. Предполагается, что TLS станет основой для новых методов кодирования.
    • Advanced Digest Authentication. Аутентификационные данные проходят через односторонний процесс, называемый кешированием. Результатом этого процесса является хэш, или профиль сообщения. Причем, этот профиль расшифровать нельзя, а следовательно, нельзя прочитать исходный текст. Сервер добавляет дополнительную информацию к паролю перед хэшированием, чтобы никто не мог перехватить и использовать этот пароль.

    Примечание. Advanced Digest Authentication поддерживается только на доменах с Windows 2000- или .NET-контроллерами и используется только с браузером Internet Explorer v.5 и выше.

    Управление

    С IIS 5.1 управление стало более простым. Во-первых, IIS легко инсталлируются (более подробно см. раздел «Инсталляция IIS»). Кроме того, IIS 5.1 включают в себя мастера системы безопасности, учет времени протекания процессов, удаленное администрирование и генерирование сообщений об ошибках пользователей.

    Как и многие другие Windows XP Professional-приложения и сервисы, IIS управляется с помощью MMC. Для доступа выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание), выберите Administrative Tools\Computer Management (Администрирование\Управление компьютером), а затем выберите оснастку IIS в поле Server Applications and Services (Серверные приложения и службы). Вы можете получить доступ к MMC, выбрав Start\Control Panel (Пуск\Панель управления). Затем надо щелкнуть на Performance and Maintenance ((Производительность и обслуживание)) и выбрать Administrative Tools\Internet Information Services (Администрирование\Информационные службы интернета).

    Примечание. Не забывайте о том, что вы можете создать свою собственную пользовательскую консоль MMC (это и является основным качеством MMC) и включить IIS в список избранных дополнений.

    Помимо прочего, IIS использует инструмент администрирования, разработанный на базе браузера, который позволяет управлять IIS посредством удаленного доступа через HTTP-соединение. В этом инструменте используется протокол HTTP, что позволяет управлять удаленным сервером из любого браузера на любой платформе.

    Приложения

    IIS дает новый импульс разработчикам программ, так как расширяет среду разработок приложений веб-сервера. Такие усовершенствования как Active Directory, модель компонентных объектов (Component Object Model, COM) и активные серверные страницы (Active Server Pages, ASP) широко используются программистами. Основной путь создания динамичного содержимого с помощью IIS состоит в применении ASP.

    ASP позволяет объединять HTML и скрипты, используя целый ряд разработчиков для создания веб-страниц «на лету». ASP расширяет функциональность базового веб-сервера, облегчая построение динамичных веб-приложений. За счет этого поддерживается выполнение ASP-скриптов, которые можно написать на языках VBScript, JavaScript или Jscript и на других. Также в ASP можно включать компоненты ActiveX сервера, написанные на языках C++, Visual Basic и Java. Доступны предварительно созданные объекты, что используется для построения законченных веб-приложений без программирования или с небольшой его долей. ASP включает в себя несколько стандартных объектов, используемых при разработке веб-приложений.

    ASP-скрипты используются для создания HTML «на лету». Это происходит следующим образом: когда рабочая станция клиента через браузер попадает на IIS-сервер и открывает ASP-документ, запускается скрипт. Скрипт генерирует HTML-код, основанный на введенных пользователем данных, типе браузера, содержания cookies, хранящихся на компьютере-клиенте и т. д. При выполнении он может запросить базу данных и разместить данные в таблице для отправки клиенту в виде HTML. В связи с тем что сервер обрабатывает запросы, выполняет прикладные задачи, получает результаты, упаковывает их, генерирует HTML-код и посылает его в браузер, он должен быть очень мощной системой. Если ваш сервер предназначен быть активным сервером, то позаботьтесь о том, чтобы он обладал достаточной мощностью.

    ASP в IIS 5.1 предлагает ряд полезных инструментов.

    • Asperror object. Этот объект улучшает обработку ошибок, позволяя разработчикам находить ошибки в файлах со скриптами. Возможность контролировать потоки данных позволяет серверу обрабатывать страницы без традиционной передачи данных в оба конца, которая требуется при переадресации на сервере.
    • ASP без скриптов. Они стали лучше благодаря новой проверке на стадии синтаксического анализа. В более ранних версиях IIS сайты использовали расширение .asp для всех страниц, создавая возможность сохранять ссылки без изменений после добавления скрипта на HTML-страницу. Недостаток этого метода состоит в том, что механизм написания скрипта по умолчанию запускается даже при отсутствии кода. Новая проверка определяет, когда выполняющиеся запросы ожидают внутренних компонентов, и автоматически выдает необходимые ресурсы, чтобы можно было продолжать обработку других запросов.

    ASP имеет ряд встроенных компонентов для выполнения следующих заданий:

    • регистрация;
    • получение доступа к данным;
    • получение доступа к файлам;
    • использование счетчиков.

    Это быстрые и гибкие инструменты. Инструмент Browser Capatibilities, например, поддерживает функции, описанные в cookies, присланных браузером. Это дает гибкость работе кода сервера, основанного на характеристиках, поддерживаемых клиентом.

    ASP поддерживает командные сценарии Windows, что позволяет превращать скрипты в COM-компоненты многократного использования в ASP и других COM-подчиненных программах.

    FrontPage

    На рынке программных продуктов нет недостатка в инструментах для создания HTML. Для развертывания и управления сайтами IIS широко использует инструменты приложения Front Page. Так, например, с помощью Front Page Server Extensions администраторы могут управлять своими веб-сайтами с графическим интерфейсом. Авторы могут создавать, размещать и работать со своими веб-страницами с удаленных компьютеров.

    Front Page Server Extensions

    Расширения FrontPage Server Extensions не ограничиваются работой только с продуктами компании Microsoft. Они могут устанавливаться на UNIX, SunOS и другие платформы.

    Примечание. Более подробную информацию о Front Page и расширениях сервера можно получить на сайте http://www.Microsoft.com/frontpage.

    FrontPage Server Extensions предлагают сетевым авторам и администраторам ряд возможностей:

    • разрешают авторам напрямую взаимодействовать с сервером на веб-сайте;
    • добавляют функции веб-сайтам без написания программ;
    • поддерживают учет входящих на сайт пользователей;
    • поддерживают управление электронной почтой;
    • гибкая инсталляция на другие платформы;
    • автоматическое обновление гиперссылок при изменении или переносе веб-страницы;
    • интеграция с приложениями Microsoft Office, Visual SourceSafe и Index Server.
    Оснастка FrontPage

    Управление FrontPage Server Extensions осуществляется посредством оснасток MMC. Оснастка используется для создания и обновления расширений сервера, конвертирования папок в подсети, создания новых конфигураций гиперссылок и многого другого. В более ранних версиях FrontPage управление осуществлялось с помощью инструмента Epsrvwin.

    Оснастка позволяет выполнить следующие задания:

    • инсталлировать серверные расширения на веб-сервере;
    • исправлять, обновлять и удалять существующие расширения сервера;
    • добавлять администратора;
    • запрашивать SSL для авторизации;
    • изменять конфигурацию гиперссылок;
    • включать или отключать авторизацию в глобальной сети;
    • регистрировать операции авторизации;
    • конфигурировать опции электронной почты;
    • регулировать работу в глобальной сети.

    Вы можете узнать о том, задействовано ли расширение FrontPage Server Extensions, щелкнув правой кнопкой мыши на виртуальном сервере (расположенном на левой панели оснастки IIS) и выбрав All Tasks (Все задачи). Если вы увидите команду Configure Server Extensions (Настроить серверные расширения) или команды, связанные с сервером (проверка серверных расширений или пересчет гиперссылок), то расширения сервера работают. Если эти команды не появились, то расширения сервера следует подключить. Для этого откройте оснастку IIS MMC и выполните следующие задания.

    1. Щелкните на File (Файл) и затем щелкните на Add/Remove Snap-in (Добавить/удалить оснастку).
    2. Если меню консоли показывает только элемент Options (Параметры), то выберите Options и щелкните на Always open console file in author mode (Всегда открывать файл консоли в авторском режиме). Щелкните на ОК, закройте MMC и снова откройте.
    3. Затем в меню консоли щелкните на Add/Remove Snap-in. В результате появится диалоговое окно, показанное на рис. 7.3.
    4. Выберите вкладку Extensions (Расширения), затем выберите FrontPage Server Extensions (Серверные расширения FrontPage), (если еще не выбрано).
    5. Щелкните на ОК.

    Управление содержимым интранета

    Удобство IIS 5.1 проявляется не только тогда, когда надо представить материал на обозрение внешнему миру. IIS является хорошим инструментом для создания внутренней сети (интранета). На самом деле это наилучшее использование IIS в системе Windows XP Professional. Например, если у вас есть небольшая локальная сеть в филиале офиса, то желание создать интранет в качестве общедоступного информационного бюллетеня, превратив одного Windows XP Professional-клиента в интранет-сервер, использующий IIS, является разумным.

    Для нормального функционирования некоторым приложениям потребуется инсталляция IIS. Например, Microsoft Visual Studio .NET требует инсталляции IIS, если вы собираетесь разрабатывать веб-приложения.

    Инсталляция IIS

    Как и у большей части других инсталляций, которые влияют на работу всей сети, здесь есть пара шагов, требующих понимания и выполнения перед началом установки IIS на платформу Windows XP Professional. В этом разделе рассматривается несколько вопросов, о которых вы должны помнить, и несколько требований, которые вы должны выполнить. В конце мы расскажем о процессе инсталляции IIS в Windows XP Professional.

    Выбор места

    IIS следует устанавливать на компьютер, работающий под управлением Windows 2000 Server или .NET Server. Однако в организации может не быть серверов такого типа, так что придется возложить задачу по обеспечению места жительства IIS на клиентский компьютер. Более того, вы можете обнаружить, что иметь IIS на компьютере-клиенте удобно во всех отношениях, включая управление IIS и .NET-разработку.

    Воспользуетесь ли вы сервером или клиентом для инсталляции IIS, следует решить несколько чисто физических вопросов. Это необходимо сделать во имя безопасности данных, а не для собственного удобства. Необходимо убедиться в следующем.

    • Серверу обеспечена физическая безопасность.
    • Сервер регулярно копируется.
    • Носители копий переносятся на вспомогательное устройство.
    • IIS имеет надежный и бесперебойный источник энергопитания.
    • Сетевые соединения надежны и их рабочие возможности соответствуют требованиям.

    Естественно, что потребности организации будут в значительной степени определять, куда и как вы поместите свой IIS-сервер. Например, если в филиале офиса IIS-сервер используется для отслеживания очередности тех, кто ходит за пончиками, то не имеет смысла вкладывать 1000 долларов в покупку источника бесперебойного питания (UPS). С другой стороны, если IIS сохраняет ваш .com на плаву, то, возможно, потребуется нечто более мощное, чем такой UPS.

    На рис. 7.4 показано типичное размещение интернет- и интранет-веб-серверов. Интернет-веб-сервер располагается после брандмауэра и конечного маршрутизатора в демилитаризованной зоне (DMZ). Дополнительные меры по обеспечению безопасности и фильтрование могут осуществляться маршрутизатором, связанным с интернетом. Интранет-сервер защищен снаружи брандмауэром, но обеспечивает быстрый доступ для локальных пользователей.

    Аппаратные и сетевые компоненты

    Для установки IIS, учитывая требования компьютера и самой инфраструктуры сети, необходимо иметь какой-то минимум оборудования. Вот список самых необходимых компонентов для IIS-решения.

    • Сетевая карта (NIC).
    • Сетевое соединение с локальной сетью (LAN).
    • Интернет-соединение с интернет-провайдером (ISP).
    • Зарегистрированные IP-адреса (интернет).
    • Частные или зарегистрированные IP-адреса (интранет/интернет).
    • DNS-сервер (рекомендуется внутренний DNS или DNS, предоставленный ISP) или локальный HOSTS-файл на каждом клиенте IIS.

    Программное обеспечение

    После создания инфраструктуры на IIS-сервере можно разместить дополнительные сервисы. Основным назначением сервера является: создание и размещение веб-страниц, хранение документов и данных. Тем не менее, вы можете добавить следующие приложения:

    • Active Server Pages (ASP);
    • NetShow;
    • Index Server;
    • Java Virtual Machine;
    • FrontPage server extensions;
    • FrontPage;
    • Seagate Crystal Reports;
    • SQL Server;
    • SNA Server;
    • Exchange Server;
    • Office XP.

    В связи с тем, что интернет составляет огромную часть работы компьютерных сетей, постоянно разрабатываются новые дополнительные компоненты. Самую свежую информацию о программном обеспечении IIS можно найти на сайте http://www.microsoft.com.

    Этапы инсталляции

    Процесс инсталляции и настройки IIS в среде Windows XP Professional достаточно прост. IIS не является частью обычной инсталляции операционной системы, но содержится на компакт-диске Windows XP Professional. Для установки и конфигурации IIS проделайте следующее.

    1. Вставьте компакт-диск Windows XP Professional в CD-дисковод. Выберите Start\Control Panel (Пуск\Панель управления), затем выберите Add/Remove Programs (Установка и удаление программ).
    2. Щелкните на Add Windows Components (Добавить компоненты Windows).
    3. Отметьте флажок Internet Information Services (IIS). Оставьте все настройки инсталляции, данные по умолчанию, без изменений.
    4. Инсталляция занимает несколько минут. После завершения инсталляции вы сможете увидеть свою домашнюю станицу, идентифицировав сайт с помощью UNC. Введите http://localhost, где localhost — имя вашего компьютера. Если у вас нет веб-сайта в каталоге по умолчанию, то появится документация по IIS.

    Примечание. Если вы не знаете имени своего компьютера, то щелкните правой кнопкой мыши на значке My Computer (Мой компьютер) на рабочем столе или в меню Start (Пуск). Выберите Properties (Свойства) и щелкните на вкладке Computer Name (Имя компьютера).

    Каталог по умолчанию находится в папке C:\Inetpub\wwwroot. Однако добавление в этот каталог приведет к переписыванию IIS-документации. Чтобы избежать этого, следует установить свой собственный виртуальный каталог.

    Примечание. Вы можете найти консоль IIS, выбрав Start\Administration Tools\Internet Information Services (Пуск\Администрирование\Internet Information Services).

    Открыв консоль IIS (см. рис. 7.5), вы увидите веб-сервисы, работающие на вашей машине, включая SMTP-сервер и FTP-сервер, если они установлены вместе с IIS.

    Конфигурирование IIS

    Инсталляция — это далеко не все, что нужно для работы. К счастью, конфигурировать IIS достаточно легко с помощью дополнительных оснасток MMC. В этом разделе мы рассмотрим инструменты, необходимые для решения различных задач конфигурирования.

    Управление IIS

    Система Windows XP Professional централизованно управляет своими ресурсами с помощью одного инструмента — MMC. Этот инструмент отображает ресурсы IIS в виде дерева, чтобы вы могли осуществлять руководство посредством дружественного графического интерфейса. Вы можете получать доступ к сервисам с помощью щелчка правой кнопкой мыши и перехода в окно свойств. MMC с оснасткой IIS показан на рис. 7.6.

    IIS-страница по умолчанию содержит информацию о свойствах и функциях IIS. Если вы захотите ими воспользоваться, то там же имеется несколько образцов веб-страниц. Страница включает в себя ссылки на ресурсы веб-сайтов, для доступа к которым потребуется интернет-соединение.

    Конфигурирование веб-сервисов

    Оба инструмента управления IIS позволяют администраторам работать с IIS-ресурсами привычным способом. Конфигурирование веб-сервисов выполняется с помощью двойного щелчка на веб-сервисе, выбранном из списка в главном окне управления IIS, и последующего выбора Properties (Свойства). В результате появляется диалоговое окно, показанное на рис. 7.7.

    Свойства, которые, возможно, потребуется настроить, перечислены ниже.

    • Время ожидания подключения. Соединение пользователей будет прерываться, если в течение данного времени не произойдет никаких действий. Сократите это время, чтобы избавиться от пользователей, который держат соединение открытым, не получая никакой информации.
    • Максимальное число подключений к ресурсу. Определяет количество пользователей, одновременно подключаемых к веб-серверу. Здесь следует учитывать возможности оборудования и соединения.
    • Анонимный вход. Если вы хотите, чтобы пользователи, не являющиеся членами домена, имели доступ к веб-серверу, нужно разрешить анонимный вход.
    • Имя пользователя/Пароль. Это учетная запись, которая реально имеет доступ к веб-страницам. Ограничьте привилегии этой учетной записи, чтобы предоставлять доступ только к тем ресурсам, которые вы делаете доступными другими пользователям.
    • Аутентификация с помощью пароля. Если вы не разрешили вход анонимным пользователям, то следует отбирать пользователей с помощью обязательного ввода пароля, то есть воспользоваться наиболее безопасным методом аутентификации — Challenge/Response (Вызов/Ответ).
    • Виртуальные каталоги. С IIS появляется гораздо больше возможностей для создания каталогов, в которых будут храниться интернет-страницы. Каталоги можно создавать вне исходного каталога, созданного во время инсталляции. Они называются виртуальными каталогами и могут размещаться на том же или на удаленном компьютере. Для пользователей они представляют собой подкаталоги корневого веб-каталога. В действительности они могут располагаться на совершенно другой машине.

    Создать виртуальный каталог очень просто.

    1. Для добавления нового виртуального каталога щелкните правой кнопкой мыши на папке под значком Default Web Site и выберите New (Создать). В раскрывающемся списке выберите Virtual Directory (Виртуальный каталог).
    2. Запустится мастер создания виртуального каталога (Virtual Directory Creation Wizard). Щелкните на Next (Далее).
    3. Введите псевдоним, которым вы будете пользоваться для входа в виртуальный каталог из веб-браузера. Это имя вы впишите в веб-браузер после localhost-имени для просмотра веб-страниц, размещенных в этом каталоге.
    4. Появится кнопка Browse (Обзор). Нажмите, чтобы найти место расположения каталога, в котором находятся веб-страницы на компьютере. Затем щелкните на Next.
    5. В конце работы мастер продемонстрирует ряд флажков для настройки системы безопасности (рис. 7.8). Если безопасность вас не очень беспокоит, то отметьте их все. Если же беспокоит, и вы собираетесь работать с ASP-скриптами, то включите два первых флажка — Read (Чтение) и Run (Исполнение). Затем щелкните на Next.

    Теперь виртуальный каталог установлен. Вы можете просматривать веб-страницы в папке, вводя http://localhost/aliasname, где aliasname — это имя, которое вы задали в шаге 3.

    Примечание. При использовании NTFS можно создать виртуальный каталог, щелкнув правой кнопкой мыши на каталоге вWindows Explorer, затем щелкнув на Sharing (Доступ) и выбрав Web Sharing (Доступ через веб).

    Регистрация

    IIS предоставляет возможность контроля за тем, какие события регистрируются и как. Помимо разрешения регистрации доступа к обычным текстовым файлам ежедневно, еженедельно или ежемесячно, или пока файл журнала не достигнет определенной величины, вы можете экспортировать файлы журналов в базу данных SQL/ODBC.

    Войдите в систему управления регистрацией, щелкнув правой кнопкой мыши на веб-сайте, которым вы собираетесь управлять, и выбрав Properties (Свойства). В результате появится окно, показанное на рис. 7.9.

    Скорее всего, вы будете пользоваться другими приложениями для чтения файлов журналов и написания отчетов об использовании веб-страниц. Эта статистика показывает, какие пользователи заходят на веб-сервер и что они просматривают при этом. Более того, журналы очень пригождаются при нарушении безопасности сервера.

    Примечание. Если IIS-сервер активно используется, то файлы журналов принимают достаточно большие размеры. Поэтому было бы разумно размещать их на удаленной машине, чтобы их не могли взломать хакеры, если им удастся проникнуть в IIS-компьютер.

    Контроль доступа

    Естественно, что безопасность вашей сети имеет важное значение. Обеспечить доступ для законопослушных пользователей и одновременно оградить себя от всякого рода злоумышленников порой бывает очень нелегко. IIS включает несколько свойств (о которых мы поговорим позже), помогающих достичь нужного баланса.

    Вы можете настроить систему контроля за доступом, щелкнув правой кнопкой мыши на веб-сайте, которым вы хотите управлять с помощью Диспетчера IIS, и выбрав Properties (Свойства). Щелкните на вкладке Directory Security (Безопасность каталога), и перед вами откроется целый ряд опций системы безопасности (см. рис. 7.10).

    С помощью IIS можно предоставить или отказать в доступе для отдельных компьютеров (через IP-адреса). Если вы собираетесь предоставлять доступ для всех в интернете, то это вид контроля доступа не нужен. Однако если у вас есть личный интранет, то, возможно, потребуется предоставить доступ пользователям определенной подсети, скажем, пользователям подсети 10.0.5.0. Для этого щелкните на кнопке Edit (Изменить) в окне ограничений для IP-адреса и имени домена и введите необходимые ограничения.

    Конфигурирование FTP-сервера

    Вы можете предоставлять пользование файлами непосредственно на веб-странице. Однако все будет происходить быстрее и эффективнее, если установлен FTP-сервер. Это особенно удобно, когда у вас много файлов или многие хотят скачать эти файлы. В настройках FTP-сервиса есть много общего с настройками веб-сайта. Следовательно, мы будем говорить только об отличиях. Тем не менее, сначала убедитесь в том, что FTP-сервис установлен вместе с IIS. Если FTP-сервис не установлен, то сделайте это следующим образом.

    1. В Control Panel (Панель управления) щелкните на Add/Remove Programs (Установка/удаление программ).
    2. Щелкните на Add/Remove Windows Components (Установка компонентов Windows).
    3. Из списка выберите Internet Information Services (IIS) и щелкните на Details (Состав).
    4. Отметьте флажок File Transfer Protocol (FTP) Service (Служба FTP).
    5. Нажмите на ОК. Windows XP Professional может потребовать инсталляционный компакт-диск.
    6. Щелкните на Next (Далее).
    7. Щелкните на Finish (Готово).

    Имеется несколько вкладок с различными настройками, которые можно модифицировать по своему усмотрению. Эти вкладки описаны ниже.

    • FTP Site. Содержит ряд однотипных опций, которые не влияют на работу других сервисных программ, но используются только в FTP:
    • Connection timeout (Время простоя соединения);
    • Maximum connections (Максимальное количество соединений);
    • Whether or not allow anonymous users (Разрешить/запретить вход для анонимных пользователей).
    • Security Accounts. Один интересный флажок называется Allow only anonymous connections (Разрешить только анонимные соединения). Отметьте его, только если вы разрешаете вход в систему анонимным пользователям. Если флажок отключен, то пользователи, регистрирующиеся на FTP-сервере, должны будут вводить свой пароль (который высылается открытым текстом). Если анонимные соединения разрешены, то пароль не нужен.
    • Message. Служба FTP позволяет посылать сообщения пользователям при их входе или выходе, или когда достигнуто максимальное количество пользователей.
    • Home Directory. Позволяет сконфигурировать виртуальные каталоги так, как вы это делали для службы World Wide Web. Вы также получаете возможность представлять каталоги в операционных системах DOS или UNIX.

    Регистрационные и расширенные возможности FTP-сервера аналогичны возможностям веб-сервера, и вы можете конфигурировать их, как вам удобно.

    Использование IIS

    Мы только что предоставили краткий обзор IIS. На самом деле это достаточно сложный инструмент, функциональность которого трудно описать в одной лекции. Есть масса других книг, посвященных всем тонкостям работы с IIS.

    В последней части этой лекции дается краткий обзор использования IIS для построения и управления ресурсами в среде Windows XP Professional.

    Установка страниц по умолчанию

    При инсталляции IIS автоматически создаются веб-сайт и FTP-сайт по умолчанию. Однако, несмотря на наличие сетевых папок, вам все же приходится публиковать содержание в этих папках по умолчанию.

    Публикация в сетевых папках

    Публикация содержания в сетевых папках представляет собой процесс, состоящий из четырех этапов.

    1. Сначала следует создать веб-страницу с помощью любого инструмента для творческой (авторской) работы.
    2. Файл, содержащий домашнюю страницу, должен называться Default.htm или Default.asp.
    3. Скопируйте свою домашнюю страницу в сетевой каталог по умолчанию для IIS. При включении IIS домашний каталог — \Inetpub\wwwroot.
    4. Если сеть имеет службу разрешения имен, то посетители могут вводить имя компьютера в адресной строке веб-браузера, чтобы добраться до вашего сайта. Если разрешение имен недоступно, то они (посетители) должны будут вводить IP-адрес вашего компьютера.
    Публикация в FTP-папках

    Публикация в FTP-папке выполняется почти так же, как в веб-папке. Для этого проделайте следующие шаги.

    1. Перенесите свои файлы в FTP-каталог для публикаций (каталогом по умолчанию, созданным IIS, является \Inetpub\ftproot).
    2. Если в сети имеется служба разрешения имен, то посетители могут вводить имя компьютера, которому предшествует FTP:// (например, FTP://www.velte.com). Если службы разрешения имен нет, то они должны вводить IP-адрес, которому предшествует FTP://. Однако будет лучше, если пользователи воспользуются FTP-программой типа WS_FTP, которая делает процесс переноса более быстрым и эффективным.

    Управление системой безопасности

    Излишне говорить, насколько важно обеспечивать безопасность при работе с интернетом. В этом смысле IIS работает вместе с системой безопасности Windows XP Professional. Так создается интегрированная система защиты, которая является исключительно полезной.

    Разрешения

    Как и многие другие инструменты Windows XP Professional, NTFS предоставляет средства обеспечения безопасности на уровне диска. IIS не является исключением. Одним из лучших качеств NTFS является чувство собственной безопасности. Используя NTFS, можно ограничить доступ к своим IIS-файлам и каталогам, определить, кто из посетителей сайта имеет доступ к файлам на основании своей учетной записи или членства в группе.

    Примечание. Перед тем как предпринимать что-либо, убедитесь, что жесткий диск (или его раздел) конвертирован в NTFS. Можете верить или не верить, но без этого NTFS не сможет ничего защитить.

    Проделайте следующие шаги, чтобы обезопасить свои файлы с помощью NTFS.

    1. Откройте My Computer (Мой компьютер) и найдите папку или файл, для которых нужно настроить разрешения.
    2. Щелкните правой кнопкой мыши на папке или файле, выберите Properties (Свойства) и затем щелкните на вкладке Web Sharing (Доступ через веб).
    3. Далее воспользуйтесь ниспадающим списком для выбора веб-сайта, с которым вы хотите поделиться этим ресурсом.
    4. Нажмите на кнопку Share this folder (Открыть общий доступ к этой папке). Появится окно (см. рис. 7.11).
    5. Введите псевдоним для папки или файла.
    6. Установите любые разрешения или ограничения по своему выбору, включая следующие:
      • чтение;
      • запись;
      • доступ к тексту сценария (позволяет пользователям получать доступ к исходным файлам);
      • просмотр каталога.
  • Установите любые разрешения прикладного характера:
    • Никаких;
    • Сценарии;
    • Выполнить (включает в себя сценарии).
  • Проделывая эти шаги, вы сможете устанавливать различные уровни доступа к своим файлам и папкам. Важно знать, что можно настроить разрешения одного уровня для доступа к папке с файлами, а доступ к определенному файлу (или папке) внутри данной папки сделать более ограниченным.

    Аутентификация

    Аутентификацией называется процесс подтверждения того, что данный пользователь является именно тем лицом, которым себя объявляет. Он выполняется в окне с полями для ввода имени пользователя и пароля. Если пользователь не обладает корректной информацией, то он не сможет войти в сеть или на FTP-сайт. Более того, IIS позволяет проводить аутентификацию при входе в определенный каталог или файл.

    Веб-аутентификация. Для реализации аутентификации на веб-сайте проделайте следующие шаги.

    1. Сначала создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
    2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
    3. В окне Диспетчера IIS выберите веб-сайт, каталог или файл. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
    4. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). В поле Anonymous Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
    5. В появившемся диалоговом окне (рис. 7.12) укажите методы аутентификации, которые вы хотите применить.

    FTP-аутентификация. Аутентификация на FTP-сервере дает такой же результат, но имеет свой уникальный процесс. Для введения FTP-аутентификации выполните следующие шаги.

    1. Создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
    2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
    3. В окне Диспетчера IIS выберите FTP-сайт. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
    4. Щелкните на ведомости свойств Security Accounts (Учетные записи безопасности) и отметьте Allow Anonymous Connection (Разрешить анонимные подключения).
    5. В поля Username (Имя пользователя) и Password (Пароль) введите имя пользователя и пароль для анонимного доступа, которые вы будете использовать. Имя пользователя обычно задается в виде IUSR_computername. Если отмечен флажок Allow IIS to control password (Разрешить управление паролем из IIS), то уберите отметку для смены пароля.
    6. Снова отметьте флажок Allow IIS to control password, чтобы синхронизировать пароли с учетными записями.
    7. Отметьте флажок Allow only anonymous connections (Разрешить только анонимные подключения). Это является требованием к каждому посетителю регистрироваться в качестве анонимного пользователя.
    8. Нажмите на ОК.
    9. Установите необходимые NTFS-разрешения для анонимного доступа.
    Анонимная аутентификация

    Учетная запись доступа IUSR_computername появляется в файле Guest (Гость) при назначении анонимного доступа. Для создания переменного уровня безопасности посредством присвоения разрешений на доступ к различным частям своего веб-сайта, вы можете установить разные анонимные учетные записи, каждая из которых дает различный доступ к группам. Однако имейте в виду, что анонимная учетная запись должна иметь разрешения Log On Locally (Локальный вход), иначе IIS не сможет обрабатывать эти запросы.

    Примечание. Права Log On Locally (Локальный вход) присваиваются посредством Active Directory Service Interfaces — ADSI (дополнительного инструмента MMC).

    Для изменения учетной записи, используемого для анонимной аутентификации, выполните следующие действия.

    1. В окне Диспетчера IIS щелкните правой кнопкой мыши на сайте, каталоге или файле, в которые нужно внести изменения, и выберите Properties (Свойства).
    2. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла) и в поле Anonymouse Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
    3. Откроется диалоговое окно Authentication Methods (Методы аутентификации). В поле Anonymous access (Анонимный доступ) щелкните на кнопке Browse (Обзор).
    4. В диалоговом окне Anonymous User Account (Учетная запись анонимного пользователя) введите учетную запись пользователя.
    5. Очистите флажок Allow IIS to control password (Разрешить управление паролем из IIS) и введите пароль, соответствующий этой учетной записи.
    Шифрование

    Правильная регистрация посетителей на IIS еще не означает, что данные полностью защищены от нежелательного просмотра. Вы можете заставить своих авторизованных посетителей создавать зашифрованные каналы, перед тем как получить доступ к информации. Единственная тонкость здесь состоит в том, что и сервер и клиент для обеспечения безопасности канала должны поддерживать одну и ту же схему шифрования. Если они оба используют современные браузеры и серверы, то это не является проблемой.

    Примечание. Шифрование невозможно без инсталляции действительного сертификата сервера.

    Для настройки шифрования проделайте следующие шаги.

    1. В окне Диспетчера IIS щелкните правой кнопкой мыши на том сайте, каталоге или файле, в которые нужно внести изменения, а затем выберите Properties (Свойства).
    2. Предполагая, что вы еще не создали пару ключей сервера и запрос о сертификате, выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). (Если вы это уже проделали, то переходите к пункту 4.)
    3. В поле Secure Communications (Безопасные подключения) щелкните на Server Certificate (Сертификат). Запустится мастер сертфикатов веб-сервера (Web Server Certificate Wizard), который выполнит остальную часть процесса.
    4. Вернувшись в главное окно Properties (Свойства), выберите вкладку Directory Security или File Security и в поле Secure Communications щелкните на Edit (Изменить).
    5. В открывшемся диалоговом окне Secure Communications выберите Require Secure Channel (SSL) (Требуется безопасный канал).

    Примечание. Убедитесь в том, что ваши пользователи знают, что им следует вводить https:// вместо http://.

    Управление содержимым

    Хорошо известно, что разработка содержимого и размещение его на веб-сервере являются не окончанием путешествия, а, скорее, первым шагом. Веб-сайты стали «живыми», в чем и заключается причина такой популярности интернета. Содержание перестает быть статичным, как в книгах, журналах и газетах. И все это может стать настоящей головной болью, если вы не умеете управлять веб-содержимым.

    После размещения в интранете информационного бюллетеня компании непременно настанет время его обновить. Вам доступен ряд инструментов, которые помогают управлять содержанием IIS.

    С чего начать

    Первым делом надо настроить свои веб-страницы, назначив каталоги, в которых будут находиться документы. Веб-страницы должны быть локализованы в этих каталогах, чтобы IIS мог публиковать их. Каталоги выбираются с помощью Диспетчера IIS.

    Если принять, что все файлы находятся на одном жестком диск с IIS, то можно опубликовать эти документы, просто скопировав файлы в домашний каталог по умолчанию IIS: C:\InetPub\wwwroot.

    Примечание. Для FTP-сайтов каталогом по умолчанию является C:\Inetpub\ftproot.

    Пользователи интранета могут получить доступ к этим файлам с помощью URL http://servername/filename. Интернет-пользователи будут вводить обычный URL для входа на вашу страницу.

    Отведи меня домой

    В интересах сайта и в ваших собственных следует создать домашние каталоги для каждого веб- и FTP-сайта. Домашний каталог содержит файл-указатель, приглашающий посетителей и соединяющий их ссылками с другими страницами сайта, и он обозначен либо именем домена (для интернет-посетителей), либо именем сервера (для интранет-посетителей).

    Например, если вы размещаете веб-содержимое по поводу ежегодного праздника членов клуба автолюбителей, интернет-пользователи могут вводить http://www.mudtacular2002.com. Однако члены клуба воспользуются именем сервера (Mr.Mud), чтобы попасть на страницу (на языке интранета это будет выглядеть как http://mrmud). Каким бы образом визитеры ни заходили на сайт, они попадут прямо в домашний каталог. По умолчанию домашний каталог появляется после инсталляции IIS при создании нового веб-сайта.

    Обходной путь

    Сколько раз бывало, что вы заходили на веб-страницу только для того, чтобы прочитать сообщение, подобное этому:

    We’re sorry, the page you’re looking for is no longer here.

    We will redirect you in a moment.

    (Просим извинения за то, что страница, которую вы, искали больше не существует. Сейчас мы вас перенаправим.)

    Это раздражает, но этого нельзя избежать, особенно на больших сайтах со сложной файловой структурой. К сожалению, если вам приходится переносить страницы из одной папки в другую на своем сайте, не всегда удается отследить и исправить все ссылки. Вместо того чтобы менять все URL, просто дайте команду IIS сообщить браузеру, где находятся новые ссылки. Это называется переадресацией запроса браузера. Используя IIS, можно переадресовать запросы:

    • из одного каталога в другой;
    • на другой веб-сайт;
    • в другой файл из другого каталога.

    Когда браузер посетителя ищет файл в соответствии со старым URL, IIS сообщает браузеру местонахождение нового URL (т. е. переадресовывает).

    С помощью следующих шагов можно переадресовать запросы на другой веб-сайт или в другой каталог.

    1. Откройте Диспетчер IIS и щелкните правой кнопкой мыши на веб-сайте или на каталоге, который нужно изменить.
    2. Выберите Properties (Свойства).
    3. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог). Результат показан на рис. 7.13.
  • Выберите A redirection to a URL (Перенаправление на URL).
  • В поле Redirect (Переадресовать) введите URL нового каталога.
  • Для переадресовки запросов на определенный файл:

    1. Откройте оснастку IIS MMC и щелкните правой кнопкой мыши на веб-сайте или каталоге, который нужно изменить.
    2. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог).
    3. Выберите A redirection to URL (Перенаправление на URL).
    4. В поле Redirect to (Переадресовать) введите URL конечного файла.
    5. Выберите The exact URL (Существующий URL), введенный выше.
    Вставки на стороне сервера

    Часто посетителям веб-сайта будет требоваться предоставление пользовательской (модифицированной) веб-страницы. Настолько модифицированной, что это трудно заранее вообразить и иметь такую страницу на своем сайте. Например, когда вы заходите на Amazon.com и ищете определенное название, то конечная информация генерируется на странице, отвечающей этому запросу. Это называется динамическим содержимым.

    IIS поддерживает динамическое содержимое с помощью вставок на стороне сервера (Server-Side Includes, SSI). Большую часть работы по управлению веб-сайтом можно выполнить посредством SSI. Так называемые директивы добавляются к веб-страницам во время разработки последних. При поступлении запроса на страницу IIS выполняет директивы, которые на них содержатся.

    Наиболее распространенной директивой является include (включить), которая инкорпорирует содержимое файла на указанную веб-страницу. Например, если на странице есть баннер, который содержит ссылку на рекламу, то следует воспользоваться SSI для включения HTML-источника этого баннера на веб-страницу. Когда потребуется обновить баннер, не надо менять страницу целиком: просто обновите файл баннера.

    Подключение SSI выполняется посредством следующих действий.

    1. Убедитесь в том, что файлы, содержащие SSI-директивы, имеют соответствующие SSI-расширения (.stm, .shtm, .shtml).
    2. Разместите SSI-файлы в каталоге с разрешениями доступа Scripts (Сценарии) и Execute (Выполнение).

    Отключить SSI можно следующим образом.

    1. Откройте окно Диспетчера IIS и щелкните правой кнопкой мыши на веб-сайте или каталоге, который вы хотите изменить.
    2. Выберите Properties (Свойства).
    3. Щелкните на вкладке Home Directory (Домашний каталог) или Directory (Каталог).
    4. Выберите каталог, в котором запускается приложение.
    5. Щелкните на кнопке Configuration (Настройка) и затем щелкните на вкладке App Mappings (Добавить связи) (см. рис. 7.14).
    6. Выберите расширение и щелкните на кнопке Remove (Удалить).

    IIS представляет собой весьма богатую тему для обсуждения и заслуживает гораздо большего внимания. Можно надеяться, что эта лекция даст вам общее представление о полезности, инсталляции и управлении IIS. Потратьте свое время на изучение IIS и вы обнаружите полезный инструмент интернета и интранета.

    Установка и конфигурирование IIS

    В большинстве случаев в реальных производственных проектах один или несколько серверов будут использоваться для обслуживания клиентских запросов веб-сайта. Эти серверы могут принадлежать и управляться непосредственно вами, специализированной командой или же сторонней компанией, предоставляющей услуги хостинга. В любом случае рано или поздно наступает момент, когда написание кода и его тестирование завершено, и работа должна быть представлена широкой публике — в этом и заключается развертывание веб-сайта.

    В этой и следующих статьях мы рассмотрим различные варианты развертывания. Однако во всех случаях основные предпосылки остаются неизменными. На рабочей станции имеется готовый веб-сайт, который нужно развернуть на сервере, чтобы он был доступен клиентам. Для ASP.NET таким сервером является , а его текущей версией — IIS 8. Когда он был впервые реализован, IIS представлял собой базовый веб-сервер. С годами IIS развился в сложный сервер приложений, предоставляющий широкое множество функциональных средств, наиболее важным из которых является поддержка хостинга приложений ASP.NET.

    В этой статье основное внимание уделяется IIS 8. Хотя машина, на которой запущен IIS 8, здесь называется сервером, IIS можно запускать под управлением версий Windows как для рабочей станции, так и для сервера. На рабочих станциях доступны не все, но большинство функциональных возможностей, что позволяет размещать сложные веб-сайты. По возможности мы рекомендуем использовать Windows Server, однако недорогой альтернативой могут послужить Windows 7 или Windows 8.

    В Microsoft привязывают выпуски IIS с выпусками Windows. В состав Windows Server 2008 и Windows Vista входит версия IIS 7.0, в состав Windows Server 2008 R2 и Windows 7 — версия IIS 7.5, а в состав Windows Server 2012 и Windows 8 — IIS 8. Версии — 7.0 и 7.5 — в Microsoft обобщенно называют IIS 7, что может вносить путаницу. Версию IIS, поддерживаемую операционной системой, изменить нельзя — Windows Server 2008 будет использовать только IIS 7.0. Например, модернизировать ее до версии IIS 7.5, используемой в Windows Server 2008 R2, не получится.

    Установка IIS

    Компонент IIS включен как часть установки Windows (как для сервера, так и для рабочих станций) и требует активизации и конфигурирования. Далее представлены три способа активации IIS для различных операционных систем.

    Установка IIS на настольных версиях Windows (Windows Vista, Windows 7 и Windows 8)

    Каждая версия операционной системы Windows предлагает свою версию IIS — IIS 8 (в Windows 8), IIS 7.5 (в Windows 7) или IIS 7 (в Windows Vista). Во всех этих версиях Windows, IIS включен, но изначально не установлен. Чтобы установить его, необходимо выполнить следующие действия:

    Откройте панель управления.

    Нажмите кнопку «Включение или отключение компонентов Windows». Теперь вам нужно подождать, пока Windows исследует вашу систему.

    Найдите элемент Internet Information Services (Службы IIS) в верхней части списка и нажмите на галочку чтобы включить его:

    Обратите внимание, что Windows позволяет включить множество компонентов IIS: поддержка FTP-сервера, дополнительные инструменты управления, службы обратной совместимости с IIS 6 и т.д.

    Убедитесь, что вы выбрали поддержку ASP.NET. Для этого раскройте узел Службы Интернета Компоненты разработки приложений ASP.NET (Internet Information Services World Wide Web Services Application Development Features ASP.NET):

    Если вы хотите использовать поддержку IIS в Visual Studio, которая позволяет вам создавать виртуальные каталоги IIS непосредственно в диалоговом окне New Web Site, вам нужно выбрать пункт «Совместимость управления IIS 6» в разделе «Средства управления веб-сайтом» (Web Management Tools IIS 6 Management Compatibility).

    Как только вы выбрали нужные параметры IIS, нажмите кнопку OK для завершения установки.

    Установка IIS в Windows Server 2008

    Установка и настройка IIS одинакова для Windows Server 2008 и Windows Server 2008 R2. Необходимые шаги описаны ниже:

    Запустите диспетчер сервера. Чтобы сделать это, нажмите кнопку Start и выберите All Programs Administrative Tools Server Manager.

    Выберите узел Roles в дереве слева.

    В правой части окна нажмите на ссылке Add Roles. Это открывает мастер, позволяющий добавить новую роль сервера.

    Выполните необходимые действия в мастере. Вас вероятно попросят установить дополнительные необходимые роли — если это так, нужно просто принять операции и продолжить.

    После установки вам будет предложено настроить веб-сервер. Как в настольных версиях Windows, вы можете выбрать специфические особенности IIS 7, которые должны быть включены.

    Если вы работаете в ASP.NET с версией .NET Framework 4.5, то эту версию .NET Framework необходимо будет установить (центр разработчиков .NET Framework)

    Установка IIS в Windows Server 2012

    Процесс установки IIS в Windows Server 2012, по существу, такой же, как и в Windows Server 2008. Основное различие заключается в том, что пользовательский интерфейс несколько отличается. Подробное описание вы можете найти перейдя по ссылке Installing IIS 8 on Windows Server 2012.

    Управление IIS

    При установке IIS, он автоматически создает каталог с именем C:\inetpub\wwwroot, который представляет ваш веб-сайт. Все файлы в этом каталоге будет отображаться, как будто они находятся в корневом каталоге вашего веб-сервера.

    Чтобы добавить дополнительные страницы на ваш веб-сервер, можно скопировать файлы HTML, ASP или ASP.NET напрямую в каталог C:\Inetpub\wwwroot. Например если добавить файл TestFile.html в этот каталог, вы можете запросить его в браузере через URL-адрес http://localhost/TestFile.html. Вы даже можете создавать вложенные папки для группирования связанных ресурсов. Например, вы можете получить доступ к C:\inetpub\wwwroot\MySite\MyFile.html через браузер, используя URL-адрес http://localhost/MySite/MyFile.html.

    Каталог wwwroot удобен для запуска простых примеров и статичных страниц. Для правильного использования ASP.NET вы должны сделать свой собственный виртуальный каталог для каждого веб-приложения, которое вы создаете. Например, вы можете создать папку с любым именем на любом диске вашего компьютера и поместить ее в виртуальный каталог IIS как будто она расположена в каталоге C:\inetpub\wwwroot.

    Прежде чем начать работу, вам нужно запустить диспетчер служб IIS. Его можно найти в меню Start (Пуск). Конкретное расположение может зависеть от используемой версии Windows (IIS Диспетчер служб IIS). Ярлык программы будет располагаться в разделе Programs (Программы) или Administrative Tools (Администрирование). Начальная страница IIS Manager показана на рисунке ниже:

    Теперь нужно ознакомиться с рядом терминов, используемых в IIS. В левой части окна IIS Manager отображается запись с именем используемого сервера. Наш сервер имеет имя PROFESSORWEB, сгенерированное по умолчанию Windows 8, которое будет использоваться в большинстве примеров. В центральной области отображается представление сервера. Это представление отображает набор значков, которые позволяют конфигурировать параметры сервера. В правой части экрана расположен список доступных действий. Например, в этом представлении можно запускать, останавливать и перезапускать сервер.

    Если развернуть элемент сервера в древовидном представлении в левой части экрана, отобразится элемент Sites (Сайты), содержащий единственную запись Default Web Site (Веб-сайт по умолчанию). Сайт — это коллекция файлов и каталогов, образующих веб-сайт. На одном сервере IIS может поддерживать несколько сайтов, как правило, на различных портах TCP/IP (по умолчанию используется порт 80). Сочетание имени сервера и порта сайта образует первую часть URL-адреса. Например, при использовании сервера mywebserver с сайтом, подключенным к порту 80, URL-адрес выглядит следующим образом:

    Каждый сайт может содержать множество файлов и каталогов. Каждый из них образует часть URL-адреса. Так, URL-адрес статической страницы mypage.html, расположенной в каталоге myfiles, будет следующим:

    В некоторых ситуациях имя, под которым сервер известен вам, и имя, которое клиенты используют для получения содержимого, будут различаться. Мы оставим этот нюанс без внимания, но администратор сервера или компания, предоставляющая услуги хостинга, предоставят необходимые сведения, если это важно для конкретного сервера.

    Чтобы проверить работоспособность IIS выберите Default Web Site и в правой области диспетчера служб IIS выберите пункт «Запустить». После этого нажмите кнопку «Обзор *.80 (http)» чтобы открыть страницу сайта в браузере:

    Как видите, в моем случае я поменял порт используемый по умолчанию (с 80 на 8080). Я сделал это, т.к. на 80-м у меня запущен локальный Apache-сервер. Если у вас возникает такая же проблема, то изменить порт можно щелкнув правой кнопкой мыши по сайту (Default Web Site) и выбрав в контекстном меню «Изменить привязки» (Bindings). После этого в диалоговом окне можно изменить порт, используемый по умолчанию.

    Итак, каждый сервер может поддерживать множество сайтов, каждый из которых работает на другом порту или с другим IP-адресом. Каждый сайт может иметь множество файлов и каталогов, и сочетание этих элементов предоставляет информацию о URL-адресе. Мы вернемся к URL-адресам и использованию IIS Manager при рассмотрении каждого из подходов к развертыванию.

    Что может IIS 6.0

    Повышенная безопасность и переносимая метабаза IIS 6.0

    В статье «Новая архитектура IIS Version 6.0» (опубликованной в предыдущем номере журнала — прим. ред.) было рассказано о процедуре установки Microsoft Internet Information Services (IIS) версии 6.0 и новой архитектуре Web-сервера. Количество новых функций IIS 6.0 просто поражает. Некоторые из них стоит выделить особо. Во второй части статьи я рассмотрю два таких нововведения и уделю внимание другим, менее известным, но тем не менее весьма важным особенностям IIS 6.0.

    Безопасность

    Время от времени Microsoft устает мириться с очередной проблемой в одном из своих продуктов и устраняет ее. Например, после выпуска Windows NT 4.0 потребители засыпали компанию жалобами на нестабильность. В результате операционная система Windows 2000 отличается высокой стабильностью даже в стандартной конфигурации. Служба IIS 5.0, разворачиваемая по умолчанию на серверах Windows 2000, подвергает систему безопасности огромному риску, если администратор не примет надлежащих мер. IIS 6.0 по умолчанию не устанавливается, а после установки Web-сервер выдает только статический контент. Таким образом, применение IIS 6.0 связано с гораздо меньшим риском для системы безопасности, даже если впоследствии возникают проблемы с прикладными механизмами и компонентами IIS 6.0. Кроме того, в Windows Server 2003 появилась новая групповая политика: Prevent IIS installation. С ее помощью можно запретить системам Windows 2003 устанавливать IIS 6.0 на серверах в лесу Active Directory (AD), не предназначенных для использования в качестве Web-серверов. Эта политика предотвращает появление в сети ложных и потенциально небезопасных IIS-серверов. Следует отметить, что пока данная политика работает только на серверах Windows 2003 и не запрещает установки IIS 5.0 на системах Windows XP Professional Edition и Windows 2000.

    Конечно, то обстоятельство, что по умолчанию IIS 6.0 с динамическим контентом не работает, естественно, вызывает второй, наиболее часто задаваемый вопрос об IIS 6.0: «Почему мой сервер не доставляет Active Server Pages (ASP)?» Как отмечалось в упомянутой выше статье, первый часто задаваемый вопрос: «Можно ли установить IIS 6.0 на Windows 2000 Server?» Ответ — нет. Чтобы разрешить работу программ в среде IIS 6.0, следует использовать новую функцию Web service extensions. Название наводит на мысль о связи с XML Web-службами, но в действительности никакой связи нет.

    Чтобы добавить Web service extension для программы, нужно открыть IIS Manager (прежнее название Internet Services Manager, ISM), выбрать Web Service Extensions, как показано на Экране 1, и щелкнуть на кнопке Add a new Web service extension. В результате будет запущен мастер для подготовки нового правила. Правилу необходимо дать имя, а затем перейти к программе, которую следует назначить. Управлять параметрами Web service extension можно с помощью сценария iisext.vbs в папке system32inetsrv.

    На Экране 1 нужно обратить внимание на расширения Web-служб All Unknown ISAPI Extensions и All Unknown CGI Extensions. По умолчанию этим двум элементам назначается режим Prohibited. Значит, приложение не будет работать, если ему явно не предоставлено разрешение для работы с IIS 6.0. Если пользователь запрашивает файл, не связанный с активным процессом, то IIS 6.0 передает ему сообщение об ошибке «HTTP Error 404 File or directory not found» и записывает в журнал W3SVC сообщение 404.2 «Denied due to lockdown policy». 404.2 и другие коды статуса IIS 6.0 можно записать в файл W3SVC для диагностики. Коды статуса в IIS 5.0 и IIS 4.0 существуют, но в журналы W3SVC не записываются. Их можно направить для обработки на специальные страницы ошибок. Коды статуса IIS 6.0 полезны, так как в них приведены подробные сведения о неполадках: например, 403.18 Forbidden — Cannot execute request from this application pool («невозможно выполнить запрос из данного пула приложений»); 403.20 Forbidden: Passport Login failed («ошибка Passport Login»); 404.3 Not Found — Denied due to MIMEMAP Policy («отказано на основании политики MIMEMAP»). Эти и другие ошибки пересылаются на специализированные страницы, которые не сообщают пользователю код статуса, и потенциальный взломщик не сможет воспользоваться данной информацией.

    Еще одно усовершенствование в системе безопасности — возможность назначить Cryptographic Service Provider (CSP — провайдер услуг по шифрованию), который облегчает интеграцию аппаратных акселераторов шифрования Secure Sockets Layer (SSL) с IIS 6.0. Переместив задачи шифрования с универсального процессора сервера на специализированное аппаратное устройство, оптимизированное для этой цели, можно значительно повысить производительность. Чтобы назначить устройство CSP, следует установить флажок Select cryptographic service provider (CSP) for this certificate при подготовке запроса сертификата с использованием мастера IIS Certificate Wizard. На экране появится список Available Providers, из которого можно выбрать провайдера. Если используется специализированное устройство шифрования, то поставщик предложит подходящего CSP.

    Метабаза

    Работая над IIS 6.0, специалисты Microsoft отказались от двоичной файловой структуры метабазы IIS 5.0 и IIS 4.0, привязывавшей метабазу к серверу, на котором она создана. Метабаза IIS 6.0 состоит из двух XML-файлов: Metabase.xml содержит параметры сервера IIS 6.0, а mbschema.xml — схему метабазы. Новая функция IIS Manager позволяет сохранить копию метабазы, для этого требуется щелкнуть правой кнопкой мыши на Web Sites и выбрать пункты All Tasks, Save Configuration to a File. Затем следует указать имя файла и путь к резервной копии метабазы. При таком способе сохранения метабазы IIS 6.0 шифрует некоторые ее части с использованием ключа системы. Следовательно, резервная копия метабазы может пригодиться только на той машине, на которой она была создана. Однако если установить флажок Encrypt configuration using password и зашифровать экспортируемый файл метабазы паролем, указанным администратором, IIS 6.0 заменит компьютерный ключ паролем администратора, и файл метабазы можно будет импортировать на другой сервер, используя прежний пароль. Автоматизировать процедуру резервного копирования метабазы можно с помощью утилит iisback.vbs и scnfg.vbs из папки windowssystem32.

    В некоторых случаях полезно сохранить конфигурацию пула приложений, Web-узла или виртуального каталога, не сохраняя всю метабазу. Для этого следует щелкнуть правой кнопкой мыши на объекте, конфигурацию которого нужно сохранить, и вновь выбрать пункты All Tasks, Save Configuration to a File (см. Экран 2). Чтобы импортировать параметры на другой сервер, требуется ввести пароль для шифрования файла.

    Если щелкнуть правой кнопкой мыши на разделе Application Pools, Web Sites или на отдельном Web-узле и выбрать пункты New, Application Pool (from file); New, Web Site (from file); или New, Virtual Directory (from file), то можно сформировать новый пул приложений, Web-узел или виртуальный каталог из сохраненного файла. Так, например, можно создать виртуальный каталог, экспортировать параметры виртуального каталога с помощью функции Save Configuration to a File, а затем воспользоваться функцией New, Virtual Directory (from file), чтобы импортировать эти параметры на несколько Web-узлов. Другими словами, имеется возможность построить шаблон, настроенный в точном соответствии с требованиями администратора, и использовать его как для организации или конфигурирования новых сайтов, так и для восстановления параметров.

    Еще одно преимущество новой переносимой метабазы IIS 6.0 — возможность творческого подхода к модернизации. Чтобы не выполнять переход с Windows 2000/IIS 5.0 на Windows 2003/IIS 6.0 на месте, необходимо решить проблему миграции непереносимой метабазы IIS 5.0 на новый сервер IIS 6.0. Для этого нужно создать новый сервер Windows 2003, сделать резервную копию сервера Windows 2000, а затем модернизировать сервер Windows 2000 до Windows 2003. Полученную в результате метабазу можно сохранить с паролем, а затем импортировать на новый сервер. В метабазу придется внести некоторые поправки на учетную запись IUSR нового сервера и другие изменения, но, по крайней мере, перенос становится возможным.

    Метабаза IIS 6.0 представляет собой текстовый файл, содержащий корректные конструкции XML, поэтому ее можно открыть и отредактировать в таком текстовом редакторе, как Notepad. В некоторых случаях, при замене метабазы IIS 5.0 или IIS 4.0, необходимо перезапустить IIS. На машинах со многими Web-узлами эта операция может занять довольно много времени и привести к простоям на серверах, имеющих большие метабазы, например на серверах Internet-провайдера. Во избежание подобных осложнений, IIS 6.0 дополнен функцией редактирования на ходу, которую можно запустить, установив флажок Edit в диалоговом окне Properties для сервера в IIS Manager. После того как будет установлен флажок (см. Экран 3), можно открыть метабазу в Notepad, вставить в нее виртуальный каталог и закрыть файл. Изменения вступят в силу почти немедленно, без перезапуска.

    Экран 3. Режим прямого редактирования метабазы.

    Конечно, в результате прямого редактирования метабазы легко повредить сервер или приложение. Поэтому разработчики Microsoft создали папку истории версий метабазы system32inetsrvhistory. Всякий раз, когда в метабазу вносится изменение или перезапускается IIS 6.0, в этой папке сохраняется резервная копия старой метабазы.

    IIS Manager

    От каждой существенно обновленной версии продукта мы ожидаем заметных улучшений пользовательского интерфейса. Но число изменений в IIS Manager IIS 6.0 на удивление мало.

    Одно из новшеств пользовательского интерфейса заслуживает внимания —оно простое, но полезное. Если щелкнуть правой кнопкой мыши на папке в IIS Manager, можно выбрать пункт Permissions, который открывает вкладку Security данной папки. На данной вкладке можно изменить разрешения NTFS, не покидая IIS Manager. В этом году новая функция сэкономит администраторам всего мира тысячи рабочих часов.

    Другое изменение связано со страницей свойств, отображаемой по щелчку правой кнопкой мыши на Web-узле. Следует выбрать пункт Properties, перейти к вкладке Directory Security и щелкнуть на функции Edit в разделе Secure Communications. Страница свойств Secure Communications используется для настройки SSL, списков доверия сертификатов (certificate trust list, CTL) и клиентских сертификатов.

    В IIS 5.0 и IIS 4.0 доступ к этой странице можно получить лишь после установки сертификата на Web-узле. Данное ограничение не совсем понятно, так как настройка списков CTL и клиентских сертификатов с технической точки зрения не требует установки сертификата на сервере. Другими словами, требование пользовательского интерфейса — единственная причина для применения сертификата в IIS 5.0. В IIS 6.0 это несоответствие исправлено — обращаться к странице свойств и использовать ее функции можно, не задействуя сертификата на Web-узле.

    Разрешение доступа к CTL и клиентским сертификатам без установки сертификата на Web-узле устраняет одну проблему, но порождает другую. С помощью страницы свойств Secure Communications можно задействовать функцию Require secure channel (SSL). Однако, поскольку в IIS 6.0 для обращения к данной странице сертификат не нужен, Web-узел или каталог могут требовать SSL, даже если Web-узел не настроен на использование SSL.

    В этом случае пользователи получат сообщение 403.4 Forbidden: SSL is required to view this resource («Для просмотра данного ресурса необходим протокол SSL»). Но не следует заблуждаться: возможность активизировать режим Require secure channel (SSL) для Web-узла или каталога не означает, что Web-узел или каталог могут согласовать SSL.

    Механизм перехвата ISAPI

    Тем администраторам, которые знакомы с фильтрами Internet Server API (ISAPI) IIS 4.0 и IIS 5.0, вероятно, известны и их недостатки. Такие фильтры трудно строить, а поскольку они работают в процессе Inetinfo, то ошибки могут привести к катастрофическим отказам. ISAPI-фильтры не располагают всеми возможностями полноценных DLL ISAPI. Тем не менее они полезны, так как это единственный механизм IIS 4.0 и IIS 5.0, который позволяет применить любой программный код ко всему трафику, поступающему на Web-сервер или Web-узел.

    В IIS 6.0 реализован новый, более гибкий механизм, известный как перехват ISAPI (ISAPI interceptors, иначе называемые программами подставки — wildcard applications), который обеспечивает услуги, часто предоставляемые фильтрами ISAPI. Чтобы настроить такие приложения, следует щелкнуть правой кнопкой мыши на Web Sites в IIS Manager, выбрать пункт Properties и перейти к вкладке Home Directory, а затем щелкнуть на Configuration. На вкладке Mappings диалогового окна Application Configuration (см. Экран 4) можно вставить несколько ISAPI DLL в качестве программ подставки. IIS 6.0 будет вызывать эти приложения для каждого поступающего запроса. Соответствующие параметры можно настроить для отдельных Web-узлов и каталогов. Поскольку перехватчики ISAPI представляют собой типичные приложения ISAPI, они наделены полным набором функций, свойственных любому приложению ISAPI, в том числе функций доступа к телу сообщений, а не только к заголовкам, как в фильтрах ISAPI.

    С помощью подставляемого приложения можно выполнить любые операции, необходимые разработчику, в том числе настройку URL, аутентификацию, специальные процедуры регистрации, обнаружение попыток несанкционированного доступа и создание контента. После того как «подставленное» приложение закончит свою работу, оно передает запрос соответствующему механизму обработки (например, asp.dll для ASP-страницы), который обслуживает запрос. Подставляемое приложение может перенаправить трафик на любую страницу в том же пуле приложений, вызвав новую функцию ExecuteURL, доступную для приложений ISAPI.

    Данный метод перехвата ISAPI открывает новые возможности для программистов приложений. Например, новые функции авторизации URL реализованы как ISAPI-перехватчик в urlauth.dll. Благодаря авторизации, IIS 6.0 предоставляет доступ к URL на основе правил, таких, как членство в группе, текущее состояние или любой другой атрибут, связанный с пользователем в базе данных или AD. Более подробную информацию о перехвате ISAPI и авторизации URL можно найти в файлах подсказки IIS 6.0.

    Протоколирование

    Серверным функциям протоколирования редко уделяется повышенное внимание, но они необходимы для повседневного управления и мониторинга сервера. В IIS 6.0 они были значительно усовершенствованы, но, к сожалению, в журнале W3SVC по-прежнему невозможно регистрировать события по местному времени.


    Программный код записи в журналы был перемещен в файл http.sys и работает в ядре операционной системы. Таким образом, удалось ускорить запись в журналы и исключить конкуренцию между рабочими процессорами за один файл журнала. В некоторых случаях http.sys обнаруживает ошибку, которую ему не удается записать в журналы Web-узла. Например, обработке запроса может помешать рециркуляция рабочего процесса или пользователь, попытавшийся установить соединение с сервером, но пославший лишь часть информации, необходимой для IIS. Http.sys записывает эти события в новом файле журнала с именем httperr.log.

    Httperr.log незаменим для диагностики и настройки рабочих параметров IIS 6.0. По умолчанию журнал хранится в папке system32logfiles, но его местоположение можно изменить, добавив в раздел реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesHTTPParameters строковый параметр с именем ErrorLoggingDir, содержащий полный путь к целевой папке. В журнале можно найти, в частности, все ошибки с кодом 503, информацию о тайм-аутах бездействующих соединений, ошибки, произошедшие в процессе разбора URL, и последние 10 запросов, поступивших в отказавший пул приложений.

    Кроме того, IIS 6.0 дополнен функцией двоичной регистрации. Если эта функция запущена, то в один из файлов записывается вся информация из журнала о Web-узле в двоичном формате. Для активизации двоичного протоколирования и создания двоичного файла журнала с расширением .ibl следует присвоить элементу метабазы W3SVCC/CentralBinaryLoggingEnabled значение true (1). Данная функция может быть полезна для Internet-провайдеров, на каждом сервере которых размещается 1000 и более Web-узлов. Каждый Web-узел ежедневно генерирует журнал, и общее число файлов быстро становится астрономическим. Недавно выпущенный Microsoft инструмент Log Parser 2.0 может читать двоичный журнал и составлять отчеты. Получить его можно по адресу: http://download.microsoft.com/download/iis50/utility/2.0/ nt5xp/en-us/setup.exe. Log Parser может также читать и составлять отчеты для упоминавшегося ранее файла httperr.log.

    Чтобы записывать в журнал информацию на языке, отличном от английского, можно настроить http.sys на использование набора символов UTF-8 вместо ASCII. Для этого следует щелкнуть правой кнопкой мыши на локальном компьютере в IIS Manager, открыть диалоговое окно Properties и установить флажок Encode Web logs in UTF-8.

    В IIS давно существует возможность указать папку на локальном сервере, в которой следует хранить файлы журналов. IIS Manager версий IIS 5.0 и IIS 4.0 позволяет указать путь UNC для удаленного сервера, но в действительности Web-сервер не будет сохранять файлы на удаленном сервере. IIS 6.0 поддерживает путь UNC к каталогу журналов.

    Генерация ID сайта

    Номер, а не имя, служит уникальным идентификатором Web-узла для IIS. При создании нового Web-узла в IIS 5.0 или IIS 4.0, Web-сервер присваивает Web-узлу очередной последовательный номер (т. е. Web-сервер дает Web-узлу, формируемому по умолчанию, номер 1, а следующим сайтам, созданным администратором, номера 2, 3 и т. д.). Для доступа к комплекту журналов сайта, путь к которому имеет окончание W3SVCsiteIDnumber, нужно знать его идентификационный номер. Если имеется два или несколько сайтов, то по именам папок журналов нельзя определить их принадлежность конкретным Web-узлам. ID сайта необходим также для подготовки сценариев или внесения изменений в метабазу, так как часто невозможно указать путь в Microsoft Active Directory Service Interfaces (ADSI) к разделу метабазы, не зная ID.

    Тем не менее в IIS Manager версий IIS 5.0 и IIS 4.0 отыскать идентификационные номера нелегко. Чтобы устранить этот недостаток, разработчики дополнили IIS Manager версии IIS 6.0 новым столбцом Identifier, в котором перечислены ID сайтов. Может показаться удивительным, что при наличии всего двух или трех сайтов номера ID могут быть большими. Первый созданный мною сайт имел ID 387660891 (и путь W3SVC387660891). IIS 6.0 не нумерует сайты последовательно, а использует формулу на основе имени сайта. Данный подход полезен в Web-пуле, в котором одним и тем же Web-узлам можно присваивать идентичные ID.

    В некоторых сценариях и утилитах используется последовательная нумерация сайтов. Чтобы отменить новую систему нумерации и вернуться к последовательной системе, следует открыть раздел реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftInetMgr Parameters, создать параметр типа REG_DWORD с именем Incremental-SiteIDCreation и присвоить ему значение 2. По умолчанию данный параметр отсутствует.

    Асинхронная обработка CGI

    В IIS 5.0 и IIS 4.0 процессы Common Gateway Interface (CGI) выполняются синхронно. В сущности, это означает, что в каждый момент времени к процессу CGI может обращаться только один поток. Поэтому возможности масштабирования IIS 5.0 и IIS 4.0 оставляют желать лучшего. В IIS 6.0 процессы CGI выполняются асинхронно, поэтому потоку, вызывающему приложение CGI, не приходится ждать, пока процесс CGI возвратит информацию. Благодаря асинхронности CGI повышается производительность IIS-серверов, работающих с Web-приложениями CGI, и открывается возможность использовать больше CGI-приложений для выполнения критически важных задач в IIS.

    Сквозная аутентификация виртуальных каталогов

    Разработчики Microsoft уже давно планировали реализовать сквозную аутентификацию виртуальных каталогов и наконец осуществили задуманное. В IIS 5.0 и IIS 4.0 единственные пользовательское имя и пароль служат для доступа к удаленному контенту в виртуальном каталоге, связанном с путем UNC. Все обращения к удаленному серверу направляются через одну учетную запись пользователя, поэтому глубоко детализированная настройка защиты удаленной системы невозможна. Кроме того, принципиальные особенности Windows 2000 ограничивают объем трафика, проходящего по пути с одним именем. Более подробную информацию об использовании имен UNC в Windows 2000 можно найти в статье Microsoft «IIS Runs Out of Work Items and Causes RPC Failures When Connecting to a Remote UNC Path» at http://support.microsoft.com/?kb >

    В IIS 5.0 и IIS 4.0 возникают трудности при получении с удаленного сервера извещений об изменениях файлов. Компания Microsoft приложила немало усилий, чтобы решить эту проблему в Windows 2003 и усовершенствовала метод, используемый в IIS 6.0 для оповещения об изменениях файлов. По умолчанию, IIS 6.0 не ждет оповещений об изменениях файлов, а запрашивает о них через каждые 5 с. Такой подход повышает надежность, но не столь удачно масштабируется, как старый метод, поэтому сервер можно настроить на ожидание извещений об изменениях файлов. Кроме того, теперь можно настроить виртуальные каталоги на сквозную передачу пароля и имени пользователя на удаленный сервер. Эти и другие улучшения Windows 2003, такие, как детализированное (constrained) делегирование, не только укрепляют безопасность, но и облегчают применение сетевых устройств памяти и сетей хранения данных (SAN — rage Area Networks).

    Ускорение канала связи

    Из вкладки Performance диалогового окна Properties IIS 5.0 и IIS 4.0 можно активизировать режим регулировки скорости канала связи и указать максимальную полосу пропускания для данного Web-узла. Однако приведенная функция работает плохо, так как IIS 5.0 и IIS 4.0 не могут управлять сетевыми адаптерами сервера. Когда регулировка скорости канала связи впервые активируется на Web-узле IIS 6.0, Windows 2003 автоматически устанавливает программу QoS Packet Scheduler, которая обеспечивает взаимодействие с IIS. QoS Packet Scheduler активирует функции Quality of Service (QoS — гарантированное качество обслуживания) для сервера, и Windows 2003 останавливает все сетевые службы на время установки. После того как конфигурирование QoS Packet Scheduler будет завершено, в распоряжении IIS появится драйвер, который впервые открывает реальную возможность регулировки скорости канала связи для Web-узлов — это хорошая новость для Internet-провайдеров. Минимальное возможное ограничение — 1024 байт/с. Необходимо убедиться, что сетевой адаптер входит в список Windows 2003 Hardware Compatibility List (HCL — список аппаратно-совместимого оборудования), так как только новые устройства поддерживают функции QoS. Прежде чем приступать к настройке конфигурации QoS Packet Scheduler, нужно создать консоль Group Policy. Следует щелкнуть на кнопке Start, выбрать пункт Run, ввести с клавиатуры

    и щелкнуть OK. Затем требуется щелкнуть на Console, Add/Remove Snap-in, Add. Выбрав редактор Group Policy Object Editor, следует щелкнуть на Add, Finish, Close, OK. Теперь необходимо развернуть разделы Local Computer Policy, Computer Configuration, Administrative Templates, Network, чтобы вывести на экран объект QoS Packet Scheduler (см. Экран 5). В результате установки QoS Packet Scheduler ко всей системе применяется ряд стандартных параметров, которые могут повлиять на регулировку скорости канала связи IIS. Например, QoS Packet Scheduler по умолчанию ограничивает потребности одной машины 20% от общедоступной полосы пропускания, если администратор не изменит параметр Limit reservable bandwidth программы QoS Packet Scheduler (см. Экран 5).

    Другие стандартные параметры

    IIS 6.0 располагает рядом стандартных параметров, отличных от параметров IIS 5.0 и IIS 4.0. Например, стандартное значение тайм-аута соединения снижено с 900 до 120 с, а параметр EnableParentPaths по умолчанию отключен. Некоторые новшества могут повлиять на рабочие характеристики сервера.

    • Отвергается любой запрос к расширению, которое не отображено в свойстве метабазы MimeMap.
    • По умолчанию все рабочие процессы автоматически перезапускаются через 1740 мин; в процессе рециркуляции может быть потеряна информация о сеансе.
    • Учетная запись пользователя, от имени которой выполняются CGI-приложения, должна быть членом группы IIS_WPG group.
    • Collaboration Data Objects for Windows NT Server (CDONTS) в Windows 2003 не устанавливается. В Microsoft рекомендуют использовать вместо него объект CDO for Windows 2000 (CDOSYS).
    • По умолчанию максимальный размер ASP Post — 204 800 байт, а каждого поля — 100 Кбайт. В IIS 5.0 и IIS 4.0 таких ограничений нет.
    • Ограничение заголовка клиента Http.sys — 16 Кбайт, но эту величину можно изменить в реестре.

    На этом я завершаю рассказ об IIS 6.0, хотя мне не удалось охватить все возможности Web-сервера. Не нашлось места для описания обновленного Administrative Web Site, который размещается вместе с системой Windows 2003 (вместе с сертификатом SSL) по запросу (по умолчанию в Windows 2003, Web Edition). Пропущены такие известные функции, как Passport Authentication и усовершенствованная Digest Authentication.

    Я уделил внимание лишь важнейшим функциям и некоторым малоизвестным возможностям, которые дают представление о глубине изменений в IIS 6.0. Во многих отношениях IIS 6.0 затмевает собой Windows 2003 и, на мой взгляд, заслуживает «звездной» роли.

    Поделитесь материалом с коллегами и друзьями

    Internet Information Services

    Internet Information Services
    Тип проприетарное программное обеспечение и HTTP-сервер
    Разработчик Microsoft
    Написана на C++
    Операционная система Microsoft Windows NT
    Последняя версия 10
    Лицензия Microsoft EULA
    Сайт iis.net

    IIS (Internet Information Services, до версии 5.1 — Internet Information Server) — проприетарный наборсерверов для нескольких служб Интернета от компании Майкрософт. IIS распространяется с операционными системами семейства Windows NT.

    Основным компонентом IIS является веб-сервер, который позволяет размещать в Интернете сайты. IIS поддерживает протоколы HTTP, HTTPS, FTP, POP3, SMTP, NNTP. По данным компании Netcraft на июнь 2015 года, почти 22 млн сайтов обслуживаются веб-сервером IIS, что составляет 12,32 % от общего числа веб-сайтов. [1]

    Версии IIS Править

    Номер версии Выпущена в составе Год
    1.0 Windows NT 3.51 1995
    2.0 Windows NT 4.0 1996
    3.0 Пакет обновления 3 для Windows NT 4.0 1997
    4.0 Пакет Option Pack для Windows NT 4.0 1998
    5.0 Windows 2000 2000
    5.1 Windows XP Professional 2001
    6.0 Windows Server 2003 2003
    7.0 Windows Vista; Windows Server 2008 2006
    7.5 Windows 7; Windows Server 2008 R2 2009
    8.0 Windows 8; Windows Server 2012 2012
    8.5 Windows 8.1; Windows Server 2012 R2 2013
    10 Windows 10; Windows Server 2020 2015

    Служба WWW в составе IIS Править

    Основным компонентом IIS является веб-сервер — служба WWW (называемая также W3SVC), которая предоставляет клиентам доступ к сайтам по протоколам HTTP и, если произведена настройка, HTTPS.

    Один сервер IIS может обслуживать несколько сайтов (IIS 6.0 и выше). Каждый сайт имеет следующие атрибуты:

    • IP-адрес сайта;
    • TCP-порт, на котором служба WWW ожидает подключений к данному сайту;
    • Заголовок узла (Host header name) — значение заголовка Host запроса HTTP, указывающее обычно DNS-имя сайта.

    Таким образом, например, один сервер с одним IP-адресом может обслуживать на одном TCP-порту несколько сайтов. Для этого необходимо создать несколько DNS-записей, указывающих на IP-адрес сервера, и различать сайты по заголовкам узла.

    Для каждого сайта указывается домашний каталог — каталог в файловой системе сервера, соответствующий «корню» сайта. Например, если сайтуwww.example.com сопоставлен домашний каталог D:\example, то на запрос ресурса с адресом http://www.example.com/index.htm веб-сервер вернёт файл D:\example\index.htm.

    Архитектура службы WWW Править

    В IIS 6.0, доступном в составе систем Windows Server 2003, служба WWW претерпела серьёзные изменения. Был добавлен новый режим обработки запросов, называемый режимом изоляции рабочих процессов (англ. worker process isolation mode). В этом режиме все веб-приложения, обслуживаемые сервером, работают в разных процессах, что повышает стабильность и безопасность системы. Кроме того, для приёма запросов HTTP был создан новыйдрайвер http.sys, который работает в режиме ядра, что ускоряет обработку каждого запроса.

    Все запросы к статическому содержимому, не требующие исполнения скриптов, исполняются самим драйвером http.sys в ядре, что сближает веб-сервер IIS с серверами режима ядра.

    При этом запросы к динамическому содержимому исполняются рабочим процессом и загруженными в его адресное пространство модулями. С точки зрения пути исполнения запросов не существует центрального процесса, что повышает надежность в случае отказа, вызванного ошибкой в скрипте или ином модуле исполнения. Рабочие процессы автоматически перезапускаются при возникновении ошибок.

    Протокол SSL поддерживается отдельным процессом HTTP SSL, который служит мостом между протоколом TCP и драйвером http.sys.

    Безопасность в службе WWW Править

    Веб-сервер IIS предоставляет несколько способов разграничения доступа к сайтам и веб-приложениям. Служба WWW в составе IIS отличается от других веб-серверов тем, что функции обеспечения безопасности в ней тесно интегрированы с системой Windows NT, на основе которой она работает. В частности, чтобы получить доступ к защищённому ресурсу, посетитель должен ввести имя и пароль пользователя, существующего в системе Windows, на которой установлен IIS (или в домене Active Directory, если сервер принадлежит к домену). После этого пользователь работает с сайтом так же, как если бы он выполнил интерактивный вход в систему на сервере. К нему применяются установленные файловой системой NTFS разрешения на доступ к файлам икаталогам. Эта особенность IIS удобна для внутренних сайтов предприятий, однако практически неприменима для открытых сайтов Интернета, где невозможно создавать пользователя Windows для каждого зарегистрированного посетителя сайта. Поэтому в последнем случае разработчикам сайтов и веб-приложений обычно приходится использовать собственные механизмы ограничения доступа.

    Определённый пользователь Windows сопоставляется с каждым посетителем сайта даже в том случае, когда ограничение доступа не требуется. Этот режим называется режимом анонимного доступа. В этом случае посетитель представляется на сервере как специальный пользователь, имя которого обычно имеет формат IUSR_xxxx (где xxxx — имя компьютера, на котором установлен IIS, в седьмой версии этот специальный пользователь не содержит имени компьютера, то есть просто IUSR). Этому пользователю должен быть разрешён доступ к ресурсам, которые открыты анонимным посетителям.

    Начиная с версии 6.0 служба WWW поддерживает следующие методы аутентификации, то есть определения личности пользователя по имени и паролю: [2]

    • Анонимная аутентификация (anonymous authentication) — определение личности пользователя не выполняется.
    • Базовая аутентификация (basic authentication) — имя и пароль передаются по сети открытым текстом.
    • Дайджест-аутентификация (digest authentication) — пароль обрабатывается хеш-функцией перед отправкой по сети, что делает невозможным его прочтение в случае перехвата злоумышленником.
    • Встроенная аутентификация Windows (integrated Windows authentication) — выполняется попытка входа на сервер с теми же учётными данными, под которыми работает браузер пользователя.
    • Аутентификация для доступа к UNC-ресурсам (UNC authentication) — имя и пароль передаются удаленному серверу, на котором находится опубликованный в IIS UNC-ресурс, и удаленный сервер выполняет аутентификацию.
    • Аутентификация с использованием .NET Passport (.NET Passport Authentication) (удалена в Windows Server 2008 и IIS 7.0) [3] — для аутентификации используется служба .NET Passport.
    • Аутентификация с использованием клиентского сертификата (certificate authentication) — для аутентификации пользователь должен предоставить SSL-сертификат.

    Реализация веб-приложений для IIS Править

    Веб-сервер IIS поддерживает несколько различных технологий создания веб-приложений:

    • ASP.NET — разработанная Microsoft технология; для IIS это — основное на сегодняшний день [4] средство создания веб-приложений и веб-служб. IIS 6.0 поставляется вместе с операционными системами, в которые также изначально входит .NET Framework, так что поддержка ASP.NET как будто уже встроена в IIS 6.0; для более ранних версий необходимо отдельно загрузить и установить .NET Framework.
    • ASP — предшествовавшая ASP.NET технология создания динамических веб-страниц на основе сценариев. Входит в поставку IIS начиная с версии 3.0.
    • CGI — стандартная межплатформенная низкоуровневая технология создания динамических веб-страниц.
    • FastCGI — клиент-серверный протокол взаимодействия веб-сервера и приложения.
    • ISAPI — низкоуровневая технология, аналогичная интерфейсу модулей Apache, предоставляющая полный доступ ко всем возможностям IIS, возможность разработки веб-приложений в машинном коде и возможность переопределения части функций IIS и добавления к нему функций, как связанных с генерацией контента, так и не связанных с этим. Подсистема исполнения скриптов ASP и подсистема ASP.NET выполнены как модули ISAPI.
    • SSI — включение в одни страницы текста из других страниц. Строго говоря, веб-приложением не является, поскольку IIS поддерживает лишь ограниченный набор возможностей и без того малофункционального SSI. В частности, IIS5 поддерживает только статическое включение и игнорирует команды условного ветвления.

    Сам сервер поддерживает только CGI, FastCGI [5] , ISAPI и SSI. Все остальные технологии являются надстройками, работающими через CGI, FastCGI или ISAPI.

    При помощи CGI приложения для IIS могут разрабатываться на основе практически любых, в том числе сторонних, инструментов, допускающих запись встандартный поток вывода и чтение переменных среды — Perl, C/С++ и даже средствами интерпретатора командной строки Cmd.exe.

    Технология ISAPI позволяет, с одной стороны, создавать специальные приложения для IIS, требующие особенно тесного взаимодействия с механизмом сервера, а с другой стороны, является удобной платформой для организации эффективного взаимодействия IIS с другими технологиями разработки веб-приложений — например, PHP и Perl.

    Почтовые возможности Править

    IIS поддерживает работу SMTP/POP3-сервисов. В современных версиях Microsoft Exchange Server реализация протоколов SMTP, POP3 и IMAP выполнена в виде подсистем к IIS, заменяющих поставляемые с IIS почтовые подсистемы.

    Как включить IIS в Windows 10

    Windows 10 — это современная операционная система для компьютеров. На сегодняшний день в ней существует огромное количество различных скрытых функций, приложений и служб. Все они уже включены в Windows и позволяют расширить потенциал системы.

    Именно такой службой является IIS или как принято называть — Internet Information Service. Специализированный сервис IIS — это комплект, предназначенный для создания, редактирования и полного управления сайтами. Такой специализированный сервис может использовать абсолютно любой пользователь и создавать на сервисе IIS собственные веб-сайты, являясь хостингом для них. Необходимо знать, что один сервер IIS способен управлять сразу несколькими веб-сайтами. При этом такой сайт будет иметь собственные свойства и настройки.

    Интересные статьи по теме:

    Как установить IIS в Windows 10

    Изначально служба IIS в операционной системе Windows 10 выключена, а точнее не установлена. Это сделано с той целью, чтобы система поглощала, как можно меньше ресурсов и ваш персональный компьютер работал более оптимально. Поэтому если вы не нуждаетесь в данной службе, то желательно научиться ее включать и таким же образом выключать, чтобы не тратить лишние ресурсы вашего компьютера.

    Для того чтобы установить службу IIS необходимо

    Попасть в управление панели Windows. Сделать это можно с помощью клавиш Win + R, прописав там — control panel.

    В открывшемся окне в правом вернем углу выбрать размер значков и выбрать в панели — крупные значки.

    После чего найти пункт программы и компоненты. Найти их можно в этом окне, пролистав мышкой, далее необходимо зайти в этот пункт.

    Теперь остается обратиться во вкладку включение или отключение компонентов Windows. Находиться она в левой стороне экрана.

    В этой вкладке среди множества различных служб необходимо найти службу интернета. Находится она в папке службы iis.

    В этой папке необходимо поставить галочку напротив этой службы, а также службы интернета и самой службы Internet Information Service, и подождать пока закончится загрузка.

    После этого на вашем компьютере будет установлена служба Internet Information Service.
    После установки, компьютер можно не перегружать, а сразу переходить к настройкам и управлению Internet Information Service. (установка этой службы займет не более 1 минуты)

    Попасть в эту службу можно при помощи пуска, где у пользователя должна появиться новая вкладка с названием – диспетчер служб iis.

    Теперь с помощью этой вкладки можно входить в Internet Information Service. В этом окне можно настраивать, управлять и редактировать вебсайт.

    Функционал службы достаточно обширный и конечно прежде всего подойдет для профессиональных пользователей, которые знакомы с веб-сайтами и хостингами. Хотя и пользоваться данной службой будет не затруднительно обычным юзерам.

    Как можно заметить, проблем с установкой данные службы у пользователя возникнуть не должно. Однако использовать ее необходимо только по назначению, во всех иных случаях лучшее ее отключить для более гладкой работы вашей операционной системы.

    Работа с консолью IIS

    Работа с консолью IIS.

    Сначала ознакомьтесь с оснасткой IIS Microsoft Management Console (MMC). Откройте IIS MMC посредством выбора команды Start\Administrative Tools\Internet Information Services (IIS) Manager. В MMC осуществляется настройка всех установленных компонентов IIS. Для настройки веб-сайтов служит папка Web Sites (Веб-узлы) в левой области консоли. При открытии этой папки в левой части окна отображается список всех веб-сайтов данного сервера, а в правой – основная информация о каждом из них (см. рис. 2.1).

    увеличить изображение
    Рис. 2.1. Веб-узлы в консоли IIS MMCКаталоги веб-сайтов

    Щелкнув на имени веб-сайта в левой части окна MMC, вы увидите, как справа появится список всех его файлов и каталогов. С консолью MMC работают так же, как и с Internet Explorer. Она позволяет получить доступ к разрешениям NTFS для каталогов, однако не дает возможность настройки разрешений NTFS для файлов. С ее помощью можно выяснить, какие файлы доступны в сконфигурированных каталогах.Идентификатор веб-сайта

    Первым сайтом в списке является Default Web Site (Веб-сайт по умолчанию). С каждым сайтом ассоциируется случайным образом сгенерированный идентификатор. Идентификатором сайта Default Web Site всегда является 1. Этот идентификатор используется в файле конфигурации метабазы для ссылки на данный сайт, с ним работают все интерфейсы программирования (например, WMI или ADSI).

    Управление службами веб-сайта

    Используемая веб-сайтами служба Windows называется World Wide Web Publishing Service. Она осуществляет управление веб-сайтами, и при ее остановке все веб-узлы будут отключены. Консоль MMC позволяет останавливать, запускать и приостанавливать работу отдельных веб-сайтов.

    Для запуска, остановки или приостановки работы сайта щелкните на имени сайта, затем с помощью кнопок на панели инструментов выберите нужное действие. Эти кнопки похожи на кнопки воспроизведения, остановки и паузы на пульте управления видеомагнитофоном или DVD-проигрывателем. Столбец State (Состояние) в правой части консоли MMC отображает текущее состояние сайта – работа, остановка или приостановка.

    • Running. Веб-сайт в данный момент работает.
    • Stopped. Веб-сайт не обслуживает клиентов и не отвечает на их запросы.
    • Paused. Веб-сайт не отвечает на новые запросы. Процессы, запущенные перед приостановкой веб-сайта, выполняются, после чего завершают свою работу. Используется, если нужно остановить веб-сайт без внезапного отключения клиентов.

    Адресация сайтов

    Каждому работающему сайту нужно присвоить однозначный, связанный только с ним адрес. Доступны три способа адресации, и один из трех адресов должен быть уникальным. Выберите такой адрес из следующего списка:

    • значение заголовка узла;
    • IP-адрес;
    • номер порта (не SSL-порт; он в расчет не принимается).

    Сведения о настройке этих параметров приведены в разделе «Настройка адреса для веб-сайта» далее в лекции. При запуске веб-сайта, не имеющего уникального адреса, отобразится сообщение об ошибке.

    Создание виртуальных каталогов

    В дополнение к физическим каталогам в MMC конфигурируются и виртуальные каталоги. Виртуальный каталог позволяет перенаправить клиента в другой каталог, адрес URL или место расположения на другом компьютере, и при этом выглядит как простой каталог.

    Создание виртуального каталога является несложной процедурой.

    1. Откройте консоль IIS MMC с помощью команды Start\Administrative Tools\Interet Information Services (IIS) Manager (Пуск\Администрирование\Диспетчер IIS).
    2. В левой части окна IIS MMC выделите веб-сайт или каталог, в котором будет создаваться виртуальный каталог.
    3. Выберите команду Action\New\Virtual Directory (Действие\Создать\Виртуальный каталог).
    4. Откроется окно Virtual Directory Creation Wizard (Мастер виртуальных каталогов). Нажмите на кнопку Next (Далее).
    5. В диалоговом окне Virtual Directory Alias (Псевдоним виртуального каталога) ведите псевдоним – имя виртуального каталога, которое будет отображаться клиентам при их работе с каталогом. Нажмите на кнопку Next (Далее).
    6. В диалоговом окне Web Site Content Directory (Каталог содержимого веб-сайта) введите путь к содержимому сайта либо перейдите к нужному каталогу. При перенаправлении на URL выберите любой путь, который в случае необходимости измените позже. Нажмите на кнопку Next (Далее).
    7. В диалоговом окне Virtual Directory Access Permissions (Разрешения доступа к виртуальному каталогу) выберите необходимый уровень разрешений: Read (Чтение), Run Scripts (Выполнение сценариев), Execute (Выполнение), Write (Запись) и Browse (Обзор). Нажмите на кнопку Next (Далее).
    8. Нажмите на кнопку Finish (Готово) для завершения работы мастера.

    Сохранение конфигурации веб-сайта в файле

    После настройки веб-сайта сохраните ее в файле метабазы XML конфигурации сайта. На базе сохраненной конфигурации вы сможете создавать аналогичные сайты на других серверах без перенастройки всех параметров. Также сохраните виртуальные каталоги, сайты FTP и пулы приложений.

    1. В консоли IIS MMC выделите сайт, который нужно сохранить.
    2. Выберите команду Action\All Tasks\Save Configuration To A File (Действие\Все задачи\Сохранить конфигурацию в файле).
    3. В диалоговом окне Save Configuration To A File (Сохранение конфигурации в файле) введите имя файла для сохранения настроек.
    4. Введите место расположения (или перейдите к существующему месту расположения с помощью кнопки Browse [Обзор]) для сохранения данной конфигурации.
    5. Укажите необходимость шифрования экспортного файла. Поскольку он является метабазой XML и содержит информацию, доступ к которой других пользователей нежелателен, рекомендуется установить шифрование.
    6. При использовании шифрования выберите пароль для защиты содержимого.
    7. Нажмите на кнопку OK.

    Создание нового сайта

    На сервере можно создать несколько сайтов, если каждый из них будет уникальным. Для создания нового сайта используйте Web Site Creation Wizard (Мастер создания веб-сайтов) или файл, сохраненный для другого веб-сайта.

    Для создания нового сайта с помощью Web Site Creation Wizard (Мастер создания веб-сайтов) выполните следующие действия.

    1. Выделите Web Sites (Веб-узлы) в левой части панели MMC.
    2. Выберите команду Action\New\Web Site (Действие\Создать\Веб-узел).
    3. В окне Web Site Creation Wizard (Мастер создания веб-сайтов) нажмите на кнопку Next (Далее).
    4. Введите описание сайта – дружественное информативное имя, несущее определенную информацию, с помощью которого сайт легко идентифицируется в консоли MMC.
    5. Введите IP-адрес, порт TCP и (необязательно) Host Header Name (Имя заголовка узла). Значение All Unassigned настроит сайт на использование любого IP-адреса, не занятого другим сайтом. На порте протокола TCP может единовременно выполняться только один сайт (All Unassigned).
    6. Нажмите на кнопку Next (Далее).
    7. Введите имя каталога для нового сайта (или перейдите к нему).
    8. Укажите, следует ли разрешить анонимный доступ к сайту. Нажмите на кнопку Next (Далее).
    9. Выберите уровень разрешений для нового сайта: Read (Чтение), Run Scripts (Выполнение сценариев), Execute (Выполнение), Write (Запись) и Browse (Обзор).
    10. Нажмите на кнопку Next (Далее), затем на кнопку Finish (Готово) для завершения работы мастера.

    При возникновении конфликта адресации с другим сайтом вы, конечно, сможете создать новый сайт, но запустить его будет нельзя.

    Ниже приведены действия по созданию нового сайта с помощью файла.

    1. Выделите Web Sites (Веб-узлы) в левой части панели MMC.
    2. Выберите команду Action\New\Web Site (From File) (Действие\Создать\Веб-узел [из файла]).
    3. В диалоговом окне Import Configuration (Импорт конфигурации) введите имя файла или перейдите к нужному файлу конфигурации.
    4. Нажмите на кнопку Read File (Просмотр) для просмотра конфигурации, находящейся в файле. Ее описание появится в секции Location (Расположение) внизу окна.
    5. В секции Location выделите конфигурацию для импортирования, затем нажмите на кнопку OK.
    6. Если такой сайт уже существует, вам будет предложено либо создать новый сайт, либо заменить существующий.
    7. При создании нового сайта он получит то же самое имя и конфигурацию, но другой идентификатор.
    8. Нажмите на кнопку OK для завершения создания сайта и закрытия окна.

    Доступ ко вкладкам конфигурации

    Для получения доступа ко вкладкам свойств и настроек глобальных веб-сайтов, веб-сайтов, каталогов или файлов, отображаемых в левой части окна консоли MMC, щелкните правой кнопкой на объекте, затем выберите Properties (Свойства). В окне Properties расположены вкладки конфигурации для каждой иерархической ступени. Ниже приводится их описание. Начнем с уровня веб-сайта, так как здесь содержится больше всего вкладок, и он чаще всего используется.

    Вкладки свойств веб-сайта

    Для открытия окна Properties (Свойства) отдельного веб-сайта щелкните правой кнопкой мыши на его имени в левой части консоли MMC и выберите Properties. Рассмотрим вкладки с информацией, которые отображаются при доступе к свойствам сайта BeerBrewers (Пивовары).

    Вкладка Web Site (Веб-узел)

    При открытии окна Properties (Свойства) для любого веб-сайта по умолчанию отображается вкладка Web Site (Веб-узел) (см. рис. 2.2). В ней вводится адрес IP и информация о портах, а также настраивается время простоя соединения и ведение журнала. Во вкладке Web Site необходимо настроить следующие опции.

    Рис. 2.2. Вкладка Web Site (Веб-узел)

    Создание описания

    Информация, введенная в поле Description (Описание), отображается в столбце Description консоли IIS MMC. В этом поле можно определить веб-сайт, указав информативное имя. Это имя скрыто от пользователей веб-сайта.

    Настройка адреса для веб-сайта

    Каждый веб-сайт должен иметь уникальный адрес для передачи ассоциированного с ним трафика. Выделить веб-сайт среди других можно тремя способами: посредством IP-адреса, TCP-порта и имени заголовка узла. С точки зрения адресации возможно использование любой комбинации этих данных, но хотя бы одна комбинация должна быть уникальной для компьютера, на котором располагается сайт.

    IP-адрес (IP-адрес). Позволяет установить главный IP-адрес для веб-сайта. Выберите IP-адрес в ниспадающем меню либо введите его вручную. Выбор варианта (All Unassigned) позволяет настроить веб-сайт на соответствие любому IP-адресу компьютера, не занятому другим веб-сайтом.

    Совет. При вводе IP-адреса вручную проверка наличия такого IP-адреса в системе не выполняется. Вы можете ввести произвольный адрес. Проверяется лишь его правильность и тот факт, что он не используется другим веб-сайтом. Помните о том, что возможно возникновение проблем с соединением, если по этому IP-адресу компьютер будет недоступен.

    Порт TCP (Порт TCP). Указывается номер порта, на котором сайт будет ожидать приема данных. Задайте любой порт, не используемый другой службой. Если вы укажете уже занятый порт, IIS не посчитает это ошибкой. Однако в дальнейшем вероятно возникновение проблем в работе использующей порт службы.

    Например, для веб-сайта указан порт 25, в результате чего возник конфликт со службой Simple Mail Transfer Protocol (SMTP), работающей на том же компьютере и использующей тот же порт. При поступлении к порту 25 данных компьютер не будет знать, какой службе они предназначаются. В большинстве случаев, поскольку служба SMTP устанавливается раньше, веб-запрос отправится к ней и, следовательно, не будет обработан. При выборе номера порта, отличающегося от 80, необходимо убедиться, что он не используется другой службой.

    По умолчанию веб-браузер всегда ожидает поступление данных по порту 80, если в поле адреса не указан другой порт. При изменении номера порта клиенты должны добавлять к адресу URL номер порта, чтобы браузер отправлял запросы к веб-серверу по этому порту. Например, при изменении порта ожидания данных на 1500 клиенты должны указать адрес http://www.beerbrewers.com:1500 вместо обычного http://www.beerbrewers.com.

    Порт SSL (Порт SSL). Указывается порт, по которому к веб-сайту поступают данные Secure Sockets Layer (Протокол защищенных сокетов). SSL позволяет шифровать и/или аутентифицировать данные при их передаче между клиентом и сервером (см. лекцию 10).

    Как и в предыдущем случае, при изменении стандартного номера 443 этого порта клиенты должны добавлять номер порта к адресу URL для открытия веб-сайта. Например, при изменении номера порта на 1543 клиенты для доступа к сайту должны указать адрес https://www.beerbrewers.com:1543 вместо https://www.beerbrewers.com.

    Аdvanced (Дополнительно)

    При нажатии на кнопку Advanced (Дополнительно) открывается окно Advanced Web Site Configuration (Дополнительная настройка веб-сайта), в котором настраиваются дополнительные адреса и идентификаторы. Дополнительные идентификаторы позволяют пользователям осуществлять доступ к сайту по нескольким адресам. Такой подход применяется, если нужно направить пользователей, вводящих URL одного сайта, на другой сайт этого же компьютера без использования DNS (Системы доменных имен). (Более подробная информация приведена в лекции 8). В окне Advanced Web Site Configuration указываются имена заголовков узла, чтобы нескольких веб-сайтов могли использовать один и тот же IP-адрес и порт.

    О заголовках узлов. Заголовки узлов позволяют отделять один адрес веб-сайта от другого. Обычно они служат для настройки разных веб-сайтов на использование одного и того же IP-адреса и порта. Заголовок узла представляет собой полное имя DNS, вводимое в адресной строке браузера для открытия сайта. Заголовки узлов позволяют экономить адресное пространство при наличии одного доступного IP-адреса. При запросе страницы веб-браузером HTTP 1.1 первая часть запроса выглядит следующим образом.

    Часть кода после Host является именем заголовка узла – www.mywebsite.com. IIS использует его для отправки сообщения соответствующему веб-сайту.

    Имена заголовков узлов впервые появились в протоколе HTTP 1.1, и все браузеры, совместимые с HTTP 1.1, работают с ними. Более старые версии браузеров не передают заголовок узла и для любого IP-адреса всегда выполняют переход к веб-сайту по умолчанию.

    Совет. Для поддержки старых версий браузеров можно создать стандартную страницу для IP-адреса со списком веб-сайтов и использовать элементы cookie для направления на эти сайты клиентов. Версии Internet Explorer, начиная с четвертой, и версии Netscape, начиная с 3, поддерживает заголовки узлов, поэтому не будем заострять внимание на этом вопросе. Более полная информация о поддержке старых версий браузеров находится на сайте Microsoft.

    Примечание. Имена заголовков узлов являются частью протокола HTTP 1.1, поэтому их нельзя использовать на сайтах FTP, почтовых и новостных сайтах в IIS. При создании несколько сайтов на одном сервере следует получить несколько IP-адресов или использовать различные порты. Заголовки узлов недоступны и в случае работы с протоколом защищенных сокетов (SSL), так как заголовок находится в зашифрованном запросе.

    Добавление дополнительного тождественного идентификатора. Одному и тому же веб-сайту можно присвоить несколько адресов. Сайт будет отвечать на запросы, поступающие по каждому отдельному адресу и по всем сразу. Каждый адрес, ассоциированный с веб-сайтом, называется тождественным идентификатором. Для создания дополнительного тождественного идентификатора веб-сайта нажмите на кнопку Add (Добавить) в секции Web Site Identification (Идентификация веб-сайта) во вкладке Web Site (Веб-узел). Откроется диалоговое окно Advanced Web Site Identification (Дополнительная идентификация веб-узла) (см. рис. 2.3).

    Рис. 2.3. Диалоговое окно Advanced Web Site Identification (Дополнительная идентификация веб-узла)

    Каждый тождественный идентификатор должен быть уникальным и использовать один из трех адресов (IP-адрес, порт TCP или значение заголовка узла). Введите любой правильный IP-адрес, порт или имя заголовка узла. Как и в случае с полем IP Address вкладки Web Site (Веб-узел), система не проверяет наличие этого адреса на компьютере, поэтому вводите любой разрешенный адрес. Не забывайте, что будет мало пользы, если в дальнейшем ваш сайт нельзя будет отыскать по указанному адресу.

    Удаление тождественных идентификаторов. Для удаления тождественного идентификатора выделите его и нажмите на кнопку Remove (Удалить). Все тождественные идентификаторы сайта в этом окне удалить нельзя, поэтому кнопка OK будет недоступна.

    Редактирование тождественных идентификаторов. Для изменения тождественного идентификатора выделите его и нажмите на кнопку Edit (Изменить).

    Присвоение тождественных идентификаторов SSL. Веб-сайту можно присвоить несколько тождественных SSL-идентификаторов. Поскольку в SSL отсутствуют заголовки узлов, изменяется только IP-адрес и номер порта. При отсутствии на сайте установленного сертификата все опции для тождественных SSL-идентификаторов будут отключены.

    Добавление тождественных SSL-идентификаторов. Для добавления дополнительного идентификатора SSL веб-сайту нажмите на кнопку Add (Добавить). Можно добавить несколько идентификаторов; просто помните о том, что сертификаты SSL базируются на имени сайта, а не на IP-адресе. Любой указываемый IP-адрес должен обрабатываться через имя DNS. При попытке доступа через IP-адрес сайт будет недоступен.

    Удаление тождественных SSL-идентификаторов. Для удаления тождественного идентификатора SSL с веб-сайта выделите его и нажмите на кнопку Remove (Удалить). Нельзя удалить все тождественные SSL-идентификаторы.

    Изменение тождественных SSL-идентификаторов. Для изменения тождественного идентификатора SSL веб-сайта выделите его и нажмите на кнопку Edit (Изменить).

    Лимит времени соединения

    Параметр Connection Timeout (Лимит времени соединения) во вкладке Web Site (Веб-узел) задает промежуток времени в секундах, в течение которого сервер поддерживает для клиента открытое соединение. Как правило, браузер отправляет на сервер запрос, чтобы оставить соединение открытым. Данный процесс называется поддержкой соединения НTTP (keep-alive). Клиент использует открытое соединение для нескольких запросов, причем ни клиенту, ни серверу не нужно повторно устанавливать соединение для каждого запроса. Это сильно повышает производительность, особенно для низкоскоростных соединений. При завершении работы с запросами клиент сообщает серверу о том, что соединение можно закрыть и освободить занимаемые ресурсы.

    Предположим, по какой-то причине клиент не закрыл соединение. Оно останется открытым бесконечно долго, если не сообщить серверу о необходимости его закрытия. Значение Connection Timeout (Лимит времени соединения) предназначено как раз для установки этого интервала времени.

    Включение функции поддержки соединения HTTP

    Опция Enable HTTP Keep-Alives (Включить поддержку соединения HTTP) включена по умолчанию, что позволяет серверу принимать запросы HTTP keep-alive от клиентов. При отключении опции резко снижается производительность и клиента, и сервера.

    Включение журнала

    По умолчанию на веб-сайтах включено ведение журналов. Стандартным типом журнала является W3C Extended Log File (Расширенный файл журнала W3C). В окне можно отключить ведение журнала или изменить его тип. О ведении журналов подробно рассказывается в лекции 11.

    Вкладка Performance (Производительность)

    Во вкладке Performance (Производительность) окна Web Site Properties (Свойства веб-узла) (см. рис. 2.4) настраивается управление полосой пропускания и количество подключений сайта.

    Рис. 2.4. Вкладка Performance (Производительность)

    Управление полосой пропускания

    С помощью параметра Bandwidth Throttling (Управление полосой пропускания) настраивается максимальная пропускная способность канала связи (Кб/с). Для настройки параметра требуется программа Windows Packet Scheduler (приложение QOS – Quality Of Service), определяющая возможность отправки пакета по сети. Программа ставит данные в очередь и отправляет по сети с указанной скоростью. IIS автоматически инсталлирует Windows Packet Scheduler после задания максимального значения полосы пропускания и нажатия на кнопку OK.

    При настройке данного параметра помните, что пропускная способность канала связи локальной сети имеет значения 10, 100 или 1000 Мб/с, а скорость работы в сети интернет, как правило, намного ниже. Например, полный канал T1 обеспечивает скорость 1,544 Мб/с. Если принятое значение по умолчанию равно 1024 Кб, то оно будет намного больше скорости канала T1.

    Примечание. 1 байт равен 8 битам. 1 Килобайт равен 8192 битам.
    Подключения веб-сайта

    Переключатели Web Site Connections (Подключения веб-сайта) позволяют настроить количество подключений клиентов для данного сайта. Значение по умолчанию – Unlimited (Не ограничено). При выборе Connections Limited To (Ограничить число подключений) укажите любое количество подключений – от 0 до 2 000 000 000.

    Вкладка ISAPI Filters (фильтры ISAPI)

    Во вкладке ISAPI Filters (Фильтры ISAPI) (см. рис. 2.5) можно добавить фильтры ISAPI для сайта. Весь трафик HTTP, направляемый к сайту, будет передаваться фильтрам ISAPI в установленном здесь порядке. Расширение ISAPI применимо только к тому расширению, с которым оно связано, а фильтр ISAPI применим ко всему трафику сайта. Это может вызвать значительный спад производительности сайта, особенно при неправильном написании фильтра ISAPI, допускающем потерю ресурсов памяти. (Более подробная информация о технологии ISAPI приведена в лекции 5 курса «Программирование в IIS».)

    Рис. 2.5. Вкладка ISAPI Filters (Фильтры ISAPI)

    Фильтр ISAPI имеет определенное состояние. Направленная вниз красная стрелка означает, что фильтр в данный момент отключен. Направленная вверх зеленая стрелка означает, что фильтр включен.

    Добавление фильтра ISAPI

    Для добавления фильтра ISAPI нажмите на кнопку Add (Добавить), присвойте фильтру имя, а затем выберите исполняемый файл, с помощью которого будет производитьсяфильтрация трафика. Имя фильтра должно быть дружественным, удобным для использования.

    Удаление фильтра ISAPI

    Для удаления фильтра ISAPI выделите фильтр и нажмите на кнопку Remove (Удалить).

    Изменение фильтра ISAPI

    Для изменения фильтра ISAPI выделите фильтр и нажмите на кнопку Edit (Изменить). Имейте в виду, что можно только редактировать исполняемый файл, на который указывает фильтр. Имя фильтра изменять нельзя.

    Включение и выключение фильтра ISAPI

    Если фильтр в настоящий момент является активным, его можно отключить, выделив имя фильтра и нажав на кнопку Disable (Отключить). Если фильтр в настоящий момент отключен, его можно включить, выделив имя фильтра и нажав на кнопку Enable (Включить). Отключение фильтра позволяет приостановить его работу без удаления из списка фильтров.

    Изменение порядка выполнения

    При использовании нескольких фильтров ISAPI, как правило, они выполняются в определенном порядке. Этот порядок задается в данном окне. Для повышения приоритета фильтра в списке выделите его имя и нажмите на кнопку Move Up (Вверх). Для понижения приоритета фильтра в списке выделите его имя и нажмите на кнопку Move Down (Вниз).

    Вкладка Home Directory (Домашний каталог)

    Во вкладке Home Directory (Домашний каталог) (см. рис. 2.6) указывается место расположения данного сайта и то, как он осуществляет обработку данных.

    Указание IIS на место расположения содержимого сайта

    Для указания IIS на место расположения содержимого сайта выберите соответствующий переключатель.

    A Directory Located on This Computer (Каталог на этом компьютере). Выберите данную опцию, затем в поле Local Path (Локальный путь) задайте любой логический диск и каталог, в котором находится содержимое сайта. Кнопка Browse (Обзор) поможет перейти к нужному каталогу или вести путь в поле.

    Рис. 2.6. Вкладка Home Directory (Домашний каталог)

    A Share Located on Another Computer (Ресурс на другом компьютере). При выборе данной опции изменится текст вкладки Home Directory. Текстовое поле Local Path (Локальный путь) будет называться Network Directory (Сетевая папка), кнопка Browse (Обзор) – Connect As (Подключить как). Введите путь согласно правилам соглашения об универсальном назначении имен (Universal Naming Convention, UNC) в виде \\имя_сервера\имя_расположения. Нажмите на кнопку Connect As и задайте имя пользователя и пароль, используемые IIS для подключения к указанному месту, в диалоговом окне Network Directory Security Credentials (Мандаты безопасности сетевого каталога). Если сервер не зарегистрирован в системе, то у него нет маркера доступа к общим сетевым ресурсам. А введенное имя пользователя и пароль позволят IIS проходить аутентификацию.

    IIS может использовать имя пользователя и пароль, указываемые клиентом при аутентификации на сайте. Для этого выберите опцию Always Use The Authenticated User’s Credentials When Validating Access To The Network Directory (Всегда использовать мандаты аутентифицированного пользователя при подтверждении доступа к сетевой папке) в диалоговом окне Network Directory Security Credentials. Если пользователю не разрешен доступ к удаленному сетевому ресурсу, то он не получит доступа и к ресурсам IIS.

    Перенаправление на URL. При выборе опции появляется текстовое поле Redirect To (Перенаправлять на). Укажите в нем адрес URL, на который будут переходить клиенты при подключении к данному ресурсу. Отметьте одну из опций.

    • The Exact URL Entered Above (Точный URL, указанный выше). Перенаправляет клиента на адрес URL, указанный в поле Redirect To (Перенаправлять на). В поле должен быть указан полный и достоверный адрес URL.
    • A Directory Below URL Entered (Папка, находящаяся под указанным URL). Перенаправляет клиента в дочернюю папку под родительским каталогом, указанным клиентом в браузере. При выборе этой опции следует просто ввести имя подкаталога с префиксом в виде слеша (/).
    • A Permanent Redirection For This Resource (Постоянное перенаправление на этот ресурс). Используется при перемещении сайта с одного URL на другой. Она передает клиенту сообщение «HTTP 301 Permanent Redirect». Некоторые клиенты после получения этого сообщения автоматически обновляют свои закладки.
    Параметры домашнего каталога

    При выборе переключателей A Directory Located on This Computer (Каталог на этом компьютере) или A Share Located on Another Computer (Ресурс на другом компьютере) открывается доступ к указанным ниже опциям. Помните о том, что IIS базируется на файловых системах, поэтому при работе с разрешениями аутентифицированный (или анонимный) пользователь должен иметь соответствующие права.

    Опция Script Source Access (Доступ к исходным кодам сценариев). При включении опции клиенты получают доступ к исходному коду сценариев (Active Server Pages, ASP) при установке соответствующих разрешений на чтение/запись. Поскольку обработка сценариев происходит на серверной части, не открывайте клиенту доступ к их исходному коду и оставьте опцию отключенной.

    Опция Read (Чтение). При включении опции клиенты получают разрешение на чтение файлов. Если на веб-сайте клиенты работают с веб-содержимым, то рекомендуется включить данную опцию. Опция Read отключается в том случае, если клиентам разрешается отгрузка файлов с разрешением на запись и исключается чтение отгруженных файлов (см. соответствующее техническое замечание).

    Опция Write (Запись). При включении опции клиентам с браузерами HTTP 1.1, поддерживающими функцию PUT, разрешается отгружать файлы в данный каталог.

    Предупреждение. Если пользователям будет разрешено чтение и запись файлов в каталог, любой пользователь сможет отгрузить файл и затем выполнить его. При включении сценариев они выполняются на сервере, поэтому злоумышленник может отгрузить вредоносный ASP-файл, выполнить его и повредить сервер.

    Опция Directory Browsing (Просмотр каталогов). При включении опции клиенты получают разрешение на просмотр каталогов, а, следовательно, и всех его файлов. Если существует страница по умолчанию, то она отобразится клиенту. В противном случае клиент увидит перечень всех файлов и каталогов, кроме виртуальных, поскольку их нет в файловой системе. Включение опции представляет угрозу безопасности, так как любой пользователь получает возможность просмотра файловой структуры сайта.

    Опция Log Visits (Вести журнал посещений). При включении опции все посещения данного каталога записываются в журнал, если IIS ведет журнал.

    Опция Index This Resource (Индексировать этот ресурс). При включении опции каталог будет проиндексирован службой Microsoft Indexing Service (Служба индексации Microsoft), если она установлена и включена.

    Параметры приложений

    В секции Application Settings (Параметры приложений) настраиваются параметры приложений для определения их границ. При создании приложения можно указать, что оно выполняется в созданном вами пуле приложений. Это позволяет отделить приложения друг от друга и настроить рабочие процессы для работы с проблемными приложениями, сценариями или содержимым, которое следует изолировать.

    Application Name (Имя приложения). Задается имя создаваемого приложения. Если текстовое поле затемнено и доступна кнопка Create (Создать), это означает, что приложение еще не создано. Если доступна кнопка Remove (Удалить), то для данного каталога определено приложение, и в текстовом поле Application Name отображается его имя.

    Execute Permissions (Разрешения на выполнение). Задается тип содержимого, разрешенного на данном сайте.

    • None (Нет). Значение по умолчанию для IIS 6. Представляет собой значительное изменение в готовой конфигурации IIS. В предыдущих версиях разрешалось выполнение сценариев (таких как ASP) при стандартной установке IIS. Это вызывало проблемы, тем более что IIS устанавливался по умолчанию при инсталляции Windows, и, следовательно, Windows была настроена и на выполнение IIS, и на выполнение его сценариев. Теперь отключение сценариев в стандартной установке обеспечивает наиболее безопасную конфигурацию IIS по умолчанию.
    • Scripts Only (Только сценарии). Разрешает выполнение на сайте сценариев ASP. Опцию следует включать только при необходимости, поскольку она позволяет исполнять любые типы сценариев.
    • Scripts And Executables (Сценарии и исполняемые файлы). Разрешает выполнение на сайте сценариев и исполняемых файлов. Под категорию исполняемых файлов попадают файлы ( .exe ), динамически подсоединяемые библиотеки ( .dll ) и сценарии общего шлюзового интерфейса ( .cgi ). Опцию следует включать только при необходимости, поскольку она открывает доступ к файлам любого типа и позволяет их выполнять.

    Предупреждение. Убедитесь, что разрешения Write (Запись) NTFS и Write (Запись) IIS отключены в каталогах, для которых не установлено None (Нет) в разрешениях на выполнение.

    Application Pool (Пул приложений). Служит для указания того, в каком пуле приложений будет выполняться содержимое сайта. Этот список заполняется данными из пулов приложений, созданных в IIS MMC. Поле будет затемнено, если для домашнего каталога еще не определено приложение.

    Unload (Выгрузить)

    С помощью кнопки Unload (Выгрузить) изолированное приложение выгружается из памяти. Если приложение загружено в память, и в конфигурацию вносится изменение, то необходимо его выгрузить для вступления изменения в силу. Если кнопка недоступна, то это значит, что приложение не загружено в память, или вы находитесь не в стартовом каталоге приложения.

    Configuration (Настройка)

    С помощью кнопки Configuration (Настройка) изменяются параметры конфигурации приложения для каталога. В появившемся окне Application Configuration (Настройка приложения) (см. рис. 2.7) можно настроить некоторые параметры взаимодействия домашнего каталога со сценариями и исполняемым содержимым.

    Рис. 2.7. Окно Application Configuration (Настройка приложения)

    В окне Application Configuration имеются следующие вкладки.

    Вкладка Mappings (Типы файлов). В ней указываются связи расширений файлов с библиотеками DLL ISAPI. По умолчанию указываются все библиотеки ASP ( .asa, .asp,.cdx, .cer ), подключатели к базам данных ( .idc ) и включения серверной части ( .shtm, .shtml, .stm ). При поступлении запроса с помощью этого списка выясняется, какой библиотеке DLL следует передать содержимое в зависимости от расширения запрашиваемого файла.

    Если включена опция Cache ISAPI Extensions, то библиотеки ISAPI DLL кэшируются в память, и IIS обрабатывает запросы для ассоциированных расширений без повторной загрузки DLL. Это повышает производительность большинства приложений ISAPI, включая ASP. По умолчанию опция включена, и настоятельно рекомендуется не выключать ее. При отключении опции IIS будет загружать ASP.DLL и создавать объекты состояния приложения и сеанса при каждом запросе страницы ASP. После обработки запроса IIS немедленно выгружает ASP.DLL. Если клиент запросит страницу ASP в процессе выгрузки приложения, то может возникнуть ошибка. Как правило, опция отключается только при тестировании кода ISAPI.DLL, когда каждый раз требуется перезагрузка

    Возможно добавление собственных библиотек ISAPI.DLL и назначение для них связей. Для добавления и настройки библиотеки DLL выполните следующие действия.

    1. Нажмите на кнопку Add (Добавить). Появится диалоговое окно Add/Edit Application Extension Mapping (Добавить/Изменить связь расширения с приложением).
    2. Введите имя исполняемого файла (или перейдите к нему), который будет обрабатывать содержимое.
    3. Введите имя расширения. Ставить точку перед расширением не обязательно.
    4. Укажите, следует ли передавать приложению только определенные команды HTTP или же все. Для ограничения набора команд введите разрешенные команды через запятую.
    5. Оставьте отмеченными опции Script Engine (Машина сценариев) и Verify That File Exists (Проверка существования файла), если нет оснований для их отключения. Далее мы расскажем об их назначении.

    Limiting HTTP Verbs (Ограничить команды HTTP). HTTP-клиенты используют команды для запросов на действия сервера. Эти команды (методы) определяются в спецификации W3C для HTTP. Наиболее общими являются методы GET, HEAD, POST и TRACE, хотя используются также PUT и DELETE. Рекомендуется ограничить набор команд для уменьшения уязвимости к атакам. Например, связывание с файлами ASP ограничивает набор командами GET, HEAD, POST и TRACE. При наличии ограничения приложению для обработки будут передаваться только команды, находящиеся в списке.

      • Script Engine (Машина сценариев). Опция включена по умолчанию. В этом случае IIS будет обрабатывать содержимое как сценарий, а не исполняемый файл, что исключает включение разрешений выполнения для каталога, поскольку сценарии связаны с интерпретатором.
      • Verify That File Exists (Проверка существования файла). При включенной опции IIS проверяет наличие файла сценария и право пользователя на работу с файлом перед отправкой интерпретатору. Так как каждый сценарий открывается дважды (один раз для проверки и один раз для чтения и отправки машине сценариев), то включение опции приводит к снижению производительности. В IIS 5 опция отключена по умолчанию, и, как и многие другие опции, отключена в IIS 6 в целях безопасности.
    Примечание. Даже при связывании и включении расширений ISAPI они могут не работать, если в разрешениях домашнего каталога не выбрана опция Scripts Only (Только сценарии). В этом случае для успешной обработки содержимого включите разрешение Scripts And Executables (Сценарии и исполняемые файлы).
    Для изменения связи приложения с расширением выделите расширение и нажмите на кнопку Edit (Изменить). Появится такое же окно, что и после нажатия на кнопку Add (Добавить), с идентичными опциями.
    Для удаления связи приложения с расширением выделите расширение и нажмите на кнопку Remove (Удалить), затем подтвердите удаление.
    Групповой символ используется при установке связи приложения ISAPI со всеми файловыми расширениями. Возникает вопрос, почему бы просто не применить фильтр ISAPI. Между фильтром ISAPI и связью приложения с помощью группового символа существуют некоторые различия. На уровне администрирования фильтры ISAPI применяются ко всему веб-сайту в целом, а расширения ISAPI конфигурируются для отдельных каталогов. Подкаталог наследует групповые связи с расширениями от родительского каталога, если не содержит свои собственные (в этом случае родительские связи игнорируются).
    Для добавления связи приложения нажмите на кнопку Insert (Добавить). Затем введите имя исполняемого файла (или перейдите к нему) для обработки содержимого. Опция Verify That File Exists (Проверить существование файла) действует так же, как и для связей с расширениями, и является мерой безопасности.
    Для изменения связи приложения выделите расширение и нажмите на кнопку Edit (Изменить). Появится окно Add (Добавить) с аналогичными опциями.
    Для удаления связи приложения выделите расширение и нажмите на кнопку Remove (Удалить), затем подтвердите удаление.
    Кнопки Move Up (Вверх) и Move Down (Вниз) устанавливают приоритет связи приложений ISAPI. Запросы будут передаваться через заданные связи с приложением в установленном здесь порядке.

    Вкладка Options (Параметры). Вкладка Options (см. рис. 2.8) служит для настройки конфигурации приложения, машины сценариев, определения способа поддержки сеансов.

    Опция Enable Session State (Включить состояние сеанса) настраивает ASP на создание сеанса серверной части для каждого клиентского сеанса на сервере. Такой подход применяется только для обычных сценариев ASP, так как состояние сеанса настраивается в файле web.config для приложений ASP.NET. В сеансе сохраняются данные о пользователе, переходящие на каждую посещаемую им страницу. В программе эти данные хранятся в переменных в объекте сеанса. Сеансовые переменные могут занимать значительный объем памяти, поэтому не рекомендуется использовать их в большом количестве на сайтах с высоким уровнем трафика, чтобы не снижать производительность.

    Параметр Session Timeout (Время простоя сеанса) определяет промежуток времени, в течение которого сеанс находится в состоянии бездействия перед закрытием. Укажите любое значение от 1 до 2 000 000 000 минут. Кто знает, возможно сеансовая переменная понадобится вам через 3800 лет.

    Рис. 2.8. Вкладка Options (Параметры) окна Application Configuration (Настройка приложения)

    Совет. Не торопитесь использовать состояния сеанса, если вы работаете с веб-структурой ASP или применяете рециркуляцию рабочих процессов. В веб-структуре ASP при подключении к веб-сайту пользователь может всякий раз попадать на другой сервер. Поскольку состояние сеанса создается на другом сервере (не там, где в данный момент зарегистрирован пользователь), информация о состоянии сеанса теряется. Это происходит и при рециркуляции рабочего процесса, содержащего информацию о сеансе. Вследствие этого рекомендуем вам либо отказаться от использования состояния сеанса, либо применять ASP.NET.
    Отметьте опцию Enable Buffering (Включить буферизацию) для настройки сервера на кэширование всего выходного содержимого сценария ASP перед его отправкой браузеру. Опция отправляет выходные данные единовременно, а не строка за строкой. Однако в случае обработки большого сценария нужно отобразить страницу сразу после обработки содержимого, поэтому данная опция должна быть отключена.
    Родительские пути позволяют устанавливать ссылки на каталоги с использованием относительных имен путей в коде ASP. Путь к сценарию в родительском каталогеобозначается двумя точками («..»). Это относится только к динамическому содержимому, такому как файлы включений. К статическому содержимому можно обратиться посредством относительных путей. Опция Enable Parent Paths (Включить родительские пути) отключена по умолчанию в целях безопасности, поскольку динамическое содержимое можно выполнить на этой же странице без указания структуры каталогов для перехода в нужное место.
    Примечание. В IIS 6 родительские пути отключены по умолчанию. Если в вашем коде имеются относительные пути, и этот код раньше выполнялся в IIS 5, то нужно или изменить код, или отметить опцию Enable Parent Paths (Включить родительские пути), чтобы динамическое содержимое выполнялось в IIS 6.
    Опция Default ASP Language (Язык ASP по умолчанию) определяет язык, обрабатывающий содержимое сценариев. Содержимое сценариев обозначается тегами . С IIS 6 поставляются два языка: Microsoft Visual Basic Scripting Edition (по умолчанию) и Microsoft JScript. Установите любую машину сценариев ActiveX для интерпретации содержимого на сайте.
    Опция ASP Script Timeout (Срок выполнения сценария) указывает максимальный промежуток времени для выполнения сценария. Если опция отключена, то неграмотно написанный сценарий может выполняться бесконечно долго и вызовет проблемы на сервере. По окончании заданного времени сценарий останавливается, обработанное содержимое передается браузеру с сообщением об ошибке, в котором говорится о достижении временного предела. Укажите любой интервал от 1 до 2 000 000 000 с (это 63 года!).
    Опция Enable S >Вкладка Debugging (Отладка). Вкладка Debugging окна Application Configuration (Настройка приложения) (см. рис. 2.9) помогает в решении проблем при тестировании кода сценариев ASP. При включении опции IIS использует Microsoft Script Debugger (Отладчик сценариев Microsoft) для проверки кода. IIS настраивается на отладку сценариев как серверной, так и клиентской частей. Включение сценариев серверной части отрицательно сказывается на производительности, поэтому пользуйтесь этим только при необходимости. Можно настроить сообщение, передаваемое клиентам при возникновении ошибки в сценарии.

    Рис. 2.9. Вкладка Debugging (Отладка)

    • Enable ASP Server-Side Script Debugging (Включить отладку сценариев серверной части). Включение опции настроит IIS на использование отладчика сценариев для проверки кода в процессе обработки.
    • Enable ASP Client-Side Script Debugging (Включить отладку сценариев клиентской части). Включение опции разрешит отладку ASP-страниц с помощью Microsoft ScriptDebugger на клиентской части. При возникновении ошибки клиент получит сообщение с вопросом о том, нужно ли провести отладку ошибки.
    • Send Detailed ASP Error Messages to Client (Отправлять клиенту подробные сообщения об ошибках). Являясь опцией по умолчанию, обеспечивает отправку стандартного сообщения об ошибке с именем файла и относительным путем, особого сообщения об ошибке и номера строки, в которой произошла ошибка. Это дает клиентам доступ к подробной информации о настройках сайта, поэтому в целях безопасности имеет смысл отправлять другие сообщения об ошибках.
    • Send the Following Text Error Message to Client (Отправлять клиенту следующее текстовое сообщение об ошибке). Отметьте эту опцию и введите текст собственного сообщения, отправляемого клиенту при возникновении ошибки в сценарии ASP. Например, введите сообщение с указанием адреса электронной почты, по которому клиент сможет отправить отчет об ошибке.
    Создание компоновки соседних версий

    Создадим файл-манифест, позволяющий приложению использовать более старую версию библиотеки DLL. Он является ключевым объектом при компоновке соседних версий, поэтому с него и начинаем. В нем содержится информация для IIS о том, какой графический пользовательский интерфейс использовать для загружаемого COM-объекта. Назовем наш файл Myapp.xml ; его нужно разместить в каждом виртуальном каталоге, использующем данную библиотеку DLL.

    Теперь нужно дать IIS команду на использование компоновки соседних версий. Во вкладке Options (Параметры) отметьте опцию Enable Side By Side Assemblies (Включить параллельные сборки). После этого введите Myapp.xml в поле Manifest File Name (Имя файла-манифеста). Наш файл-манифест находится в этом же каталоге, поэтому указывается только имя файла.

    Вкладка Documents (Документы)

    В окне Web Site Properties (Свойства веб-узла) имеется еще одна вкладка – Documents (Документы) (см. рис. 2.10). В ней настраиваются стандартные страницы веб-сайта, а также нижний колонтитул, размещаемый на каждой странице.

    Рис. 2.10. Вкладка Documents (Документы)

    Enable Default Content Page (Включить страницу с содержимым по умолчанию)

    Эта опция указывает страницу по умолчанию, которая отображается в том случае, если в строке адреса URL запроса не указано имя документа. Например, при вводе клиентом адреса http://www.microsoft.com веб-сервер IIS проверяет наличие документа по умолчанию. При включенной опции этот документ отображается. Такой подход не требует от клиента указания имени документа для каждого посещаемого сайта. Если документ по умолчанию не определен, и клиент не указал имя документа, то дальнейшее развитие событий зависит от того, включен или выключен просмотр каталогов.

    • Просмотр каталогов включен. Сервер отправляет список содержимого каталога.
    • Просмотр каталогов отключен. Сервер отправляет сообщение об ошибке: «Просмотр содержимого данного виртуального каталога запрещен».
    Добавление и удаление страниц с содержимым по умолчанию

    IIS производит поиск имен заданных страниц, если в запросе не определена конкретная страница. Имя файла должно полностью соответствовать имени страницы, поэтому не забудьте указать расширение, причем сделайте это правильно ( Default.htm не то же самое, что Default.html ). Для добавления в список имени файла нажмите на кнопку Add (Добавить) и введите имя страницы. Для удаления имени файла из списка выделите его и нажмите на кнопку Remove (Удалить). Подтверждение на удаление не запрашивается.

    Установка порядка страниц по умолчанию

    При поиске страницы по умолчанию IIS проверяет список в порядке, установленном в данном окне. IIS использует первую страницу, имя которой соответствует критерию поиска. Для изменения порядка элементов списка выделите имя страницы и с помощью кнопок Move Up (Вверх) и Move Down (Вниз) переместите ее в нужное место.

    Enable Document Footer (Включить нижний колонтитул документа)

    Отметьте эту опцию для включения нижнего колонтитула документа. Нижний колонтитул представляет собой документ HTML, отображаемый внизу каждой страницы. Он используется, если на всех страницах сайта нужно разместить некоторую информацию, например, об авторских правах, не вводя код (или файл) в каждую страницу. Документ HTML содержит только конкретный код для отображения без открывающего тега . Используются теги, форматирующие текст нижнего колонтитула. К сожалению, нижние колонтитулы можно разместить только на страницах со статическим содержимым (HTML).

    После включения данной опции нажмите на кнопку Browse (Обзор) для выбора документа, используемого в качестве нижнего колонтитула. Код в документе должен быть HTML-совместимым (не должен содержать сценарии), при этом не обязательно использовать файл с расширением .HTM.

    Вкладка Directory Security (Безопасность каталога)

    Вкладка Directory Security (Безопасность каталога) (см. рис. 2.11) служит для настройки параметров безопасности сайта: настройки аутентификации клиентов IIS, указания клиентов, которые могут подключаться к серверу, установки защиты соединения между клиентом и сервером.

    Рис. 2.11. Вкладка Directory Security (Безопасность каталога)

    Изменение параметров аутентификации и контроля доступа

    В этой секции выбирается тип аутентификации сайта для обеспечения его безопасности. Не забывайте о взаимодействии между защитой NTFS и мерами безопасности IIS, об их воздействии на пользователей, проходящих процедуру аутентификации на веб-странице. Для изменения параметра Authentication and Access Control (Аутентификация и контроль доступа) нажмите на кнопку Edit (Изменить). Откроется диалоговое окно Authentication Methods (Методы аутентификации) (см. рис. 2.12).

    Рис. 2.12. Диалоговое окно Authentication Methods (Методы аутентификации)

    Опция Enable Anonymous Access (Включить анонимный доступ). При включении опции пользователи подключаются к веб-странице без ввода аутентификационных данных. Вконтексте безопасности используется учетная запись Guest (Гость) – гостевая учетная запись интернета. Она создается при установке IIS и ей присваивается имяIUSR_ . Опция позволяет настроить меры безопасности для всех анонимных пользователей, посещающих сайт с помощью этой учетной записи. Можно отказаться от гостевой учетной записи интернета, а вместо нее использовать другую учетную запись (локальную или расположенную на доверенном домене).

    Совет. Любая учетная запись, используемая для доступа к веб-страницам, должна иметь разрешение на доступ к файлам на уровне NTFS. Более подробная информация об установке этих разрешений приведена в лекции 6.

    Для выбора учетной записи анонимного доступа выполните следующие действия.

    1. Введите имя учетной записи в диалоговом окне Authentication Methods (Методы аутентификации). Для учетной записи домена используйте формат имени имя_домена\имя_пользователя.
    2. Для поиска нужного имени нажмите на кнопку Browse (Обзор). Появится стандартное окно выбора объекта Windows 2003.
    3. В этом окне выберите имя учетной записи пользователя и ее место расположения. Поиск можно произвести нажатием на кнопку Advanced (Дополнительно).
    4. После выбора учетной записи нажмите на кнопку OK.
    5. Введите пароль учетной записи в текстовом поле Password (Пароль). После нажатия на кнопку OK появится окно подтверждения пароля.

    При указании имени пользователя и пароля IIS не проверяет правильность этой информации. Если данные введены неправильно, IIS будет работать с отключенным анонимным доступом к сайту. Обнаружить это довольно сложно, так как Internet Explorer автоматически будет использовать другие методы аутентификации, например, входные данные зарегистрированного в системе пользователя. Как администратор вы получите доступ к ресурсам, а вот как пользователь-гость – нет. Выяснить аутентифицируемого в данный момент пользователя можно при помощи файла журнала сайта, в котором фиксируется этот процесс. При использовании учетной записи, не имеющей доступа к указанному ресурсу, появится окно для ввода аутентификационных данных.

    Аутентифицированный доступ. Секция Authenticated Access окна Authentication Methods (Методы аутентификации) отображает типы аутентификации, включенные на сайте. Если гостевая учетная запись IIS не имеет доступа к ресурсу, IIS проверяет доступные типы аутентификации.

      Интегрированная аутентификация Windows. Наиболее безопасный способ аутентификации, прекрасно подходит для любых версий браузера Internet Explorer в отсутствие HTTP-proxy. Он встраивается во все браузеры IE, начиная с версии 2.0. Браузеры типа Netscape не поддерживают данный метод аутентификации. Интегрированная аутентификация Windows использует на сервере принцип NT запрос/ответ или протокол Kerberos. При поддержке клиентом и сервером Kerberos и в случае доступности доверенного центра распространения ключей Key Distribution Center (KDC) используется протокол Kerberos; в противном случае – принцип NT запрос/ответ.

    Аналитическая аутентификация для серверов доменов Windows. Аналитическая аутентификация доступна при использовании учетных записей Active Directory. Данный метод, хотя и связан с некоторыми опасностями, все же более безопасен, чем базовая аутентификация. Наряду с Active Directory требуется также наличие протокола HTTP 1.1, поэтому аналитическая аутентификация работает только с новыми версиями браузеров, поддерживающими этот протокол. Нужно также, чтобы контроллер домена содержал открытую копию каждого пароля для проверки паролей на наличие случайной информации, отправляемой клиентом. В этом и заключается угроза безопасности. Сохранение паролей в открытом виде на диске представляет собой очевидный риск, поэтому убедитесь, что контроллер домена надежно защищен от вторжений, в противном случае злоумышленник может выяснить необходимые ему пароли. Преимуществом аналитической аутентификации является то, что пароль не передается через сеть в открытом виде, как в базовой аутентификации.

    Аналитическая аутентификация представляет собой простой хэш и поэтому работает через сетевые экраны и прокси-серверы. Она доступна и для каталогов Web-based Distributed Authoring and Versioning (WebDAV). Поскольку для аналитической аутентификации нужен домен, при ее выборе становится доступным поле Realm (Область). Если аналитическая (или базовая) аутентификация не включена, поле Realm (Область) недоступно. В этом поле указывается база данных учетных записей пользователей, используемая при аутентификации. Введите в поле имя области с клавиатуры или с помощью кнопки Select (Выбор) выберите нужное имя из списка областей.

    Ограничение доступа по IP-адресу или имени домена

    IIS позволяет ограничить доступ к сайту пользователей без указания имени пользователя и пароля. С помощью ограничения по IP-адресам указывается конкретная группа пользователей, которой предоставляется или запрещается доступ к сайту. Это используется в следующих случаях.

    • Необходимо обеспечить доступ к сайту определенной группе пользователей.
    • Известны все IP-адреса пользователей, которым предоставляется доступ.
    • Нужно запретить другим пользователям доступ к сайту.
    • Нет необходимости в аутентификации как в средстве контроля доступа, либо нужно использовать еще одно ограничение.

    Если вы решили ограничить доступ по IP-адресам, то эти ограничения необходимо настроить. Нажмите на кнопку Edit (Изменить) в области IP Address And Domain Name Restrictions (Ограничения по IP-адресу и доменному имени) во вкладке Directory Security (Безопасность каталога). После нажатия на кнопку Edit (Изменить) откроется диалоговое окно IP Address And Domain Name Restrictions (Ограничения по IP-адресу и доменному имени) (см. рис. 2.13). Необходимо выбрать способ установки ограничения: запретить доступ всем пользователям, кроме отдельных конкретных лиц, либо разрешить доступ всем и наложить запрет на доступ к сайту определенным пользователям. При выборе опции Granted Access (Открыть доступ) подход к ограничению будет лояльным; при выборе опции Denied Access (Запретить доступ) претворится в жизнь принцип «запретить доступ всем, за некоторым исключением».

    Рис. 2.13. Диалоговое окно IP Address And Domain Name Restrictions (Ограничения по IP-адресу и доменному имени)

    Изменение ограничений по IP-адресу. Для добавления в список IP-адреса нажмите на кнопку Add (Добавить). Появится окно Grant Access (Предоставить доступ) или Deny Access (Запретить доступ) в зависимости от того, какая опция выбрана.

    Выбор предоставления или запрета доступа является глобальным решением. Нельзя отказать в доступе некоторым IP-адресам и разрешить доступ другим. Здесь нужно действовать по принципу «все или ничего». Выберите необходимый тип доступа.

    • Один компьютер. Позволяет ввести IP-адрес в список доступа. Таким способом можно последовательно указать несколько компьютеров. Если IP-адрес компьютера неизвестен, нажмите на кнопку DNS Lookup (Поиск по DNS) для определения IP-адреса по имени.
    • Группа компьютеров. Позволяет ввести идентификатор сети и маску подсети для добавления компьютеров в список. С помощью масок подсети переменной длины можно довольно точно определить IP-адреса в списке.
    • Доменное имя. Позволяет ввести имя домена для запрета с него доступа к сайту. Будьте внимательны при использовании этой опции, так как при ее работе выполняется обратный поиск по отношению к каждому клиенту, подключающемуся к серверу, и выяснение того, не является ли он членом запретного домена. Это отрицательно сказывается на производительности и вызывает задержки при аутентификации клиентов. Операции обратного поиска, как правило, требуют большого количества времени для выполнения.

    После выбора и настройки типа доступа нажмите на OK, чтобы соответствующая запись появилась в списке.

    Для удаления выделите запись и нажмите на кнопку Remove (Удалить). Для изменения выделите запись и нажмите на кнопку Edit (Изменить).

    Безопасность соединения

    Область Secure Communications (Безопасность соединения) во вкладке Directory Security (Безопасность каталога) служит для настройки сертификатов при аутентификации и шифровании. Она позволяет создать запросы сертификатов, присваивать, экспортировать, импортировать и резервировать сертификаты, настроить взаимодействие сервера с сертификатами клиентов.

    Для настройки сертификата на данном сервере нажмите на кнопку Server Certificate (Сертификат сервера). Отобразится окно Web Server Certificate Wizard (Мастер сертификатов веб-сервера). Нажмите на кнопку Next (Далее) для изменения параметров присвоения сертификата.

    Create A New Certificate (Создать новый сертификат). Позволяет настроить запрос для отправки в бюро сертификатов (CA) (см. лекцию 10). Запрос направляется либо в онлайновое бюро сертификатов, либо сохраняется в файле, и затем файл направляется в бюро сертификатов через процедуру регистрации. Для отправки запроса онлайновому бюро сертификатов установите на сервере Certificate Services (Службы сертификатов).

    Совет. Корпоративные бюро сертификатов (CA) располагаются в Active Directory и имеют записи SRV в DNS, поэтому вы сможете их найти. Более подробная информация о записях SRV и DNS приведена в лекции 8. При наличии отдельного бюро сертификатов, установленного на данном компьютере, IIS не сможет его распознать. Но это не такая большая проблема, поскольку можно вручную утвердить и установить сертификат (см. лекцию 7 курса «Программирование в IIS»). Рекомендуем вам расположить CA в защищенном месте; уязвимый веб-сервер для этой цели не подходит.

    При создании запроса для отправки в бюро сертификатов выполните следующие шаги.

    1. Выберите опцию Create A New Certificate (Создать новый сертификат), затем нажмите на кнопку Next.
    2. Выберите опцию Prepare The Request Now, But Send It Later (Подготовить запрос сейчас, но отправить его позже), затем нажмите на кнопку Next
    3. Введите желаемое имя для сертификата – можете указать любое имя.
    4. Укажите длину сертификата в битах. Можете выбрать значение 512, 1024, 2048, 4096, 8192 или 16384 бита для создания сложного хэша.
    5. Если требуется выбрать поставщика криптографических услуг (CSP) для генерирования данного сертификата, отметьте соответствующую опцию. CSP представляет собой алгоритм, используемый для генерирования сертификатов.
    6. Введите имя вашей организации и укажите подразделение организации. Помните, что при использовании услуг коммерческого бюро сертификатов нужно указать ваше официальное деловое имя. Нажмите на кнопку Next.
    7. Введите общее имя сайта. Оно должно соответствовать имени DNS или NetBIOS, используемому для сайта. Поскольку каждый сертификат соответствует определенному имени, он пригоден только для одного имени. При использовании другого имени DNS или NetBIOS нужно получать новый сертификат. Нажмите на кнопку Next.
    8. Введите данные в полях City (Город), State (Штат) и Country (Страна). Не допускайте сокращений. Нажмите на кнопку Next.
    9. Введите имя и место расположения файла для размещения запроса. Помните об этом файле, поскольку он будет использоваться в запросе на сертификат. Нажмите на кнопку Next.
    10. Следующее окно представляет собой окно отчета. Убедитесь в правильности введенной информации. Нажмите на кнопку Next.
    11. Нажмите на кнопку Finish (Готово) для завершения работы мастера.

    Copy Or Move A Certificate From A Remote Server Site To This Site (Копировать или переместить сертификат с удаленного сервера на этот сайт). Возможно получение сертификатов с другого веб-сайта. Данная опция не позволяет выполнить экспортирование сертификата в файл, представляющее собой угрозу безопасности. Для копирования или перемещения сертификата с удаленного веб-сервера выполните следующие действия.

    1. В окне IIS Certificate Wizard (Мастер сертификатов IIS) выберите опцию Copy Or Move A Certificate From A Remote Server Site To This Site (Копировать или переместить сертификат с удаленного сервера на данный сайт), затем нажмите на кнопку Next (Далее).
    2. В диалоговом окне Copy/Move Certificate (Копировать/Переместить сертификат) выберите нужное действие.
    3. Укажите, нужно ли экспортировать сертификат с данного веб-сайта. Нажмите на кнопку Next.
    4. Введите имя компьютера (или перейдите к нему), с которого импортируется сертификат.
    5. Введите аутентификационные данные пользователя, имеющего достаточные разрешения для доступа к сертификату, затем нажмите на кнопку Next.
    6. Укажите расположение сайта, из которого импортируется сертификат. С помощью кнопки Browse (Обзор) выберите это место из списка. Нажмите на кнопку Next.
    7. Проверьте данные в результирующем окне и убедитесь, что импортирован правильный сертификат.
    8. Нажмите на кнопку Next, затем нажмите на кнопку Finish (Готово).

    Обработка сертификата. После получения ответа от бюро сертификатов обработайте ожидающий подтверждения запрос на сертификат. Для этого выполните следующие действия.

    1. Запустите Web Server Certificate Wizard (Мастер сертификатов веб-сервера) еще раз, нажав на кнопку Server Certificate (Сертификат сервера) во вкладке Directory Security (Безопасность каталога).
    2. В диалоговом окне Server Certificate (Сертификат сервера) выберите опцию Process The Pending Request (Обработать ожидающий сертификат) и установите сертификат. Нажмите на кнопку Next.
    3. Введите имя файла ответа (или перейдите к его месту расположения), полученного от бюро сертификатов, затем нажмите на кнопку Next.
    4. Введите номер порта SSL, который будет использоваться сайтом. Нажмите на кнопку Next.
    5. Просмотрите окно с отчетом и убедитесь в правильности указанной информации.
    6. Нажмите на кнопку Next, затем нажмите на кнопку Finish (Готово).

    Теперь у вашего сайта имеется правильный сертификат, и его можно использовать для порта, указанного при установке файла ответа на запрос сертификата. В случае отсутствия ответа нужно удалить ожидающий запрос. Для этого выполните следующие шаги.

    1. В окне Web Server Certificate Wizard (Мастер сертификатов веб-сервера) выберите опцию Delete The Pending Request (Удалить ожидающий запрос). В следующем диалоговом окне появится сообщение о том, что при продолжении работы мастера станет невозможной обработка ответов на этот запрос, а также предложение отказаться от продолжения.
    2. Нажмите на кнопку Next (Далее) для удаления запроса.
    3. Нажмите на кнопку Finish (Готово) для завершения работы мастера.

    Просмотр деталей установленного сертификата. При наличии установленного сертификата просмотрите информацию о нем, нажав на кнопку View Certificate (Просмотр сертификата) во вкладке Directory Security (Безопасность каталога).

    • Вкладка General (Общие). Содержит информацию о сертификате: назначение сертификата, выпустившее его лицо, заказчик сертификата, срок действия сертификата.
    • Вкладка Details (Детали). Содержит очень важные сведения о сертификате. В ней можно просмотреть все свойства сертификата, запустить Certificate Export Wizard (Мастер экспорта сертификатов), включить и отключить цели данного сертификата и указать несколько мест для загрузки из различных бюро сертификатов.
    • Вкладка Certification Path (Путь сертификата). Позволяет просмотреть иерархию сертификатов CA для данного сертификата. Отображает данные о том, является ли сертификат действительным.

    Изменение безопасных соединений. С помощью кнопки Edit (Изменить) можно изменить связи сертификата и списки доверия (см. рис. 2.14). Возможна настройка принудительного использования SSL.

    Рис. 2.14. Окно Secure Communications (Безопасность соединений)

    Опция Require Secure Channel (Требовать безопасный канал) обеспечивает принудительное использование SSL на сайте. Любому браузеру, который не использует протокол SSL, доступ к сайту будет запрещен.

    Опция Require 128-Bit Encryption (Требовать 128-битное шифрование) позволяет в принудительном порядке использовать мощное шифрование. Это позволяет предотвратить доступ к сайту браузеров с более слабым шифрованием. На сайте Microsoft доступны обновления для Internet Explorer, реализующие 128-битное шифрование (http://www.microsoft.com/ie). Их может загрузить любой пользователь страны, не входящей в ряд государств, на которые США наложило информационное эмбарго (так как Microsoft является государственной корпорацией США).

    Использование клиентских сертификатов реализует на сайте идентификацию подключающихся пользователей. Клиентские сертификаты являются способом контроля доступа. Можно указать следующие настройки.

    • Ignore (Игнорировать). Опция по умолчанию. Любой представленный сертификат клиента не принимается.
    • Accept (Принять). Принимает сертификат. Позволяет настроить связи сертификатов, что не является обязательным. Любой браузер без сертификата клиента получит доступ к сайту.
    • Require (Требовать). Требует использование сертификатов. Любому клиенту без сертификата доступ к сайту запрещен. Для выбора этой опции нужно также отметить опцию Require Secure Channel (Требовать безопасный канал).

    Установка связей сертификатов предназначена для аутентификации компьютера клиента посредством учетной записи Windows. Существуют два типа связей: «один к одному» и «много к одному».

    • Связь «один к одному». Используется в случае, если учетная запись пользователя имеет свой собственный сертификат. С учетной записью пользователя могут быть связаны несколько сертификатов, но для реализации данной возможности необходим хотя бы один уникальный сертификат. Сертификат импортируется и связывается с учетной записью, после чего используется для аутентификации пользователя.
    • Связь «много к одному». Используется в случае, если с учетной записью пользователя связано несколько сертификатов. Указывается групповой критерий сертификата клиента с данными о сертификате, например, названием подразделения или организации. Если эти данные совпадают, используется указанная учетная запись.

    Вкладка HTTP Headers (Заголовки HTTP)

    Во вкладке HTTP Headers (Заголовки HTTP) окна Properties (Свойства) (см. рис. 2.15) настраивается срок действия содержимого, оценка содержимого и типы MIME, добавляются заголовки HTTP.

    Рис. 2.15. Вкладка HTTP Headers (Заголовки HTTP)

    Установка срока действия содержимого

    Опция устанавливает срок действия файлов на веб-сайте и используется для остановки кэширования содержимого по истечении установленного срока. Срок действия при запросе передается вместе с содержимым. Используется объект RESPONSE со свойством CACHECONTROL или EXPIRES для установки срока кэширования и периода действия на страницах ASP, однако при работе с графикой он не работает. Опция выполняет указанные функции с помощью следующих параметров.

    Expire Immediately (Немедленное истечение срока действия). Предотвращает кэширование данных запрашивающей стороной. Желательно использовать ее на тестовом сайте или сайте разработки при внесении в код изменений, чтобы старые версии не кэшировались в папках IE. Опция работает и для страниц с динамически изменяемым содержимым, когда пользователь каждый раз получает новый результат, чтобы данные этой страницы не кэшировались в автономных папках.

    Expire After (Истечение срока действия после). Устанавливает промежуток времени в минутах, часах или днях. Указывается любое значение в интервале от 1 минуты до 32 767 дней (это всего лишь 90 лет).

    Expire On (Истечение срока действия в). Устанавливает срок завершения действия содержимого в определенное время. Нельзя указывать дату окончания действия более раннюю, чем текущая дата. Указывается любая дата, вплоть до 31 декабря 2035 года. Поскольку эта дата обрабатывается клиентом, она контролируется его временной зоной, поэтому возможны некоторые отклонения в сроках завершения действия содержимого в зависимости от зоны.

    Особые заголовки HTTP

    В этой секции можно создавать особый HTTP-заголовок для отправки клиенту, дополняющий обычный заголовок, получаемый клиентом от сервера. Особый заголовок содержит дополнительные данные, полезные для клиента. Он также поддерживает новый HTTP-стандарт, изначально не поддерживаемый IIS 6.

    Для добавления особого заголовка выполните следующие действия.

    1. Нажмите на кнопку Add (Добавить). Появится диалоговое окно Add/Edit Custom HTTP Header (Добавить/Изменить особый заголовок HTTP).
    2. Введите имя особого заголовка в соответствующем поле.
    3. Введите значение особого заголовка в соответствующем поле.
    4. Нажмите на кнопку OK.

    Заголовок изменяется посредством кнопки Edit (Изменить) и удаляется с помощью кнопки Delete (Remove). При удалении особого заголовка подтверждение удаления не запрашивается.

    Оценка содержимого

    Существует возможность оценки содержимого сайта. Это добровольная система, разработанная Ассоциацией оценки содержимого интернета (Internet Content Rating Association, ICRA). ICRA представляет собой некоммерческую, независимую организацию, которая дает родителям возможность принимать объективное решение о том, что их дети могут просматривать в интернете. Данная система состоит из двух частей: сначала сайт оценивается веб-мастером (ICRA не производит оценку), затем конечный пользователь устанавливает параметры браузера для блокировки определенных сайтов по их содержимому.

    Используются два стандарта оценки содержимого: старый стандарт RSACi и более новая система ICRA. IIS 6 поддерживает систему RSACi, осуществляющую оценку содержимого по четырем категориям.

    После оценки системы веб-мастер предоставляет адрес электронной почты человека, оценившего содержимое, для осуществления обратной связи и обсуждения оценок. Можно устанавливать для оценок срок действия, по истечении которого они прекращают функционирование.

    Включение оценки содержимого сайта. Выполните следующие действия.

    1. Откройте диалоговое окно Content Ratings (Оценка содержимого), нажав на кнопку Edit Ratings (Изменить оценку) во вкладке HTTP Headers (Заголовки HTTP).
    2. В окне Content Ratings отметьте опцию Enable Ratings For This Content (Включить оценку данного содержимого).
    3. Выберите ту оценку, которую нужно установить.
    4. Используйте ползунок для установки уровня от 0 до 4.
    5. Установите одну оценки или все вместе (при необходимости).
    6. Введите адрес электронной почты в соответствующем поле. Как правило, здесь указывается адрес, отражающий характерную учетную запись (например,webmaster@thisdomain.com ).
    7. Укажите срок действия. Дата должна быть больше текущей. Укажите любую дату до 31 декабря 2035 года.
    8. Нажмите на кнопку OK.
    Типы MIME

    Многоцелевые расширения почты интернета (MIME) определяют типы файлов, работу клиентов с которыми обслуживает IIS. IIS 6 обслуживает только файлы, связанные со сценариями или соответствующие определенному типу MIME. При обнаружении IIS расширения, для которого отсутствует связь MIME, клиент получает ошибку 404 «Not Found», и сервер фиксирует код подсостояния, равный трем.

    Примечание. В правиле MIME есть одно исключение: текстовые файлы с расширением .txt, не являющиеся файлами типа MIME или связанными со сценарием, обслуживаются IIS.

    Типы MIME настраиваются на глобальном уровне, на уровне веб-сайта или каталога, причем наследуются в порядке уменьшения уровней. Рассмотрим пример добавления связи MIME.

    Предположим, что в интернете нужно опубликовать каталог с файлами журналов. Они имеют расширение .log и формат обычного текста. IIS не поддерживает по умолчанию связи MIME для файлов .log, поэтому придется добавить соответствующую связь.

    1. Нажмите на кнопку MIME Types (Типы MIME) во вкладке HTTP Headers (Заголовки HTTP) на нужном уровне (глобальном, для сайта или каталога, в зависимости от выбранного параметра в MMC).
    2. Нажмите на кнопку New (Создать).
    3. В диалоговом окне MIME Type (Тип MIME) введите расширение файла в поле Extension (Расширение). В данном случае укажите расширение .log.
    4. Введите тип MIME в соответствующем поле. Поскольку файл имеет формат обычного текста, подходящим типом MIME будет text/plain.
    5. Нажмите на кнопку OK. Новое расширение добавится в список.
    6. Нажмите на кнопку OK, затем еще раз.

    Теперь ваш каталог (сервер, сайт) настроен на обслуживание файлов .log. Клиенты, выбирающие файл в этом каталоге, будут видеть его в своих браузерах. В данном окне можно изменять и удалять связи с типами MIME.

    При неправильной настройке типа MIME IIS будет обслуживать файл, однако система не будет знать, какие действия выполнять с файлом. Пользователям IE придется выбирать программу для открытия данного файла из предлагаемого списка.

    Примечание. Как выяснить соответствие типа MIME рассматриваемому файлу? Документы RFC2045 и RFC2046 определяют поля для типов MIME, а также порядок присвоения и просмотра типов агентством IANA (Агентство по выделению имен и уникальных параметров протоколов интернета). Это та же самая организация, которая назначает IP-адреса. Полный перечень типов расположен на сайте организации по адресу http://www.iana.org.

    Вкладка Custom Errors (Особые ошибки)

    Вкладка Custom Errors (Особые ошибки) (см. рис. 2.16) служит для изменения стандартных сообщений об ошибках, отправляемых IIS. В ней отображается связь каждой ошибки HTTP с кодом подсостояния. Во вкладке можно создать особые сообщения об ошибках и задать сценарии, выполняющиеся при возникновении ошибок.

    Рис. 2.16. Вкладка Custom Errors (Особые ошибки)

    Особые сообщения об ошибках используются для составления отчетов об ошибках, они помогают в устранении проблем. Например, создан тип сообщения, который соответствует сценарию ASP для уведомления веб-мастера. Сценарий записывает данные об инциденте в журнал, отображает на экране сообщение о возникновении неполадки конечному пользователю и перенаправляет его на страницу по умолчанию. При использовании сценариев сообщения об ошибках становятся полезными в диагностировании проблем, возникающие на веб-сайте.

    Для выбора доступны три типа сообщений.

    • Default (По умолчанию). Ошибка по умолчанию, запрограммированная в IIS. Позволяет восстановить исходное состояние, если особая ошибка больше не нужна.
    • File (Файл). Позволяет выбрать файл, используя его полное имя (например, C:\windows\help\errors\iiserror404.asp ).
    • URL. Позволяет направить клиента на страницу сайта по абсолютному пути URL (начиная с верхнего уровня сайта). Следовательно, страницы ошибок HTTP должны находиться на том же сайте, хотя они и могут располагаться в виртуальном каталоге. При вводе URL в неправильном формате отобразится сообщение об ошибке.
    Изменение свойств особых ошибок

    Для изменения свойств особых ошибок выполните следующие действия.

    1. Выделите ошибку HTTP, затем нажмите на кнопку Edit (Изменить). Появится окно Edit Custom Error Properties (Изменение свойств особой ошибки).
    2. В ниспадающем меню выберите тип сообщения для данной ошибки.
    3. При использовании файла укажите путь к этому файлу или перейдите в его место расположения.
    4. При использовании URL введите абсолютное имя файла.
    5. При выборе опции Default (По умолчанию) ничего указывать не нужно.
    6. После выбора и настройки опции нажмите на кнопку OK.
    7. Нажмите на кнопку OK.

    Некоторые сообщения об ошибках нельзя связать с URL

    Некоторые сообщения об ошибках нельзя связать с URL. Ниже приведен список таких сообщений.

    • 401.1 Unauthorized: Access is denied due to invalid credentials (Доступ запрещен по причине неверного имени пользователя и пароля).
    • 401.2 Unauthorized: Access is denied due to server configuration favoring an alternate authentication method (Доступ запрещен по причине того, что в конфигурации сервера указан другой метод аутентификации).
    • 401.3 Unauthorized: Access is denied due to an ACL set on the requested resource (Доступ запрещен по той причине, что на запрашиваемом ресурсе расположен список ACL).
    • 401.4 Unauthorized: Authorization failed by a filter installed on the web server (Авторизация не проведена из-за фильтра, установленного на веб-сервере).
    • 401.5 Unauthorized: Authorization failed by an ISAPI/CGI application (Авторизация отменена приложением ISAPI/CGI).
    • 407: Proxy Authentication Required (Требуется аутентификация прокси).
    • 502: Bad Gateway (Ошибка шлюза).

    Вкладка BITS Server Extension (Серверное расширение BITS)

    Служба интеллектуальной фоновой передачи (Background Intelligent Transfer Service, BITS) позволяет осуществлять медленную передачу большого количества информации в течение длительного времени. Передача данных выполняется в то время, когда сеть не используется, что не сказывается на производительности сети. Вкладка BITS Server Extension (Серверное расширение BITS) доступна, если установлен соответствующий компонент. (Опция установки компонента находится в папке Add/Remove Windows Components [Установка и удаление компонентов Windows]. Дополнительную информацию см. в лекции 1.) IIS использует серверные расширения BITS для получения отгружаемых клиентами в виртуальный каталог файлов. Клиент должен иметь программное обеспечение, позволяющее отгружать файлы при помощи технологии BITS; IIS лишь настраивает сервер на прием файлов, передаваемых посредством BITS. При инициализации передачи BITS управляет ею до тех пор, пока существует сетевое подключение. Если сетевое соединение прерывается, BITS приостанавливает передачу и возобновляет ее с места приостановки после восстановления соединения. Данные передаются независимо от отключений и перезагрузки компьютеров. BITS отслеживает использование сети на компьютере-клиенте и осуществляет передачу при наличии достаточной части полосы пропускания канала.

    Рис. 2.17. Вкладка BITS Server Extensions (Серверные расширения BITS)

    Allow Clients to Transfer Data to This Virtual Directory (Разрешить клиентам передавать данные в этот виртуальный каталог)

    Опция настраивает виртуальный каталог на прием файлов, передаваемых через BITS. При выборе опции Use Default Settings (Использовать настройки по умолчанию) в данной вкладке нельзя настроить какие-либо опции. Опция Customize Settings (Изменить настройки) позволяет внести изменения в параметры. Параметры устанавливаются на уровне веб-сайта в виртуальных каталогах, предназначенных для приема данных посредством технологии BITS. Виртуальный подкаталог наследует параметры родительского виртуального каталога.

    Особые настройки

    В области Custom Settings (Особые настройки) настраивается максимальный размер файла, передаваемого с помощью BITS, с помощью опции Maximum File Size (Максимальный размер файла). Подразумевается максимальный размер одного файла. Укажите значение от 1 байта до 16 777 215 терабайт. (Искренне желаю вам дожить до момента выпуска новых ПЗУ объемом 16 экзабайт.) Настраивается период действия незавершенных передач файлов до их удаления процессом очистки. Выберите любой интервал времени от 1 с (в этом случае любая незавершенная передача удаляется при запуске очистки диска) до 49 710 дней, по прошествии которых жесткие диски объемом 16 экзабайт будут уже давно пройденным этапом.

    Включение поддержки набора серверов

    Набор серверов BITS представляет собой группу серверов, на которые клиент может отгружать файлы. Хранилище файлов настраивается на работу с набором серверов двумя способами.

    • Серверы используют одно сетевое место расположения для виртуального каталога.
    • Серверы используют свое собственное локальное хранилище в качестве каталога отгрузки.

    При выборе второй опции откроется доступ к опциям поддержки набора серверов.

    • Reconnect To IP Address (Повторное подключение к IP-адресу). Позволяет клиенту узнать IP-адрес для повторного подключения при возобновлении передачи файлов. При использовании серверами локального хранилища клиенту, скорее всего, потребуется повторное подключение к тому же серверу для продолжения передачи файла, а не создание нового подключения к другому серверу. Здесь можно указывать имя DNS, если для этого имени присутствует одна запись A (циклический DNS направит клиента на несколько серверов, и повторное подключение потеряет смысл).
    • Use Original IP Address After (Использовать исходный IP-адрес после). Настраивает интервал времени для повторного подключения. Этот параметр обычно синхронизируется с периодом, установленным в настройках очистки жесткого диска. В случае удаления незавершенной передачи файла повторное подключение к этому же серверу не имеет смысла. Клиенту потребуется повторное подключение с использованием исходного URL по прошествии указанного срока. Укажите любой интервал – от 1 секунды до 49 710 дней.
    Разрешение уведомлений

    Параметр включает уведомления для данного виртуального каталога, позволяющие передавать приложению сообщение о завершении передачи. Доступны следующие параметры.

    • Notification Type (Тип уведомления). При выборе отправки имени файла сервер передает полный путь файла по URL уведомления. При выборе отправки данных файл передается сервером по URL уведомления с использованием метода HTTP POST.
    • Notification URL (URL уведомления). Указывает URL, используемый для отправки уведомлений. Укажите полный URL или относительный URL.
    Удаление незавершенных файлов

    В некоторых случаях клиент не возобновляет незавершенную передачу файла. IIS периодически проводит «очистку» каталогов, чтобы не заполнять дисковое пространство этими незавершенными файлами. Трудность состоит в обеспечении достаточно большого промежуток времени для завершения передачи файлов клиентами, редко подключающимися к серверу, но и, в то же время, достаточно короткого, чтобы жесткий диск не заполнялся незавершенными файлами, загрузка которых не будет закончена.

    • Schedule Cleanup (Назначение очистки). Назначает периодически выполняемую задачу для проверки наличия незавершенных файлов. При нахождении незавершенного файла его дата сопоставляется со значением срока удаления в поле Delete Incomplete Jobs After (Удалять незавершенные задания после). Если файл старше этого значения, он удаляется, и задание отменяется.
    • Run Cleanup Now (Выполнить очистку сейчас). Немедленно запускает процесс очистки. В противном случае очистка выполняется так же, как и при выборе опции Schedule Cleanup.

    Вкладка Server Extensions 2002 (Серверные расширения 2002)

    Вкладка (см. рис. 2.18) доступна только на уровне сайта, если установлены серверные расширения FrontPage 2002 Server Extensions. По умолчанию при открытии вкладки появляется сообщение о том, что серверные расширения для данного веб-сайта не включены.

    Рис. 2.18. Вкладка Server Extensions (Серверные расширения)

    1. В консоли IIS MMC выберите команду Action\All Tasks\Configure Server Extensions 2002 (Действие\Все задачи\Настройка Server Extensions 2002).
    2. Появится окно Internet Explorer с запросом входных данных. Введите аутентификационные данные с правами администратора.
    3. Откроется веб-сайт, для которого необходимо включить серверные расширения FrontPage Server Extensions 2002.
    4. Убедитесь, что в поле Administrator (Администратор) отображается нужная учетная запись, затем нажмите на кнопку Submit (Отправить).
    5. На веб-сайте Server Administration, открывшемся в окне браузера, настраиваются серверные расширения FrontPage Server Extensions.

    После включения серверных расширений во вкладке отобразится кнопка Settings (Параметры), с помощью которой открывается веб-сайт Server Administration (Администрирование сервера).

    Веб-сайт Server Administration (Администрирование сервера)

    На веб-сайте Server Administration (Администрирование сервера) настраиваются серверные расширения FrontPage. При открытии вкладки Server Extensions 2002 (см. рис. 2.18) вы увидите кнопку Settings (Параметры); в консоли IIS MMC будут недоступны параметры конфигурации. Нажмите на кнопку Settings для перехода на сайт FrontPage Server Administration (Администрирование сервера FrontPage) (см. рис. 2.19). Сначала отобразится страница Change Configuration Settings (Изменить параметры конфигурации). В верхней части страницы расположены гиперссылки администрирования, с помощью которых осуществляется переход на страницу администрирования сайта и к справке.

    Рис. 2.19. Страница Change Configuration Settings (Изменение параметров конфигурации) сайта FrontPage Server Administration (Администрирование сервера FrontPage)

    Страница изменения параметров конфигурации

    На странице Change Configuration Settings (Изменение параметров конфигурации) вы можете настроить общие параметры сайтов данного сервера. Для этого нужно быть членом локальной группы Administrators (Администраторы).

    Enable Authoring (Включить авторизацию). Включенная опция указывает на использование клиентами FrontPage для отгрузки содержимого на свои веб-сайты. По умолчанию при установке Server Extensions 2002 данная опция включена. Ее отключение запретит авторам сайтов публиковать новое содержимое. Администратор может воспользоваться этой возможностью при управлении или обновлении содержимого, если на это время нужно запретить публикацию. С точки зрения безопасности опцию не следует включать для работающего сайта, за исключением времени, когда производится отгрузка содержимого на сайт.

    Mail Settings (Параметры почты). Используется для настройки использования программой FrontPage служб электронной почты сервера. При настройке параметров SMTP указывается имя сервера SMTP или его IP-адрес. Нельзя указывать имя пользователя и пароль, поэтому убедитесь, что сервер принимает сообщения без запроса этих данных. С помощью опции настраиваются адреса From (От) и Reply (Ответ), кодировка сообщений и набор символов, если сервер электронной почты имеет другие настройки.

    Performance Tuning (Настройка производительности). Серверные расширения FrontPage позволяют настраивать кэширование веб-сайтов. При большом количестве страниц и документов кэширование сокращает среднее время отклика сайта. Измените один из параметров для настройки размера кэша:

      Web-наборы. Позволяют распределять запросы по нескольким рабочим процессам в данном пуле приложений, достигая большего уровня производительности и надежности, поскольку приложение будет использовать несколько рабочих процессов, и ошибка в одном из них не повлияет на работу остальных. Параметр Maximum Number Of Worker Processes (Максимальное число рабочих процессов) устанавливает количество рабочих процессов в данном пуле приложений. Укажите любое значение от 1 до 4 000 000.

    Предупреждение. Установка слишком большого числа рабочих процессов отрицательно скажется на производительности системы, поскольку каждый процесс занимает около 5 Мб памяти только при запуске. Имейте это в виду при указании максимального количества выполняемых на сервере рабочих процессов.
    Вкладка Health (Состояние)

    Во вкладке Health (Состояние) (см. рис. 2.25) настраиваются параметры, поддерживающие рабочее состояние данного пула приложений, и параметры обнаружения проблем.

    Рис. 2.25. Вкладка Health (Состояние)

    • Enable Pinging (Включить пинг-запросы). Настраивает систему на периодическую отправку пинг-запросов рабочим процессам. Отсутствие ответа от рабочего процесс означает наличие в нем проблемы; IIS уничтожает данный процесс и вместо него создает новый. Укажите любое значение от 1 до 4 000 000 с.
    • Rap >Ниже приведено описание работы рассматриваемого процесса.
    1. В рабочем процессе возникает ошибка.
    2. IIS записывает событие о неожиданном завершении работы процесса в журнал приложений, указывает идентификационный номер процесса и код выхода.
    3. IIS перезапускает рабочий процесс автоматически при поступлении другого процесса.
    4. Действия повторяются до достижения порогового значения.
    5. По достижении порогового значения IIS записывает в журнал приложений событие об автоматическом отключении пула приложений из-за многократного возникновения ошибок.
    6. Все клиенты, использующие данный пул приложений, получат сообщение об ошибке 503 «Service Unavailable» («Служба недоступна»).
    7. Действия повторяются до тех пор, пока пул приложений не будет остановлен и перезагружен.

    Временные пределы запуска и отключения. Рабочие процессы не уничтожаются сразу после остановки, им требуется какое-то время и для загрузки. Для остановки рабочего процесса ему отправляется запрос на аннулирование, затем отводится время для завершения текущих операций и выхода из очереди, и только потом процесс аннулируется. При рециркуляции созданный новый процесс готов приступить к работе еще до завершения старого процесса, чтобы не прерывать работу службы. Иногда рабочий процесс останавливается не до конца, или возникают проблемы при его запуске. Временные пределы используются для настройки периода времени, в течение которого IIS ожидает возникновения проблемы.

    • Startup Time Limit (Предел времени загрузки). Служит для настройки промежутка времени, в течение которого IIS ожидает запуск рабочего процесса. Укажите любой интервал времени от 1 до 4 000 000 с.
    • Shutdown Time Limit (Предел времени отключения). Служит для настройки промежутка времени, в течение которого IIS ожидает запланированное завершение рабочего процесса. Укажите любой интервал времени от 1 до 4 000 000 с.
    Вкладка >Во вкладке Identity (Идентификация) (см. рис. 2.26) указывается учетная запись безопасности, используемая рабочим процессом в пуле приложений. По умолчанию рабочие процессы выполняются как сетевые службы (включена опция Network Service [Сетевая служба]) c ограниченными правами в операционной системе.

    Рис. 2.26. Вкладка Identity (Идентификация)

    Укажите способ идентификации, который будет использоваться рабочими процессами. Выберите определенную идентификацию или укажите учетную запись пользователя. Последний вариант представляет собой угрозу безопасности, поскольку учетные записи имеют расширенные права доступа к операционной системе.

    • Network Service (Сетевая служба). Параметр по умолчанию, являющийся наиболее безопасным и рекомендуемый для выполнения рабочих процессов. В этом случае невозможен непосредственный доступ рабочих процессов к операционной системе и управление ею.
    • Local Service (Локальная служба). Обеспечивает более широкий набор прав в операционной системе, чем предыдущая опция. Предоставляет право доступа к операционной системе, но запрещается доступ к объектам за пределами сервера. Запрещается и взаимодействие с рабочим столом.
    • Local System (Локальная система). Обеспечивает более широкий набор прав, чем Local Service (Локальная служба). На самом деле опция предоставляет права полного доступа ко всей системе.

    Все три учетные записи входят в группу IIS_WPG, находящуюся в локальной системе, права на доступ к которой присваиваются процессам. Если рабочему процессу требуется больше прав, чем он имеет в настоящий момент, включите эти права для группы IIS_WPG. При настройке учетной записи для рабочего процесса убедитесь в том, что эта учетная запись является членом группы IIS_WPG.

    • Configurable (Настраиваемая). Указывает учетную запись, под которой будут выполняться рабочие процессы. Введите имя учетной записи или нажмите на кнопку Browse (Обзор) и выберите учетную запись в появившемся окне.

    При запуске рабочий процесс имеет маркер доступа идентификации, на которую он настроен. При поступлении запроса от клиента для его обработки используется маркер доступа клиента. Это действие называется имперсонализацией и позволяет рабочим процессам выполняться с низким уровнем безопасности с одновременным выполнением операций на высоком уровне.

    Что такое код iis возможности

    Стандартные возможности аутентификации Internet Information Server (IIS), анонимный доступ, методы аутентификации, учетная запись IUSR_

    Большая часть серверов IIS работает без требований к пользователю аутентифицироваться — то есть в режиме анонимного доступа. На самом деле такие анонимные пользователи работают от имени специальной учетной записи IUSR _имя_компьютера. Конечно же, настоятельно не рекомендуется использовать эту учетную запись для каких-то других целей, добавлять ее в другие группы (кроме группы Guests ), в которой эта учетная запись находится по умолчанию и т.п.

    Однако в некоторых ситуациях анонимным доступом не обойтись. Обычно аутентификация требуется в двух случаях:

    1) когда на Web -сервере находятся ресурсы, доступ к которым нужен не всем пользователям (проще говоря, чтобы задействовать систему разрешений);

    2) для целей дополнительного протоколирования — чтобы можно было записывать информацию о том, какие именно пользователи обращались к ресурсам Web -сайта (во многих ситуациях, например в локальной сети, в этом случае можно обойтись без аутентификации — поскольку текущее имя пользователя автоматически записывается в логи Web -сервера).

    Аутентификация в IIS , к сожалению, полностью основывается на системе безопасности Windows . Фактически мы можем предоставить доступ только тем пользователям, для которых у нас создана локальная учетная запись (или доменная учетная запись, если компьютер с IIS входит в домен). Конечно, по этой причине доступ на IIS со стандартными средствами можно предоставлять только пользователям локальной сети (или, например, очень ограниченному числу внешних партнеров). Рассчитывать на организацию системы аутентификации для пользователей из Интернета стандартными средствами не приходится (поскольку для каждого пользователя учетную запись Windows не создашь). Обычно для таких целей используются или самостоятельно созданные Web -приложения, или специальные надстройки на IIS , которые обеспечивают отдельную, независимую от Windows систему аутентификации. Ниже будет рассмотрены стандартные возможности аутентификации, а затем — дополнительные средства других производителей.

    Настройку аутентификации стандартными методами предписывается производить из консоли Internet Information Services Manager -> свойства Web -сайта -> вкладка Directory Security -> кнопка Edit в группе Authentification and Access Control . При нажатии на эту кнопку открывается окно Authentification Method , в котором и производятся настройки параметров аутентификации. В этом окне вы можете:

    • разрешить или запретить анонимный доступ на Web -сайт и выбрать учетную запись, которая будет использована для этой цели;
    • выбрать методы аутентификации, которые могут быть использованы для доступа на Web -сервер.

    О методах аутентификации необходимо рассказать подробнее:

    • IntegratedWindowsAuthentification — единственный метод (кроме анонимного доступа), доступный по умолчанию. При использовании этого метода используются те же хэши NTLM (или Kerberos — negotiate для Windows 2000/ XP /2003), что и при обычной аутентификации в Windows (например, при обращении к файлам на файл-сервере). Конечно, ни один броузер, кроме Internet Explorer , такой аутентификации не поддерживает. Необходимо отметить, что, если прав учетной записи IUSR недостаточно (или анонимный доступ вообще отключен) следующее, что делает Internet Explorer — отсылает NTLM -хэш (его версия зависит от версии операционной системы) текущей учетной записи на сервер IIS . Если аутентификация не прошла (или прошла, но у учетной записи не оказалось прав на Web -ресурс), то открывается всплывающее окно аутентификации, в котором пользователь имеет возможность ввести данные другой учетной записи;
    • DigestAuthentification — сравнительно новая технология (появилась только в Windows 2000/ IIS 5.0), основанная на открытых Интернет-стандартах (алгоритм хэширования MD 5 и RFC 2617). При использовании этого метода аутентификации сервер посылает специальную случайную последовательность символов — nonce — клиенту (для каждого сеанса она будет сгенерирована заново). Клиент принимает эту последовательность, на основе ее и своего пароля генерирует хэш по алгоритму MD 5 и пересылает ее серверу. Сервер, который производит такую же операцию и сравнивает полученные значения. Главной проблемой применения этого метода аутентификации является то, что IIS должен получить доступ к открытым паролям пользователей, которых по умолчанию нет и на контроллерах домена. Таким образом, чтобы этот метод аутентификации заработал, необходимо для учетных записей пользователей установить параметр » Store password using reversible encryption «, что обычно в защищенных сетях недопустимо.
    • BasicAuthentification — самый простой тип аутентификации, который поддерживается практически всеми броузерами. При этом имя пользователя и пароль посылаются почти открытым текстом (на самом деле они кодируются, во избежание попадания служебных символов, по алгоритму Base 64). Те менее, конечно, расшифровать эти данные не составит никакого труда — например, при помощи утилиты Base 64 Decoder (она умеет декодировать и некоторые другие форматы) из каталога прочее на компакт-диске. Поскольку передаются таким образом на самом деле имя и пароль учетной записи Windows , то последствия могут оказаться очень серьезными (если в сети запущен сниффер). Безопасно пользоваться этим методом аутентификации можно только при использовании SSL .
    • .NETPassportauthentification — возможность использовать для аутентификации централизованную систему . NET Passport от Microsoft . Не совсем понятно, зачем эта возможность помещена на графический интерфейс IIS Manager — использовать эту возможность могут только участники программы . NET Passport , фактически — очень ограниченный круг крупных Web -коммерсантов. Существует и множество других ограничений при использовании .NET Passport .

    Есть и другие методы аутентификации, например, при помощи клиентских сертификатов (этот метод сертификации настраивается при помощи Edit в разделе Secure Certifications и о нем будет рассказано ниже), при помощи серверов RADIUS и смарт-карт, но обычно последние два способа используются в составе комплексных решений для очень защищенных Web -сайтов.

    Еще несколько слов об служебных учетных записях и группах, имеющих отношение к IIS :

    • IUSR _имя_компьютера — об этой учетной записи уже говорилось, она предназначена для обеспечения анонимного доступа на сервер IIS и никаких дополнительных прав ей предоставлять не рекомендуется;
    • IWAM_имя_компьютера — еще одна гостевая учетная запись, которой не нужно давать лишние права. От имени этой учетной записи запускаются внешние процессы, порождаемые процессом INETINFO (то есть процессом Web -сервера). Иногда для работы Web 0-приложения этой учетной записи необходимо предоставить дополнительные права, например, на запись в каталог.
    • IIS _WPG — эта группа предназначена для предоставления прав в операционной системе приложениям CGI и ASP . NET , работающим на Web -сервере. Если у вас таких приложений нет, выдавать какие-либо разрешения этой группе не нужно.
    • ASPNET — как понятно из названия, эта учетная запись используется приложениями ASP . NET , работающими на сервере IIS . Если у вас не используется ASP . NET (не установлена как компонент IIS ), то этой учетной записи не будет. Этой учетной записи нужно предоставлять права, например, если приложению ASP . NET необходимо подключаться к SQL Server .

    При помощи группы переключателей IP address and domain name restrictions можно также ограничить доступ к сайту по IP -адресам, целым IP -сетям или именам доменов DNS . Обычно такие возможности используются только в Интранет Web -серверах.

    Илон Маск рекомендует:  Тег tr
    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL