Iis администрирование с нижнего уровня


Содержание

Удаленное управление IIS в Windows Server 2020/2012 R2

Веб-сервер Internet Information Service в Windows 2020/ 2012 / R2, как и предыдущие версии IIS имеет возможность удаленного управления. Ведь управлять множеством IIS серверов из одной консоли довольно удобно, а для веб-серверов, работающих в режиме Core/Nano, это практически единственный удобный способ управления веб сервером. Однако по умолчанию функционал удаленного управления в IIS отключен и в том случае, если на другом сервере попытаться добавить удаленный сервер с запущенным IIS в консоль управления IIS (меню Connect to a Server), появится ошибка:

Установка службы управления IIS Management Service

Дело в том, что при стандартной установке IIS, служба IIS Management Service, отвечающая за его удаленное управление не устанавливается. Убедится, что данная служба отсутсвует в системе можно с помощью Powershell команды:

Как вы видите, служба Web-Mgmt-Service не установлена. Установите компонент Windows Server с помощью командлета Add-WindowsFeature , выполним с правами администратора следующую команду Powershell:

Также вы можете установить компонент Management Service из консоли Server Manager.

Затем перезапустите веб сервис IIS:
iisreset –noforce
Следующий шаг – нужно разрешить удаленные подключения в настройках веб сервера IIS. Для этого в диспетчере служб IIS в секции Management откройте появившийся пункт Management Service.

В разделе Management Service включите опцию «Enable remote connections».

Здесь же можно ограничить возможность подключения к консоли управлений веб сервера по IP адресу. Для этого запретите подключение с неизвестных клиентов (Access for unspecified clients:Deny) и укажите IP адрес / или IP подсети, с которых будет разрешено подключение. Служба удаленного подключения использует SSL сертификат, но вы можете использовать другой, если вы импортировали его в хранилище сертификатов (вы можете создать и использовать самоподписанный сертификат). Сохраните изменения.

Reg Add HKLM\Software\Microsoft\WebManagement\Server /V EnableRemoteManagement /T REG_DWORD /D 1

В этом случае придется создать правило для файервола вручную:

netsh advfirewall firewall add rule name=”Allow IIS Web Management” dir=in action=allow service=”WMSVC”

Осталось запустить службу Web Management Service:

net start wmsvc

set-service wmsvc -StartupType Automatic

sc config WMSVC start= auto

После этого удаленный веб сервер IIS возможно добавить в консоль управлений IIS Manager и управлять сервером IIS, всеми сайтами на нем так же, как и локальным веб-сервером.

Предоставление прав пользователям на удаленное управление сайтом IIS

По-умолчанию право на удаленное управление сервером IIS есть только у пользователей с правами администратора сервера. Чтобы предоставить право на удаленное управление обычным пользователям, необходимо раздать соответствующие права на уровне каждого сайта IIS. Выберите сайт и найдите опцию IIS Manager Permissions.

В панели Actions нажмите на Allow User. Выберите учетную запись, которой нужно предоставить доступ к IIS и нажмите Ок.

Права пользователям по управлению сайтами на IIS настраиваются в секции Feature Delegation на уровне всего сервера IIS.

Вы можете задать один из трех уровней доступа пользователям для каждого функционала управления сервером IIS: Read Only, Read/Write или Not Delegated.

Удаленное управление IIS из Windows 10

Если вам нужно удалено управлять серверов IIS с клиентской рабочей станции с Windows 10 (Windows 7 или 8.1), необходимо установить консоль управления IIS: Turn Windows features on or off -> Internet Information Services -> Web Management Tools -> IIS Management Console.

Вы можете установить компонент управления следующей командой PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName «IIS-ManagementService»

Однако при запуске консоли IIS Manager в Windows 10 оказывается, что пункт Подключение к серверу (Connect to a server) в меню отсутствует.

Для возможности удаленного подключения к IIS в Windows 10 нужно скачать и установить компонент IIS Manager for Remote Administration (https://www.microsoft.com/en-us/download/details.aspx? >

После установки нужно перезапустить консоль диспетчера IIS и подключится к сайту. Если при подключении к IIS окажется, что версия консоли на клиенте и сервере отличается, появится уведомлении о необходимости обновить версию консоли (все необходимые файлы будут автоматически скачаны с сервера).

Теперь вы должны успешно подключиться к своему серверу IIS и удаленно управлять им со своего рабочего места.

Удаленное управление IIS и поддержка TLS 1.1/ TLS 1.2

Если на IIS вы отключили устаревших протоколов SSLv3 и TLS 1.0, оставив только TLS 1.1/ TLS 1.2 то при удаленном подключении к IIS появится ошибка:

Для исправления проблемы, необходимо на стороне клиента внести изменения в реестре, для обязательного использования протокола TLS1.2 при подключении. Настройки зависят от версии Windows.

Windows 10 и Windows Server 2020:

Windows 2012/ R2 и Windows 8/8.1:

Windows Server 2008 R2 / Windows 7:

Предварительно нужно установить обновление KB3154518 для поддержки TLS 1.2 в .NET Framework 3.5.1.

Настройка веб-сервера IIS, часть 1

Internet Information Services (IIS) это набор интернет-серверов от компании Microsoft. Основным компонентом IIS является веб-сервер, хотя этим дело не ограничивается. Последняя восьмая версия IIS поставляется со всеми редакциями Windows Server 2012 R2.

Несмотря на проприетарность IIS, доля этого набора сервисов на рынке постепенно увеличивается. В интернете можно отыскать множество сакральных споров, что же всё таки лучше — IIS, Apache или, скажем, Nginx. Не будем им уподобляться, просто скажем в каких случаях в основном используется IIS.

Самый удобный вариант использования IIS — когда всё ваше рабочее окружение (и серверная его часть тоже) работает на Windows. В таком случае Вы можете получить от IIS ряд удобных «плюшек» для работы в домене. В конце концов, ведь IIS это еще и FTP-сервер, и почтовый сервер. Интерфейс IIS довольно нагляден, что вообще свойственно Windows-среде. Ну и, конечно, IIS пригодится вам, если вы используете MS SQL.

Для включения IIS в Windows Server 2012 R2 зайдите в Диспетчер серверов.

В Диспетчере серверов найдите пункт «Добавить роли и компоненты».

Далее запустится небольшой мастер, где вам нужно будет выбрать сервер (скорее всего текущий) и его роли. В данном случае веб-сервер.

Убедитесь, что у Вас включен CGI.

После этого в разделе Администрирование у Вас появится Диспетчер служб IIS.

Вы можете так же включить IIS в Windows 7 Профессиональная и Максимальная, а также в Windows 8. Для этого перейдите в Панель управления → Программы → Включение или отключение компонентов Windows.

Диспетчер служб представляет собой графический интерфейс управления Вашими серверами.

Справа перечислены сервера и сайты. По умолчанию на системном разделе создается папка inetpub, в которой находятся папки ftproot и wwwroot для FTP-серверов и веб-сайтов соответственно.

Установка PHP на IIS

Для установки PHP перейдите по ссылке и скачайте ZIP-архив с версией Non Thread Safe. Обозначение VC11 возле версии обозначает, что для её компиляции необходим Visual C++ Redistributable for Visual Studio 2012. Для старых версий, маркированных как VC9, требуется Visual C++ Redistributable for Visual Studio 2008 SP1.

Директорию для распаковки ZIP-архива можно выбрать по своему усмотрению. После извлечения архива создайте копию файла php.ini-production под именем php.ini в той же папке.

Файл php.ini содержит правила исполнения PHP и работы с окружением, в котором он исполняется. Есть ряд обязательных параметров, которые должны быть прописаны. Ниже список этих параметров.

extension_dir = [путь к директории расширений] — этот параметр отвечает за расположение расширений PHP. Например, C:\php\ext.

extension = xxxxx.dll — для каждого подключаемого расширения необходимо прописать такую директиву. Такие расширения будут подгружаться при старте PHP.

log_errors = On — включение лога ошибок.

error_log = [путь к файлу лога ошибок] — собственно, тут всё понятно.

cgi.force_redirect = 0 — отключение механизма защиты директорий, под IIS данный параметр должен принимать именно такое значение во избежание ошибок ядра PHP в Windows.

cgi.fix_pathinfo = 1 — включение поддержки PATH_INFO согласно спецификации CGI. IIS FastCGI использует эту настройку.

fastcgi.impersonate = 1 — включение идентификации маркеров безопасности вызывающего клиента.

fastcgi.logging = 0 — логи FastCGI в IIS необходимо отключить.

Далее в свойствах системы необходимо откорректировать переменные среды. В Windows Server 2012 R2 необходимо зайти в Панель управления, выбрать пункт Система, там Дополнительные параметры системы. На вкладке Дополнительно внизу находится кнопка Переменные среды.

Среди системных переменных находим переменную Path и в поле Значение переменной дописываем путь к каталогу PHP. В моем примере это C:\php.

Теперь нам необходимо указать в IIS как же обрабатывать php-файлы. Для этого заходим в пункт сопоставление обработчиков.

На панели действия щелкните по пункту Добавить сопоставление модуля и заполните в соответствии с тем, что видите на рисунке.

В поле исполняемого файла прописываете тот путь, куда был разархивирован PHP.

Проверим работу PHP. Для этого создаем файл index.php со следующим содержимым:

Если всё сделано правильно, то, набрав в адресной строке браузера http://localhost/index.php, Вы увидите следующую милую картинку:

Во второй части статьи поговорим о MySQL и phpMyAdmin.

Для системного администратора

Начало работы с IIS 7.0 в Windows Server 2008

Все отделы ИТ различны; каждый имеет собственный уникальный набор потребностей и целей, особенно относительно размещения веб-узлов или служб. Для веб-серверов могут требоваться различные сочетания компонентов для удовлетворения требований организации, а, кроме того, существует задача репликации этого набора для нескольких серверов с одновременным обеспечением эффективного управления ими. Некоторые существенные отличия в IIS 7.0 предназначены специально для того, чтобы отделы ИТ осуществляли именно это при создании веб-сервера или веб-фермы.

После перечисления всех замечательных возможностей IIS 7.0 мне не терпелось поделиться этими сведениями с вами. Когда я понял, что не смогу рассмотреть все функции, я решил уделить основное внимание наиболее значительным возможностям и существенным изменениям в IIS 7.0. Для получения дополнительных сведений посетите веб-узел сообщества IIS, находящийся по адресу IIS.net.

Новая архитектура

Основные изменения IIS 7.0 относятся к архитектуре, обработке запросов, поддержке платформы приложений PHP и хранилищу настроек. В IIS 6.0 функции по большей части носили характер «все или ничего». Необходимо было установить все функции, а настройка IIS осуществлялась только с помощью интерфейса ISAPI.

Идея IIS состоит в том, что веб-администратору необходимо начать с базового набора функций, а затем добавлять только те дополнительные функции, которые необходимы для его среды. Вы знаете свою среду лучше всего, поэтому IIS 7.0 предоставляет стандартные блоки для создания собственного пользовательского веб-сервера. Это ведет к снижению административных расходов благодаря уменьшению количества возможных направлений атак на сервер и устранению необходимости обновления неиспользуемых компонентов. Ключевым моментом этого нового подхода является модульная архитектура IIS 7.0.

Новая модель IIS 7.0 позволяет выбрать устанавливаемые на сервере функции, называемыми модулями. Эти модули встраиваются непосредственно во встроенный конвейер обработки запросов. Эта новая модульная конструкция имеет несколько преимуществ, включая уменьшение количества возможных направлений атак и размера веб-сервера.
В данный момент в состав IIS входит 40 модулей по умолчанию — например, обычная, анонимная проверка подлинности и проверка подлинности Windows® теперь выделены в отдельные модули, которые могут добавляться к конвейеру обработки запросов независимо. Для упрощения классификации модули сгруппированы в восемь подкатегорий (см. рис. 1).

Рис. 1 Модули IIS 7.0 разделены на восемь функциональных областей

Это означает, что теперь возможно создание веб-сервера, точно настроенного в соответствии с вашей средой. Но если необходимы функциональные возможности, не предоставляемые 40 модулями по умолчанию, скажем, определенная настраиваемая проверка подлинности или модификатор содержимого? Нет проблем. Можно написать модуль для восполнения этой потребности на машинном или управляемом коде и подключить его непосредственно к конвейеру. Это также позволяет корпорации Майкрософт создавать и выпускать новые модули по отдельности, избавляя от необходимости ожидания следующего пакета обновления или основного выпуска. IIS 7.0 также позволяет переписывать любой из 40 стандартных модулей собственными пользовательскими модулями. Дополнительные сведения о создании собственных модулей приведены на веб-узле IIS.net.

Встроенный конвейер обработки запросов

Встроенный конвейер обработки запросов можно рассматривать как необходимый набор линейных действий, которые должны выполняться при каждом предоставлении страницы (как показано на рис. 2). Обычно этот набор состоит из определенной проверки подлинности и последующей авторизации для получения содержимого, определения и выполнения обработчика, необходимого для этого содержимого, выполнения необходимой регистрации, и, наконец, отправка запроса. Встроенный конвейер обработки запросов предоставляет IIS 7.0 гибкость одновременного выполнения различных платформ приложений. Например, можно выполнить проверку подлинности на основе форм на содержимом PHP с пользовательским модулем ведения журнала в одном конвейере.

Рис. 2 Интегрированный конвейер и модули IIS 7.0

Каждый веб-узел на сервере имеет встроенный конвейер обработки запросов и может быть запущен в одном из двух режимов – встроенном или классическом. Встроенный режим, режим по умолчанию, позволяет подключать к конвейеру определенные функциональные возможности, обеспечивая настраиваемый контроль над обработкой запроса. Для обеспечения совместимости классический режим воспроизводит функции IIS 6.0/ISAPI с помощью модуля ISAPI в конвейере. Это очень полезно при переносе приложений в IIS 7.0.

Установка по умолчанию

Рассмотрим настройку нового модульного веб-сервера. Если взглянуть на установку IIS 7.0 по умолчанию, можно заметить, что включены только 10 модулей (если включена служба активации процессов Windows). Настройка IIS 7.0 предоставляет базовую функциональность IIS при установке роли веб-сервера, в частности, только модули, необходимые для предоставления статического содержимого, например, обычного кода HTML или классических страниц ASP. Последующая установка дополнительных компонентов на сервере определяется только вами. Ниже приведены функциональные возможности, включенные в установку по умолчанию:

* Основные функции HTTP, включая статическое содержимое, документ по умолчанию, обзор каталога и ошибки HTTP
* Функции работоспособности и диагностики, такие как ведение журнала HTTP и монитор запросов
* Функции безопасности, такие как фильтрация запросов
* Функции повышения производительности, такие как сжатие статического содержимого
* Средства управления, в том числе консоль управления IIS
* Служба активации процессов Windows

Как видите, это сервер с минимально необходимым количеством компонентов, в состав включающий ASP.NET и другие новые функции IIS 7.0, такие как функции диагностики и устранения неисправностей. Добавление на сервер дополнительных функциональных возможностей, таких как возможность передачи динамического содержимого, например, ASP.NET и FastCGI (PHP), осуществляется очень просто. Выберите необходимый для установки набор модулей в разделе «Add Role Services» (Добавление служб роли) роли веб-сервера в диспетчере Windows Server® 2008 Server Manager.

Новое хранилище настроек

Другим ключевым изменением в IIS 7.0, упрощающим вашу работу, является новое хранилище настроек. Метабаза, теперь являющаяся дополнительным устанавливаемым компонентов для обеспечения обратной совместимости, заменена системой настроек на основе XML. Я уже слышу, как вы говорите: «Но метабаза была в формате XML!» Да, была. Но она была громоздкой и не простой для чтения (по крайней мере, человеческого). Она заменена более гибкой системой XML. Подобно ASP.NET, IIS 7.0 использует файлы .config — простые, ясные, переносимые и простые для чтения файлы.
Переход на этот формат означает, что теперь система настроек независима от компьютера, в отличие от метабазы, которая была прикреплена к отдельному компьютеру. Как следствие, теперь система настроек может быть просто перенесена на другие серверы с помощью обычного перетаскивания или команды xcopy.

Эта новая система настроек также замечательно работает для веб-ферм, используя новую функцию IIS 7.0, называемую настройкой общего пользования. Поскольку эта система настроек является переносимой, один главный файл .config можно использовать на всех узлах фермы. Настройка общего пользования позволяет экспортировать известную удачную настройку сервера подготовки, а затем совместно использовать ее в рабочей или производственной среде.
При экспорте файла .config необходимо указать пароль ключа шифрования для него. Это защищает файл .config от попыток незаконного веб-сервера имитировать файл .config сервера без авторизации.

Включение настройки общего пользования осуществляется очень просто. На узле сервера диспетчера служб IIS выберите пункт «Shared Configuration» (Настройка общего пользования), который находится в разделе «Управление» на панели задач. Просто установите флажок «Enable shared configuration» (Включить настройки общего пользования), укажите физический путь к файлу настройки для совместного использования (обычно это общая папка UNC), введите учетные данные, необходимые для доступа к физическому пути, и нажмите кнопку «Применить». После нахождения файла .config появится запрос на ввод пароля шифрования. После завершения процесса перезапустите диспетчер служб IIS, чтобы он выбрал новый файл .config.

Поскольку структура новой системы настроек отличается от той, к которой вы привыкли, рассмотрим ее основы. Как показано на рис. 3, настройка IIS 7.0 разделена на две категории – параметры уровня сервера и параметры узла. Все параметры уровня сервера хранятся в файле applicationhost.config, который находится в папке %systemroot%\windows\system32\inetsrv\config. К ним относятся параметры всех установленных модулей, узлов на сервере и т.д. Параметры узла хранятся в отдельных файлах web.config.

Рис. 3 Существует один файл .config для параметров уровня сервера и отдельные файлы для каждого веб-узла на этом сервере

Если вы использовали ASP.NET, вы, наверное, знакомы с файлами web.config. Службы IIS 7.0 используют файлы web.config для хранения параметров отдельных веб-узлов, таких как документ узла по умолчанию и параметры приложений, а также параметры ASP.NET. Это означает, что для каждого узла на сервере существует файл web.config.
Файл web.config узла находится в физическом пути к узлу, например, %systemroot%\inetpub\wwwroot. Такая модель предоставляет такие же преимущества переносимости, которые были описаны ранее, но на уровне узла. Например, можно просто разработать узел на тестовом сервере, а затем перенести файл web.config и файлы приложения на рабочий сервер с помощью перетаскивания или функции xcopy.

При переносе или совместном использовании файлов .config следите за сведениями, зависящими от компьютера, такими как IP-адрес и буквы дисков. Службы IIS 7.0 предоставляют решение для возможных ошибок в подобных параметрах, поддерживая переменные среды операционной системы (например, %systemroot%). Кроме того, убедитесь, что на тестовых и рабочих серверах установлен одинаковый набор модулей. Это поможет избежать появления непредвиденных ошибок приложений. Ошибки также могут возникать, если в файле web.config содержится ссылка на неустановленный модуль или в случае конфликта стандартного модуля с пользовательским.

Управление веб-сервером

Теперь в вашем распоряжении этот новый, замечательный, настраиваемый, гибкий и переносимый веб-сервер. Как вы собираетесь управлять им? Управление было важной частью планирования и создания служб IIS 7.0, и существует несколько способов администрирования.

Обычно предпочтения в области управления относятся по крайней мере к одной из трех категорий: администрирование «укажи и щелкни» из пользовательского интерфейса, ввод команд в командной строке и написание сценариев для максимальной автоматизации. Начнем с пользовательского интерфейса.

В IIS 6.0 пользовательский интерфейс оснастки консоли управления Microsoft® (MMC) имеет два основных знакомых представления, представление в виде дерева и представление в виде вкладок. Для перехода к определенному параметру необходимо щелкнуть его правой кнопкой мыши и выбрать «Properties» (Свойства), после чего появится набор вкладок, не говоря уж о переключателях и флажках.

К счастью, пользовательский интерфейс в IIS 7.0 полностью переработан. Этот пользовательский интерфейс, называемый диспетчером служб IIS, задумывался для реализации подхода, ориентированного на задачи, как показано на рис. 4. Также существует диспетчер Remote Manager для клиентов нижнего уровня, таких как Windows XP и Windows Server 2003. Его можно загрузить с веб-узла IIS.net/downloads.

Рис. 4 Новый пользовательский интерфейс в IIS 7.0

Новый пользовательский интерфейс состоит из панели «Подключения» слева, панели «Действия» справа и панели задач или рабочей области в центре. Дерево диспетчера подключений слева сходно с представлением в виде дерева IIS 6.0 с родительскими и дочерними узлами. В представлении в виде дерева появилась возможность создания новых подключений, сохранения текущих подключений и удаления существующих подключений. Панель задач – самое важное улучшение пользовательского интерфейса с двумя представлениями для работы. В представлении функций все настраиваемые свойства IIS, которые ранее были доступны на представлении «вкладки», сгруппированы по областям администрирования, таким как IIS, управление и безопасность.

В диспетчер служб IIS также интегрированы свойства ASP.NET, избавляя от необходимости использовать дополнительную оснастку MMC. Каждое настраиваемое свойство имеет собственный значок, что упрощает поиск свойств. А поскольку диспетчер служб IIS создавался как приложение Windows Forms, можно легко добавлять значки подключаемых модулей для любых созданных пользовательских модулей или функций.

Просмотр содержимого – второе представление панели задач, сходное с IIS 6.0 тем, что можно просмотреть, что находится в каталоге содержимого узла, и выполнять действия с этим содержимым. Новой является возможность выбора определенной части содержимого, например, веб-страницы, с последующим переключением к представлению функций для вызова параметров только для определенного содержимого, что обеспечивает настраиваемый контроль до уровня страницы.

Удаленное управление и делегированное администрирование

Службы IIS 7.0 предоставляют новые способы удаленного управления сервером, узлами, веб-приложениями и безопасно делегированные права администрирования для пользователей, не являющихся администраторами. Сначала рассмотрим новые средства удаленного управления и то, как они могут упростить вашу работу.

Раньше существовало два способа удаленного управления сервером IIS: с помощью веб-узла удаленного управления или удаленного рабочего стола/служб терминалов для доступа к пользовательскому интерфейсу. Но при нахождении с внешней стороны брандмауэра или не на узле эти способы были не особо полезны. В службах IIS 7.0 эта проблема устраняется благодаря созданию способов удаленного управления непосредственно в пользовательском интерфейсе, работающем через совместимое с брандмауэром подключение HTTPS.

Удаленное управление в IIS 7.0 упрощает работу несколькими способами. Во-первых, работа осуществляется с таким же пользовательском интерфейсом, как и при локальном входе в систему. Во-вторых, не требуется открывать порты на брандмауэре, поскольку связь осуществляется через HTTPS. Наконец, теперь из одного пользовательского интерфейса можно управлять несколькими серверами. Не требуется, чтобы одновременно были открыты несколько окон подключения к удаленному рабочему столу или удаленному веб-узлу.

Служба удаленного управления в IIS 7.0 фактически представляет собой небольшое веб-приложение, работающее как отдельная служба под учетной записью локальной службы Windows NT® с именем NT Service\WMSVC. Такая модель обеспечивает сохранение возможности удаленного управления, даже если сам сервер IIS не отвечает.

Как и большинство функций IIS 7.0, удаленное управление в целях безопасности не установлено по умолчанию. Для установки функций удаленного управления добавьте службы ролей для роли веб-сервера в диспетчере сервера Windows Server 2008, который находится в разделе «Management Tools» (Средства управления). После установки функции необходимо включить удаленные подключения и запустить службу WMSVC, поскольку по умолчанию она остановлена.
Параметр запуска службы WMSVC по умолчанию – вручную. При необходимости автоматического запуска службы после перезагрузки необходимо изменить значение параметра на автоматический запуск. Это можно сделать, введя следующее в командной строке:

sc config WMSVC start=auto

При включении удаленных подключений через службы управления появится список параметров, таких как «Удостоверяющие учетные данные», «Подключения» и «Ограничения для IPV4-адреса». В данный момент только одно решение является важным – определение набора удостоверяющих учетных данных для предоставления полномочия на подключение к IIS 7.0: только учетные данные Windows или учетные данные Windows и диспетчера IIS.

Первый вариант, указывающий на разрешение только учетных записей пользователей Windows, локальных или доменных, является довольно очевидным. По второму варианту проходят как пользователи Windows, так и тип учетной записи, являющийся совершенно новым в IIS 7.0 и не связанным с учетными записями пользователей Windows: пользователи диспетчера IIS. Учетные записи пользователей диспетчера IIS позволяют администраторам создавать учетные записи пользователей, известные только в контексте IIS 7.0 и не имеющие прав доступа к операционной системе. Наконец, службы IIS по умолчанию предоставляют самоподписанный сертификат, чтобы можно было начать работу, но рекомендуется добавить действительный подписанный сертификат SSL. Теперь необходимо просто применить параметры и запустить службу.

Для повышения безопасности и увеличения возможностей управления администраторы ИТ могут безопасно делегировать задачи администрирования отдельных узлов или веб-приложений пользователям, не имеющим прав администраторов.
Делегированное администрирование в сущности является удаленным администрированием, но оно ограничивает область доступа отдельными узлами или веб-приложениями. Функция пользователей диспетчера IIS особенно полезна здесь. Можно создать пользователей IIS для этих разовых владельцев узлов и делегировать им полномочия на администрирование собственного узла или приложения. У них отсутствует доступ к параметрам уровня сервера, и они ограничены только параметрами определенного узла или веб-приложения.

Кроме того, можно указать функции и параметры, изменяемые пользователями или даже отображаемые в пользовательском интерфейсе. Например, если тип проверки подлинности, используемый для данного узла, не должен никем изменяться, можно указать, что эта функция только для чтения или не наследуется. Функция только для чтения доступна для пользователей, и они могут определять ее параметр, но не могут вносить изменения; значок ненаследуемой функции отсутствует в представлении диспетчера IIS делегированного пользователя. Такой вид делегирования функции позволяет предоставлять другим пользователям строго контролируемый доступ без предоставления административного управления веб-сервером.

Переход на IIS 7.0

При создании служб IIS 7.0 группа разработчиков стремилась к тому, чтобы переход на них осуществлялся как можно более плавно, позволяя использовать некоторые существующие вложения в средства управления и сценарии для IIS 6.0. Была тщательно продумана обратная совместимость служб IIS 7.0, чтобы они могли работать со сценариями IIS 6.0. На узле совместимости управления IIS 6.0 программы установки можно установить весь набор средств — от совместимости метабазы IIS 6.до самой консоли управления IIS 6.0.

В инфраструктуре совместимости метабазы IIS 6.0 используется компонент с названием ADOMapper. Он позволяет выполнять сценарии метабазы объектов на основе администратора (ABO) и интерфейса ADSI IIS 6.0 в новой системе настроек, ограничивая ее только возможностями IIS 6.0. Поэтому чтение и запись новых свойств IIS 7.0, доступ к новым данным выполнения, чтение и запись свойств ASP.NET или файлов web.config невозможны.

Устранение неполадок и диагностика

Устранение неполадок и диагностика всегда были длительными процессами. Изучение журналов и попытка воспроизведения проблемы в большой веб-ферме или даже на одном сервере могут быть тяжелыми задачами. В состав служб IIS 7.0 входит средство, называемое отслеживанием сбойных запросов, которое позволяет упростить этот процесс и ускорить его выполнение. Средство может быть полезным во многих случаях, включая зависание запроса или его ошибок, а также для изучения проблем проверки подлинности и авторизации.

Отслеживание сбойных запросов использует правила отслеживания в качестве критерия поиска ошибок. Правила отслеживания могут быть созданы для поиска типов поведения или ошибок путем указания типа содержимого для отслеживания (например, все содержимое сервера, только содержимое ASP.NET или пользовательское содержимое, такое как PHP) и условий для начала отслеживания (например, определенный возвращенный код состояния, время предоставления страницы, серьезность события или сочетание условий).

Например, предположим, что пользователи сообщают о том, что загрузка узла длится слишком долго. В любом случае эту ситуацию трудно воспроизвести, особенно при наличии тысяч обращений в час. С помощью отслеживания неудачно завершенных запросов можно просто добавить правило отслеживания для начала ведения журнала в том случае, если загрузка страницы длится дольше необходимого времени — например, две секунды для этого примера — и подождать, пока сервер самостоятельно воспроизводит проблему (см. рис. 5).

Рис. 5 Использование отслеживания сбойных запросов для устранения неисправностей

Разница между отслеживанием сбойных запросов и традиционным ведением журнала состоит в том, что при использовании первого ведение журнала начинается только при обнаружении определенного критерия сбойного запроса. Сам файл журнала – это документ XML с таблицей стилей XML, что делает его простым и ясным для чтения. Как и большинство других функций IIS 7.0, отслеживание сбойных запросов не устанавливается по умолчанию и находится в разделе работоспособности и устранения неисправностей программы установки. Его также необходимо включить в диспетчере IIS.
Службы IIS 7.0 – большой шаг вперед для всех администраторов. Новая архитектура и возможности обеспечивают гибкость и динамичность, необходимые для адаптации к непрерывно меняющейся среде. Благодаря возможностям управления, средствам обратной совместимости и возможностям устранения неполадок службы IIS 7.0 готовы к развертыванию уже сегодня и работе с существующей средой.

Автор: Айзек Ройбал (Isaac Roybal)
Источник: мартовский выпуск Technet Magazine

9. Администрирование служб IIS

Администрирование служб IIS

Не всегда удобно администрировать службы IIS непосредственно на компьютере, где они установлены. Для решения проблем локального и удаленного администрирования есть два средства: если соединение с сервером устанавливается через Интернет или через прокси-сервер, можно использовать Диспетчер служб Интернета (HTML) (Internet Services Manager (HTML)), который доступен через веб-браузер и позволяет настраивать различные свойства узлов; если соединение с сервером устанавливается через интраееть, можно использовать или диспетчер служб Интернета (HTML), или оснастку Internet Information Services. Хотя диспетчер служб Интернета (HTML) и предоставляет большинство возможностей оснастки, однако изменение свойств, которое требует взаимодействия с утилитами Windows, не может быть выполнено с его помощью.

В предыдущей версии IIS оснастка для управления службами называлась Internet Services Manager . В Windows 2000 оснастка называется Internet Information Services, а ярлык в меню Пуск — Диспетчер служб Интернета (Internet Services Manager).

Также для удаленного администрирования доступна онлайновая версия документации. Чтобы обратиться к документации, запустите браузер и введите в поле адреса URL http://имя_cepвepa/iishelp, где имя_сервера — реальное доменное имя компьютера, на котором функционируют службы IIS.

Для удаленного управления IIS можно также использовать возможности служб терминалов (Terminal Services). Удаленное управление может производиться с компьютера под управлением любой ОС, для которой существует клиент служб терминалов Microsoft, при этом на удаленном компьютере не нужно устанавливать никакие средства администрирования IIS.

Оснастка Internet Information Services. Оснастка Internet Information Services (рис. 22.1) — средство администрирования IIS, доступна из меню Пуск | Программы | Администрирование | Диспетчер служб Интернета (Start | Programs | Administrative Tools | Internet Services Manager). Также она включена в состав оснастки Управление компьютером (Computer Management).

Для запуска оснастки Internet Information Services:

1. Запустите оснастку Управление компьютером. Один из способов — нажать кнопку Пуск (Start), а затем в меню выбрать команду Пуск | Программы | Администрирование | Управление компьютером (Programs | Administrative Tools | Computer Management).
2. В дереве в группе Службы и приложения (Services and Applications) найдите и разверните узел Internet Information Services.
Для удобства средство администрирования US (которое представляет собой оснастку Internet Information Services) будем также называть по имени ярлыка из меню Пуск (Start) — Диспетчер служб Интернета

Диспетчер служб Интернета (HTML). Для управления свойствами IIS в диспетчере служб Интернета (HTML) 4 (рис. 22.2) используется узел, который в списке узлов отображается как Администрирование веб-узла (Administration Web Site). При установке IIS автоматически случайно выбирается номер порта в диапазоне от 2000 до 9999, который назначается этому веб-узлу. Узел отвечает на запросы веб-браузеров, независимо от того, к какому доменному имени (из связанных с данным компьютером) происходит обращение, при совпадении номера порта, который добавляется в конце к имени узла. Если используется базовая (basic) аутентификация, то от администратора при подключении к административному узлу будут запрошены имя пользователя и пароль. Только члены группы Windows Администраторы (Administrators) могут использовать этот административный узел. Также управлять узлом дистанционно могут Операторы узла (Web Site Operators). Хотя HTML-версия диспетчера служб Интернета реализует большинство функциональных возможностей оснастки IIS, версия с использованием HTML предназначена для удаленного управления по медленным коммутируемым линиям. В ней не поддерживается, например, щелчок правой кнопкой мыши. Многие из знакомых кнопок на панели или заголовки вкладок отображаются в виде гиперссылок в левой панели окна браузера.

Настройка IIS 10,0 Tuning IIS 10.0

Службы IIS (IIS) 10,0 входит в состав Windows Server 2020. Internet Information Services (IIS) 10.0 is included with Windows Server 2020. В нем используется модель процессов, аналогичная версии IIS 8,5 и IIS 7,0. It uses a process model similar to that of IIS 8.5 and IIS 7.0. Веб-драйвер режима ядра (HTTP. sys) получает и маршрутизирует HTTP-запросы, а также выполняет запросы из кэша ответов. A kernel-mode web driver (http.sys) receives and routes HTTP requests, and satisfies requests from its response cache. Рабочие процессы регистрируются для подпространств URL-адресов, а HTTP. sys направляет запрос в соответствующий процесс (или набор процессов для пулов приложений). Worker processes register for URL subspaces, and http.sys routes the request to the appropriate process (or set of processes for application pools).

HTTP. sys отвечает за управление подключениями и обработку запросов. HTTP.sys is responsible for connection management and request handling. Запрос может быть обслужен из кэша HTTP. sys или передан рабочему процессу для дальнейшей обработки. The request can be served from the HTTP.sys cache or passed to a worker process for further handling. Можно настроить несколько рабочих процессов, что обеспечивает изоляцию по сниженным затратам. Multiple worker processes can be configured, which provides isolation at a reduced cost. Дополнительные сведения о том, как работает обработка запросов, см. на следующем рисунке. For more info on how request handling works, see the following figure:

HTTP. sys включает кэш ответов. HTTP.sys includes a response cache. Когда запрос соответствует записи в кэше ответов, HTTP. sys отправляет ответ кэша непосредственно из режима ядра. When a request matches an entry in the response cache, HTTP.sys sends the cache response directly from kernel mode. Некоторые платформы веб-приложений, такие как ASP.NET, предоставляют механизмы, позволяющие кэшировать любое динамическое содержимое в кэше в режиме ядра. Some web application platforms, such as ASP.NET, provide mechanisms to enable any dynamic content to be cached in the kernel-mode cache. Обработчик статических файлов в IIS 10,0 автоматически кэширует часто запрашиваемые файлы в HTTP. sys. The static file handler in IIS 10.0 automatically caches frequently requested files in http.sys.

Поскольку веб-сервер имеет компоненты режима ядра и пользовательского режима, оба компонента должны быть настроены для оптимальной производительности. Because a web server has kernel-mode and user-mode components, both components must be tuned for optimal performance. Поэтому Настройка IIS 10,0 для конкретной рабочей нагрузки включает в себя настройку следующих параметров: Therefore, tuning IIS 10.0 for a specific workload includes configuring the following:

HTTP. sys и связанный кэш режима ядра HTTP.sys and the associated kernel-mode cache

Рабочие процессы и IIS в пользовательском режиме, включая конфигурацию пула приложений. Worker processes and user-mode IIS, including the application pool configuration

Некоторые параметры настройки, влияющие на производительность Certain tuning parameters that affect performance

В следующих разделах описывается настройка аспектов служб IIS 10,0 в режиме ядра и в пользовательском режиме. The following sections discuss how to configure the kernel-mode and user-mode aspects of IIS 10.0.

Параметры режима ядра Kernel-mode settings

Параметры HTTP. sys, относящиеся к производительности, делятся на две основные категории: Управление кэшем, подключение и управление запросами. Performance-related HTTP.sys settings fall into two broad categories: cache management and connection and request management. Все параметры реестра хранятся в следующей записи реестра: All registry settings are stored under the following registry entry:

Примечание. Если служба HTTP уже запущена, необходимо перезапустить ее, чтобы изменения вступили в силу. Note If the HTTP service is already running, you must restart it for the changes to take effect.

Параметры управления кэшем Cache management settings

Одним из преимуществ, предоставляемых HTTP. sys, является кэш режима ядра. One benefit that HTTP.sys provides is a kernel-mode cache. Если ответ находится в кэше режима ядра, запрос HTTP можно полностью удовлетворить с помощью режима ядра, что значительно снижает стоимость ЦП при обработке запроса. If the response is in the kernel-mode cache, you can satisfy an HTTP request entirely from the kernel mode, which significantly lowers the CPU cost of handling the request. Однако кэш служб IIS 10,0 в режиме ядра основан на физической памяти, а стоимость записи — это объем памяти, который она занимает. However, the kernel-mode cache of IIS 10.0 is based on physical memory, and the cost of an entry is the memory that it occupies.

Запись в кэше полезна только при использовании. An entry in the cache is helpful only when it is used. Однако запись всегда потребляет физическую память независимо от того, используется ли запись. However, the entry always consumes physical memory, whether or not the entry is being used. Необходимо оценить полезность элемента в кэше (экономия от возможности его обслуживания из кэша) и затраты (занимаемая физической памятью) в течение времени существования записи, учитывая доступные ресурсы (ЦП и физическая память) и рабочую нагрузку. необходимость. You must evaluate the usefulness of an item in the cache (the savings from being able to serve it from the cache) and its cost (the physical memory occupied) over the lifetime of the entry by considering the available resources (CPU and physical memory) and the workload requirements. HTTP. sys пытается использовать в кэше только полезные, активно доступные элементы, но можно повысить производительность веб-сервера, настроив кэш HTTP. sys для определенных рабочих нагрузок. HTTP.sys tries to keep only useful, actively accessed items in the cache, but you can increase the performance of the web server by tuning the HTTP.sys cache for particular workloads.

Ниже приведены некоторые полезные параметры для кэша режима ядра HTTP. sys. The following are some useful settings for the HTTP.sys kernel-mode cache:

Уриенаблекаче Значение по умолчанию: 1 UriEnableCache Default value: 1

Ненулевое значение включает ответ в режиме ядра и кэширование фрагментов. A non-zero value enables the kernel-mode response and fragment caching. Для большинства рабочих нагрузок кэш должен оставаться включенным. For most workloads, the cache should remain enabled. Рекомендуется отключить кэш, если предполагается очень низкий отклик и кэширование фрагментов. Consider disabling the cache if you expect a very low response and fragment caching.

Уримакскачемегабитекаунт Значение по умолчанию: 0 UriMaxCacheMegabyteCount Default value: 0

Ненулевое значение, указывающее максимальный объем памяти, доступный кэшу режима ядра. A non-zero value that specifies the maximum memory that is available to the kernel-mode cache. Значение по умолчанию 0 позволяет системе автоматически настраивать объем памяти, доступной для кэша. The default value, 0, enables the system to automatically adjust how much memory is available to the cache.

Примечание . Задание размера устанавливает только максимальное значение, и система может не дорастить размер кэша до максимального размера. Note Specifying the size sets only the maximum, and the system might not let the cache grow to the maximum set size.

Уримаксурибитес Значение по умолчанию: 262144 байт (256 КБ) UriMaxUriBytes Default value: 262144 bytes (256 KB)

Максимальный размер записи в кэше режима ядра. The maximum size of an entry in the kernel-mode cache. Ответы или фрагменты, превышающие этот, не кэшируются. Responses or fragments larger than this are not cached. При наличии достаточного объема памяти рекомендуется увеличить это ограничение. If you have enough memory, consider increasing the limit. Если память ограничена, а большие записи кровдинг меньше, может оказаться полезным уменьшить это ограничение. If memory is limited and large entries are crowding out smaller ones, it might be helpful to lower the limit.

Урискавенжерпериод Значение по умолчанию: 120 секунд UriScavengerPeriod Default value: 120 seconds

Кэш HTTP. sys периодически сканируется средством очистки, а записи, к которым нет доступа между проверками очистки, удаляются. The HTTP.sys cache is periodically scanned by a scavenger, and entries that are not accessed between scavenger scans are removed. Установка для периода очистки большого значения сокращает число просмотров очистки. Setting the scavenger period to a high value reduces the number of scavenger scans. Однако использование памяти кэша может увеличиться из-за более старых, менее часто запрашиваемых записей может остаться в кэше. However, the cache memory usage might increase because older, less frequently accessed entries can remain in the cache. Установка слишком низкого периода приводит к более частому сканированию очистки и может привести к чрезмерному увеличению количества операций очистки и кэширования. Setting the period too low causes more frequent scavenger scans, and it can result in too many flushes and cache churn.

Параметры управления запросами и соединениями Request and connection management settings

В Windows Server 2020 протокол HTTP. sys управляет подключениями автоматически. In Windows Server 2020, HTTP.sys manages connections automatically. Следующие параметры реестра больше не используются: The following registry settings are no longer used:

MaxConnections MaxConnections

идлеконнектионшигхмарк IdleConnectionsHighMark

идлеконнектионсловмарк IdleConnectionsLowMark


идлелисттриммерпериод IdleListTrimmerPeriod

рекуестбуфферлукасидедепс RequestBufferLookasideDepth

интерналрекуестлукасидедепс InternalRequestLookasideDepth

Параметры пользовательского режима User-mode settings

Параметры в этом разделе влияют на поведение рабочего процесса ИИСÂ 10,0. The settings in this section affect the IISÂ 10.0 worker process behavior. Большинство этих параметров можно найти в следующем XML-файле конфигурации: Most of these settings can be found in the following XML configuration file:

% SystemRoot% \system32 @ no__t-1inetsrv @ no__t-2config @ no__t-3applicationHost. config %SystemRoot%\system32\inetsrv\config\applicationHost.config

Чтобы изменить их, используйте Appcmd. exe, консоль управления IIS 10,0, командлеты Иисадминистратион PowerShell. Use Appcmd.exe, the IIS 10.0 Management Console, the WebAdministration or IISAdministration PowerShell Cmdlets to change them. Большинство параметров обнаруживаются автоматически и не требует перезапуска рабочих процессов IIS 10,0 или сервера веб-приложений. Most settings are automatically detected, and they do not require a restart of the IIS 10.0 worker processes or web application server. Дополнительные сведения о файле applicationHost. config см. в разделе Введение в файл ApplicationHost. config. For more info about the applicationHost.config file, see Introduction to ApplicationHost.config.

Идеальный параметр ЦП для оборудования NUMA Ideal CPU setting for NUMA hardware

Начиная с Windows 2020, IIS 10,0 поддерживает автоматическое идеальное назначение ЦП для потоков пула потоков, чтобы повысить производительность и масштабируемость оборудования NUMA. Starting from Windows 2020, IIS 10.0 supports automatic ideal CPU assignment for its thread pool threads to enhance the performance and scalability on NUMA hardware. Эта функция включена по умолчанию и может быть настроена с помощью следующего раздела реестра: This feature is enabled by default and can be configured through the following registry key:

Если эта функция включена, диспетчер потоков IIS предоставляет лучшие усилия для равномерного распределения потоков пула потоков IIS по всем ЦП во всех узлах NUMA на основе их текущих нагрузок. With this feature enabled, IIS thread manager makes its best effort to evenly distribute IIS thread pool threads across all CPUs in all NUMA nodes based on their current loads. Как правило, рекомендуется не изменять этот параметр по умолчанию для оборудования NUMA. In general, it is recommended to keep this default setting unchanged for NUMA hardware.

Примечание идеальный параметр ЦП отличается от параметров назначения узлов NUMA рабочего процесса (Нуманодеассигнмент и нуманодеаффинитимоде), введенных в параметрах ЦП для пула приложений. Note The ideal CPU setting is different from the worker process NUMA node assignment settings (numaNodeAssignment and numaNodeAffinityMode) introduced in CPU Settings for an Application Pool. Идеальный параметр ЦП влияет на то, как IIS распространяет потоки пула потоков, а параметры назначения узлов NUMA рабочего процесса определяют, на каком узле NUMA запускается рабочий процесс. The ideal CPU setting affects how IIS distributes its thread pool threads, while the worker process NUMA node assignment settings determine on which NUMA node a worker process starts.

Параметры поведения кэша пользовательского режима User-mode cache behavior settings

В этом разделе описываются параметры, влияющие на поведение кэширования в ИИСÂ 10,0. This section describes the settings that affect caching behavior in IISÂ 10.0. Кэш пользовательского режима реализуется как модуль, который прослушивает события глобального кэширования, создаваемые интегрированным конвейером. The user-mode cache is implemented as a module that listens to the global caching events that are raised by the integrated pipeline. Чтобы полностью отключить кэш пользовательского режима, удалите модуль Филекачемодуле (качфиле. dll) из списка установленных модулей в разделе конфигурации System. Web Server или Глобалмодулес в файле applicationHost. config. To completely disable the user-mode cache, remove the FileCacheModule (cachfile.dll) module from the list of installed modules in the system.webServer/globalModules configuration section in applicationHost.config.

System .ING Server/Caching system.webServer/caching

Атрибут Attribute Описание Description Значение по умолчанию Default
Enabled Enabled Отключает кэш IIS пользовательского режима при установке значения false. Disables the user-mode IIS cache when set to False. Если коэффициент попадания в кэш очень мал, можно полностью отключить кэш, чтобы избежать издержек, связанных с путем к коду кэша. When the cache hit rate is very small, you can disable the cache completely to avoid the overhead that is associated with the cache code path. Отключение кэша пользовательского режима не отключает кэш режима ядра. Disabling the user-mode cache does not disable the kernel-mode cache. True True
енаблекернелкаче enableKernelCache Отключает кэш режима ядра при установке значения false. Disables the kernel-mode cache when set to False. True True
макскачесизе maxCacheSize Ограничивает размер кэша пользовательского режима IIS указанным размером в мегабайтах. Limits the IIS user-mode cache size to the specified size in Megabytes. Службы IIS настраивают значение по умолчанию в зависимости от доступной памяти. IIS adjusts the default depending on available memory. Тщательно выбирайте значение в зависимости от размера набора часто используемых файлов по сравнению с объемом ОЗУ или адресным пространством процесса IIS. Choose the value carefully based on the size of the set of frequently accessed files versus the amount of RAM or the IIS process address space. 0 0
максреспонсесизе maxResponseSize Кэширует файлы вплоть до указанного размера. Caches files up to the specified size. Фактическое значение зависит от числа и размера самого большого файла в наборе данных, а также от объема доступной оперативной памяти. The actual value depends on the number and size of the largest files in the data set versus the available RAM. Кэширование больших и часто запрашиваемых файлов может снизить загрузку ЦП, доступ к диску и связанные с ними задержки. Caching large, frequently requested files can reduce CPU usage, disk access, and associated latencies. 262144 262144

Параметры поведения сжатия Compression behavior settings

IIS, начиная с 7,0, по умолчанию сжимает статическое содержимое. IIS starting from 7.0 compresses static content by default. Кроме того, сжатие динамического содержимого включается по умолчанию при установке Динамиккомпрессионмодуле. Also, compression of dynamic content is enabled by default when the DynamicCompressionModule is installed. Сжатие сокращает использование пропускной способности, но увеличивает загрузку ЦП. Compression reduces bandwidth usage but increases CPU usage. Если это возможно, сжатое содержимое кэшируется в кэше режима ядра. Compressed content is cached in the kernel-mode cache if possible. Начиная с 8,5, службы IIS позволяют управлять сжатием независимо для статического и динамического содержимого. Starting from 8.5, IIS lets compression be controlled independently for static and dynamic content. Статическое содержимое обычно относится к содержимому, которое не изменяется, например GIF-или HTM-файлы. Static content typically refers to content that does not change, such as GIF or HTM files. Динамическое содержимое обычно создается скриптами или кодом на сервере, то есть ASP.NET страницами. Dynamic content is typically generated by scripts or code on the server, that is, ASP.NET pages. Классификацию любого конкретного расширения можно настроить как статический или динамический. You can customize the classification of any particular extension as static or dynamic.

Чтобы полностью отключить сжатие, удалите Статиккомпрессионмодуле и Динамиккомпрессионмодуле из списка модулей в разделе System. Web Server/Глобалмодулес в файле applicationHost. config. To completely disable compression, remove StaticCompressionModule and DynamicCompressionModule from the list of modules in the system.webServer/globalModules section in applicationHost.config.

System. Хттпкомпрессион/ system.webServer/httpCompression

Атрибут Attribute Описание Description Значение по умолчанию Default
Статиккомпрессион — Енаблекпуусаже staticCompression-EnableCpuUsage

Статиккомпрессион — Дисаблекпуусаже staticCompression-DisableCpuUsage

Динамиккомпрессион — Енаблекпуусаже dynamicCompression-EnableCpuUsage

Динамиккомпрессион — Дисаблекпуусаже dynamicCompression-DisableCpuUsage

Включает или отключает сжатие, если текущая процентная загрузка ЦП превышает или ниже указанных пределов. Enables or disables compression if the current percentage CPU usage goes above or below specified limits.

Начиная с IIS 7,0, сжатие автоматически отключается, если ЦП стабильного состояния превышает пороговое значение отключения. Starting with IIS 7.0, compression is automatically disabled if steady-state CPU increases above the disable threshold. Сжатие включается, если ЦП падает ниже порога включения. Compression is enabled if CPU drops below the enable threshold.

50, 100, 50 и 90 соответственно 50, 100, 50, and 90 respectively
Каталоги directory Указывает каталог, в котором временно хранятся и кэшируются сжатые версии статических файлов. Specifies the directory in which compressed versions of static files are temporarily stored and cached. Рекомендуется переместить этот каталог на системный диск, если к нему часто обращаются. Consider moving this directory off the system drive if it is accessed frequently. %Системдриве%\инетпуб\темп\иис временные сжатые файлы %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
додискспацелимитинг doDiskSpaceLimiting Указывает, существует ли ограничение на количество места на диске, которое может занимать все сжатые файлы. Specifies whether a limit exists for how much disk space all compressed files can occupy. Сжатые файлы хранятся в каталоге сжатия, указанном атрибутом Directory . Compressed files are stored in the compression directory that is specified by the directory attribute. True True
максдискспацеусаже maxDiskSpaceUsage Указывает число байтов дискового пространства, которое может занимать сжатые файлы в каталоге сжатия. Specifies the number of bytes of disk space that compressed files can occupy in the compression directory.

Этот параметр может потребоваться увеличиться, если общий размер всех сжатых содержимого слишком велик. This setting might need to be increased if the total size of all compressed content is too large.

100 МБ 100 MB

System. urlCompression/ system.webServer/urlCompression

Атрибут Attribute Описание Description Значение по умолчанию Default
достатиккомпрессион doStaticCompression Указывает, следует ли сжимать статическое содержимое. Specifies whether static content is compressed. True True
додинамиккомпрессион doDynamicCompression Указывает, следует ли сжимать динамическое содержимое. Specifies whether dynamic content is compressed. True True

Примечание . Для серверов, использующих IIS 10,0 с низкой средней загрузкой ЦП, рассмотрите возможность включения сжатия для динамического содержимого, особенно если ответы велики. Note For servers running IIS 10.0 that have low average CPU usage, consider enabling compression for dynamic content, especially if responses are large. Сначала следует сделать это в тестовой среде, чтобы оценить воздействие на загрузку ЦП из базовых показателей. This should first be done in a test environment to assess the effect on the CPU usage from the baseline.

Настройка списка документов по умолчанию Tuning the default document list

Модуль документов по умолчанию обрабатывает HTTP-запросы к корню каталога и преобразует их в запросы для определенного файла, например Default. htm или index. htm. The default document module handles HTTP requests for the root of a directory and translates them into requests for a specific file, such as Default.htm or Index.htm. В среднем Араундâ 25% всех запросов в Интернете проходит по пути к документу по умолчанию. On average, around 25 percent of all requests on the Internet go through the default document path. Это существенно различается для отдельных сайтов. This varies significantly for individual sites. Если HTTP-запрос не указывает имя файла, модуль документов по умолчанию выполняет поиск по списку допустимых документов по умолчанию для каждого имени в файловой системе. When an HTTP request does not specify a file name, the default document module searches the list of allowed default documents for each name in the file system. Это может негативно сказаться на производительности, особенно если достижение содержимого требует приема сетевого пути или прикосновения к диску. This can adversely affect performance, especially if reaching the content requires making a network round trip or touching a disk.

Можно избежать дополнительной нагрузки путем выборочного отключения документов по умолчанию, а также путем уменьшения или упорядочения списка документов. You can avoid the overhead by selectively disabling default documents and by reducing or ordering the list of documents. Для веб-сайтов, использующих документ по умолчанию, следует сократить список до используемых типов документов по умолчанию. For websites that use a default document, you should reduce the list to only the default document types that are used. Кроме того, следует упорядочить список, чтобы он начинался с наиболее часто запрашиваемого имени файла документа по умолчанию. Additionally, order the list so that it begins with the most frequently accessed default document file name.

Можно выборочно задать поведение документов по умолчанию для определенных URL-адресов, настроив конфигурацию внутри тега location в файле applicationHost. config или вставив файл Web. config непосредственно в каталог содержимого. You can selectively set the default document behavior on particular URLs by customizing the configuration inside a location tag in applicationHost.config or by inserting a web.config file directly in the content directory. Это позволяет применять гибридный подход, который позволяет документам по умолчанию только там, где это необходимо, и присваивает списку правильное имя файла для каждого URL-адреса. This allows a hybrid approach, which enables default documents only where they are necessary and sets the list to the correct file name for each URL.

Чтобы полностью отключить документы по умолчанию, удалите Дефаултдокументмодуле из списка модулей в разделе System. Web Server/Глобалмодулес в файле applicationHost. config. To disable default documents completely, remove DefaultDocumentModule from the list of modules in the system.webServer/globalModules section in applicationHost.config.

System. Server/defaultDocument system.webServer/defaultDocument

Атрибут Attribute Описание Description Значение по умолчанию Default
enabled enabled Указывает, что документы по умолчанию включены. Specifies that default documents are enabled. True True
элемент element Указывает имена файлов, которые настроены в качестве документов по умолчанию. Specifies the file names that are configured as default documents. По умолчанию используется список Default. htm, Default. ASP, index. htm, index. HTML, iisstart. htm и Default. aspx. The default list is Default.htm, Default.asp, Index.htm, Index.html, Iisstart.htm, and Default.aspx.

Централизованное ведение журнала в двоичном формате Central binary logging

Когда сеанс сервера содержит множество групп URL-адресов, процесс создания сотен форматированных файлов журналов для отдельных групп URL-адресов и записи данных журнала на диск может быстро потреблять ценные ресурсы ЦП и памяти, тем самым создавая производительность и проблемы масштабируемости. When the server session has numerous URL groups under it, the process of creating hundreds of formatted log files for individual URL groups and writing the log data to a disk can quickly consume valuable CPU and memory resources, thereby creating performance and scalability issues. Централизованное ведение журнала в двоичном формате уменьшает объем системных ресурсов, используемых для ведения журнала, в то же время предоставляя подробные данные журналов для организаций, которым он необходим. Centralized binary logging minimizes the amount of system resources that are used for logging, while at the same time providing detailed log data for organizations that require it. Для анализа журналов в двоичном формате требуется средство последующей обработки. Parsing binary-format logs requires a post-processing tool.

Вы можете включить централизованное ведение журнала в двоичном формате, установив для атрибута Централлогфилемоде значение Централбинари и установив для атрибута Enabled значение true. You can enable central binary logging by setting the centralLogFileMode attribute to CentralBinary and setting the enabled attribute to True. Рассмотрите возможность перемещения центрального файла журнала из системного раздела и на выделенный диск журнала, чтобы избежать конфликтов между действиями системы и действиями ведения журнала. Consider moving the location of the central log file off the system partition and onto a dedicated logging drive to avoid contention between system activities and logging activities.

System. applicationHost/журнал system.applicationHost/log

Атрибут Attribute Описание Description Значение по умолчанию Default
централлогфилемоде centralLogFileMode Задает режим ведения журнала для сервера. Specifies the logging mode for a server. Измените это значение на Централбинари, чтобы включить централизованное ведение журнала в двоичном формате. Change this value to CentralBinary to enable central binary logging. Сайт Site

System. applicationHost/log/Централбинарилогфиле system.applicationHost/log/centralBinaryLogFile

Атрибут Attribute Описание Description Значение по умолчанию Default
enabled enabled Указывает, включено ли централизованное ведение журнала в двоичном формате. Specifies whether central binary logging is enabled. False False
Каталоги directory Указывает каталог, в который записываются записи журнала. Specifies the directory where log entries are written. %системдриве%\инетпуб\логс\логфилес %SystemDrive%\inetpub\logs\LogFiles

Настройки приложений и сайтов Application and site tunings

Следующие параметры относятся к настройкам пула приложений и сайта. The following settings relate to application pool and site tunings.

System. applicationHost/Аппликатионпулс/Аппликатионпулдефаултс system.applicationHost/applicationPools/applicationPoolDefaults

Атрибут Attribute Описание Description Значение по умолчанию Default
queueLength queueLength Указывает HTTP. sys количество запросов, поставленных в очередь для пула приложений до отклонения будущих запросов. Indicates to HTTP.sys how many requests are queued for an application pool before future requests are rejected. При превышении значения этого свойства IIS отклоняет последующие запросы с ошибкой 503. When the value for this property is exceeded, IIS rejects subsequent requests with a 503 error.

Попробуйте увеличить это для приложений, взаимодействующих с серверными хранилищами данных с высокой задержкой, если наблюдаются ошибки 503. Consider increasing this for applications that communicate with high-latency back-end data stores if 503 errors are observed.

1000 1000
enable32BitAppOnWin64 enable32BitAppOnWin64 Если значение — true, позволяет запускать 32-разрядное приложение на компьютере с 64-разрядным процессором. When True, enables a 32-bit application to run on a computer that has a 64-bit processor.

Рассмотрите возможность включения 32-разрядного режима, если использование памяти является важным фактором. Consider enabling 32-bit mode if memory consumption is a concern. Так как размеры указателей и размеры команд меньше, 32-разрядные приложения используют меньше памяти, чем 64-разрядные приложения. Because pointer sizes and instruction sizes are smaller, 32-bit applications use less memory than 64-bit applications. Недостаток выполнения 32-разрядных приложений на 64-разрядном компьютере состоит в том, что адресное пространство пользовательского режима ограничено 4 ГБ. The drawback to running 32-bit applications on a 64-bit computer is that user-mode address space is limited to 4 GB.

False False

System. applicationHost/Sites/Виртуалдиректоридефаулт system.applicationHost/sites/VirtualDirectoryDefault

Атрибут Attribute Описание Description Значение по умолчанию Default
алловсубдирконфиг allowSubDirConfig Указывает, будет ли IIS искать файлы Web. config в каталогах содержимого ниже текущего уровня (true) или не искать файлы Web. config в каталогах содержимого ниже текущего уровня (false). Specifies whether IIS looks for web.config files in content directories lower than the current level (True) or does not look for web.config files in content directories lower than the current level (False). Установления простое ограничение, которое допускает настройку только в виртуальных каталогах, ИИСÂ 10,0 может быть уверенным в том, что, если / @ no__t-2name>.htm не является виртуальным каталогом, он не должен искать файл конфигурации. By imposing a simple limitation, which allows configuration only in virtual directories, IISÂ 10.0 can know that, unless / .htm is a virtual directory, it should not look for a configuration file. Пропуск дополнительных файловых операций может значительно повысить производительность веб-сайтов, имеющих очень большой набор статических содержимого со случайным доступом. Skipping the additional file operations can significantly improve performance of websites that have a very large set of randomly accessed static content. True True

Управление модулями IIS 10,0 Managing IIS 10.0 modules

Службы IIS 10,0 были разделены на несколько расширяемых пользователем модулей для поддержки модульной структуры. IIS 10.0 has been factored into multiple, user-extensible modules to support a modular structure. Эта разложение имеет небольшую стоимость. This factorization has a small cost. Для каждого модуля интегрированный конвейер должен вызывать модуль для каждого события, относящегося к модулю. For each module the integrated pipeline must call the module for every event that is relevant to the module. Это происходит независимо от того, должен ли модуль выполнять какие – либо действия. This happens regardless of whether the module must do any work. Вы можете экономить циклы ЦП и память, удалив все модули, которые не относятся к конкретному веб-сайту. You can conserve CPU cycles and memory by removing all modules that are not relevant to a particular website.

Веб-сервер, настроенный для простых статических файлов, может включать только следующие пять модулей: Урикачемодуле, Хттпкачемодуле, StaticFileModule, Анонимаусаусентикатионмодуле и Хттплоггингмодуле. A web server that is tuned for simple static files might include only the following five modules: UriCacheModule, HttpCacheModule, StaticFileModule, AnonymousAuthenticationModule, and HttpLoggingModule.

Чтобы удалить модули из файла applicationHost. config, удалите все ссылки на модуль из раздела System. Web Server/обработчики и System. Web Server/modules в дополнение к удалению объявления модуля в System. Web Server/Глобалмодулес. To remove modules from applicationHost.config, remove all references to the module from the system.webServer/handlers and system.webServer/modules sections in addition to removing the module declaration in system.webServer/globalModules.

Параметры классической модели ASP Classic ASP settings

Основная стоимость обработки классического запроса ASP включает инициализацию обработчика скриптов, компиляцию запрошенного скрипта ASP в шаблон ASP и выполнение шаблона в обработчике сценариев. The major cost of processing a classic ASP request includes initializing a script engine, compiling the requested ASP script into an ASP template, and executing the template on the script engine. Хотя стоимость выполнения шаблона зависит от сложности запрошенного скрипта ASP, ASP-модуль IIS может кэшировать обработчики сценариев в памяти и шаблонах кэша в памяти и на диске (только в случае, если избыточные потоки шаблонов в памяти) для повышения производительности в Сценарии, связанные с ЦП. While the template execution cost depends on the complexity of the requested ASP script, IIS classic ASP module can cache script engines in memory and cache templates in both memory and disk (only if in-memory template cache overflows) to boost performance in CPU-bound scenarios.

Следующие параметры используются для настройки кэша шаблона классической модели ASP и кэша обработчика скриптов, а также не влияют на параметры ASP.NET. The following settings are used to configure the classic ASP template cache and script engine cache, and they do not affect ASP.NET settings.

System. Server/ASP/Cache system.webServer/asp/cache

Атрибут Attribute Описание Description Значение по умолчанию Default
дисктемплатекачедиректори diskTemplateCacheDirectory Имя каталога, используемого ASP для хранения скомпилированных шаблонов при переполняется кэшем в памяти. The name of the directory that ASP uses to store compiled templates when the in-memory cache overflows.

Рекомендация. Укажите каталог, который не используется интенсивно, например диск, который не является общим для операционной системы, журнала IIS или другого часто используемого содержимого. Recommendation: Set to a directory that is not heavily used, for example, a drive that is not shared with the operating system, IIS log, or other frequently accessed content.

%Системдриве%\инетпуб\темп\асп скомпилированные шаблоны %SystemDrive%\inetpub\temp\ASP Compiled Templates
максдисктемплатекачефилес maxDiskTemplateCacheFiles Указывает максимальное количество скомпилированных шаблонов ASP, которые могут быть кэшированы на диске. Specifies the maximum number of compiled ASP templates that can be cached on disk.

Рекомендация. Задайте максимальное значение 0x7FFFFFFF. Recommendation: Set to the maximum value of 0x7FFFFFFF.

2000 2000
скриптфилекачесизе scriptFileCacheSize Этот атрибут указывает максимальное количество скомпилированных шаблонов ASP, которые могут быть кэшированы в памяти. This attribute specifies the maximum number of compiled ASP templates that can be cached in memory.

Рекомендация. Задайте по меньшей мере количество часто запрашиваемых скриптов ASP, обслуживаемых пулом приложений. Recommendation: Set to at least as many as the number of frequently-requested ASP scripts served by an application pool. Если это возможно, задайте для параметра значение столько шаблонов ASP, сколько разрешено памяти. If possible, set to as many ASP templates as memory limits allow.

500 500
скриптенгинекачемакс scriptEngineCacheMax Указывает максимальное число обработчиков сценариев, которые будут хранить кэшированные в памяти. Specifies the maximum number of script engines that will keep cached in memory.

Рекомендация. Задайте по меньшей мере количество часто запрашиваемых скриптов ASP, обслуживаемых пулом приложений. Recommendation: Set to at least as many as the number of frequently-requested ASP scripts served by an application pool. Если это возможно, задайте для параметра значение, равное количеству обработчиков скриптов, если разрешено ограничение памяти. If possible, set to as many script engines as the memory limit allows.

250 250

System. Server/ASP/limits system.webServer/asp/limits

Атрибут Attribute Описание Description Значение по умолчанию Default
процессорсреадмакс processorThreadMax Указывает максимальное число рабочих потоков, которые может создать ASP на каждый процессор. Specifies the maximum number of worker threads per processor that ASP can create. Увеличьте, если текущий параметр недостаточен для обработки нагрузки, что может вызвать ошибки при обработке запросов или вызвать нехватку ресурсов ЦП. Increase if the current setting is insufficient to handle the load, which can cause errors when it is serving requests or cause under-usage of CPU resources. 25 25

System. Server/ASP/comPlus system.webServer/asp/comPlus

Атрибут Attribute Описание Description Значение по умолчанию Default
ексекутеинмта executeInMta Задайте значение true , если ошибки или сбои обнаруживаются в то время, когда IIS обслуживает содержимое ASP. Set to True if errors or failures are detected while IIS is serving ASP content. Это может произойти, например, при размещении нескольких изолированных сайтов, в которых каждый сайт работает под своим рабочим процессом. This can occur, for example, when hosting multiple isolated sites in which each site runs under its own worker process. Ошибки обычно выводятся из COM+ в Просмотр событий. Errors are typically reported from COM+ in the Event Viewer. Этот параметр включает модель многопоточного апартамента в ASP. This setting enables the multi-threaded apartment model in ASP. False False

Параметр параллелизма ASP.NET ASP.NET concurrency setting

ASP.NET 3,5 ASP.NET 3.5

По умолчанию ASP.NET ограничивает параллелизм запросов для уменьшения потребления памяти стабильного состояния на сервере. By default, ASP.NET limits request concurrency to reduce steady-state memory consumption on the server. Приложениям с высоким уровнем параллелизма может потребоваться изменить некоторые параметры, чтобы повысить общую производительность. High concurrency applications might need to adjust some settings to improve overall performance. Этот параметр можно изменить в файле aspnet. config: You can change this setting in aspnet.config file:

Следующий параметр полезен для полного использования ресурсов в системе: The following setting is useful to fully use resources on a system:

максконкуррентрекуестперкпу Значение по умолчанию: 5000 maxConcurrentRequestPerCpu Default value: 5000

Этот параметр ограничивает максимальное количество одновременно выполняемых запросов ASP.NET в системе. This setting limits the maximum number of concurrently executing ASP.NET requests on a system. Значение по умолчанию — консервативно, чтобы сократить потребление памяти ASP.NET приложениями. The default value is conservative to reduce memory consumption of ASP.NET applications. Рекомендуется увеличить это ограничение в системах, где работают приложения, выполняющие длительные синхронные операции ввода-вывода. Consider increasing this limit on systems that run applications that perform long, synchronous I/O operations. В противном случае пользователи могут столкнуться с высокой задержкой из-за превышения ограничений очереди при высокой нагрузке при использовании параметра по умолчанию. Otherwise, users can experience high latency because of queuing or request failures due to exceeding queue limits under a high load when the default setting is used.

ASP.NET 4,6 ASP.NET 4.6

Помимо параметра Максконкуррентрекуестперкпу, ASP.NET 4,7 также предоставляет параметры для повышения производительности приложений, которые сильно полагаются на асинхронные операции. Besides the maxConcurrentRequestPerCpu setting, ASP.NET 4.7 also provides settings to improve the performance in the applications which heavily rely on asynchronous operation. Параметр можно изменить в файле aspnet. config. The setting can be changed in aspnet.config file.

  • перценткпулимит Значение по умолчанию: 90. асинхронный запрос имеет некоторые проблемы с масштабируемостью, возникающие при наличии большой нагрузки (помимо аппаратных возможностей) в таком сценарии. percentCpuLimit Default value: 90 Asynchronous request has some scalability issues when a huge load (beyond the hardware capabilities) is put on such scenario. Проблема обусловлена характером выделения в асинхронных сценариях. The problem is due to the nature of allocation on asynchronous scenarios. В этих условиях выделение будет выполняться при запуске асинхронной операции и будет использоваться после ее завершения. In these conditions, allocation will happen when the asynchronous operation starts, and it will be consumed when it completes. По истечении этого времени итâс объекты были перемещены в поколение 1 или 2 с помощью GC. By that time, it’s very possible the objects have been moved to generation 1 or 2 by GC. В этом случае увеличение нагрузки будет показывать увеличение числа запросов в секунду до точки. When this happens, increasing the load will show increase on request per second (rps) until a point. Когда мы передаем эту точку, время, затраченное на GC, начнет стать проблемой, а RP начнется на DIP, при отрицательном результате масштабирования. Once we pass that point, the time spent in GC will start to become a problem and the rps will start to dip, having a negative scaling effect. Чтобы устранить проблему, когда загрузка ЦП превысит значение параметра Перценткпулимит, запросы будут отправляться в собственную очередь ASP.NET. To fix the problem, when the cpu usage exceeds percentCpuLimit setting, requests will be sent to the ASP.NET native queue.
  • перценткпулимитминактиверекуестперкпу Значение по умолчанию: 100. регулирование ЦП (параметр Перценткпулимит) не основано на количестве запросов, но на том, насколько дорогие они. percentCpuLimitMinActiveRequestPerCpu Default value: 100 CPU throttling(percentCpuLimit setting) is not based on number of requests but on how expensive they are. В результате может быть всего несколько ресурсоемких запросов, вызывающих резервное копирование в собственной очереди без возможности его очистки от входящих запросов. As a result, there could be just a few CPU-intensive requests causing a backup in the native queue with no way to empty it aside from incoming requests. Чтобы решить эту проблме, Перценткпулимитминактиверекуестперкпу можно использовать, чтобы гарантировать, что минимальное количество запросов будет обслуживаться до начала регулирования в. To solve this problme, percentCpuLimitMinActiveRequestPerCpu can be used to ensure a minimum number of requests are being served before throttling kicks in.

Параметры рабочего процесса и повторного запуска Worker process and recycling options

Можно настроить параметры для перезапуска рабочих процессов IIS и предоставить практичные решения для акутом ситуаций или событий без необходимости вмешательства или сброса службы или компьютера. You can configure options for recycling IIS worker processes and provide practical solutions to acute situations or events without requiring intervention or resetting a service or computer. К таким ситуациям и событиям относятся утечки памяти, увеличение нагрузки на память, неотвечающие и неактивные рабочие процессы. Such situations and events include memory leaks, increasing memory load, or unresponsive or idle worker processes. В обычных условиях могут не требоваться параметры повторного запуска, а перезапуск можно отключить, а система может быть настроена на повторный запуск очень редко. Under ordinary conditions, recycling options might not be needed and recycling can be turned off or the system can be configured to recycle very infrequently.

Вы можете включить перезапуск процесса для конкретного приложения, добавив атрибуты в элемент утилизация или периодикрестарт . You can enable process recycling for a particular application by adding attributes to the recycling/periodicRestart element. Событие очистки может инициироваться несколькими событиями, включая использование памяти, фиксированное количество запросов и фиксированный период времени. The recycle event can be triggered by several events including memory usage, a fixed number of requests, and a fixed time period. При перезапуске рабочего процесса запросы, поставленные в очередь и выполняющиеся, преобразуются, а новый процесс одновременно запускается для обслуживания новых запросов. When a worker process is recycled, the queued and executing requests are drained, and a new process is simultaneously started to service new requests. Элемент » Утилизация/периодикрестарт » предназначен для каждого приложения. Это означает, что каждый атрибут в следующей таблице секционирован отдельно для каждого приложения. The recycling/periodicRestart element is per-application, which means that each attribute in the following table is partitioned on a per-application basis.

System. applicationHost/Аппликатионпулс/Аппликатионпулдефаултс/перезапуск/Периодикрестарт system.applicationHost/applicationPools/ApplicationPoolDefaults/recycling/periodicRestart

Атрибут Attribute Описание Description Значение по умолчанию Default
memory. memory Включить перезапуск процесса, если потребление виртуальной памяти превышает заданное ограничение в килобайтах. Enable process recycling if virtual memory consumption exceeds the specified limit in kilobytes. Это полезное значение для 32-разрядных компьютеров с небольшим адресным пространством в 2 ГБ. This is a useful setting for 32-bit computers that have a small, 2 GB address space. Это позволит избежать неудачных запросов из-за ошибок нехватки памяти. It can help avoid failed requests due to out-of-memory errors. 0 0
privateMemory privateMemory Включить перезапуск процесса, если объем выделенной памяти превышает указанный предел в килобайтах. Enable process recycling if private memory allocations exceed a specified limit in kilobytes. 0 0
requests requests Включение повторного запуска процесса после определенного числа запросов. Enable process recycling after a certain number of requests. 0 0
time time Включить повторное использование процессов по истечении указанного периода времени. Enable process recycling after a specified time period. 29:00:00 29:00:00

Динамическая настройка рабочего процесса рабочей роли Dynamic worker-process page-out tuning

Начиная с Windows Server 2012 R2, IIS предлагает возможность настройки приостановки рабочего процесса после бездействия в течение определенного времени (в дополнение к параметру завершения, который существовал с момента выпуска IIS 7). Starting in Windows Server 2012 R2, IIS offers the option of configuring worker process to suspend after they have been idle for a while (in addition to the option of terminate, which existed since IIS 7).

Основным назначением функций неактивного рабочего процесса и завершения бездействия рабочих процессов является экономия использования памяти на сервере, так как сайт может потреблять много памяти, даже если он просто находится в режиме ожидания. The main purpose of both the idle worker process page-out and idle worker process termination features is to conserve memory utilization on the server, since a site can consume a lot of memory even if it’s just sitting there, listening. В зависимости от технологии, используемой на сайте (статическое содержимое VS ASP.NET и другие платформы), используемая память может находиться в любом месте от 10 МБ до сотен МБ, а это означает, что если на сервере настроено множество сайтов, то будут вычислены наиболее эффективные параметры. для сайтов может значительно повысить производительность как активных, так и приостановленных сайтов. Depending on the technology used on the site (static content vs ASP.NET vs other frameworks), the memory used can be anywhere from about 10 MB to hundreds of MBs, and this means that if your server is configured with many sites, figuring out the most effective settings for your sites can dramatically improve performance of both active and suspended sites.

Прежде чем мы перейдем к конкретным, мы должны помнить, что если ограничения памяти отсутствуют, то, вероятно, лучше просто настроить узлы так, чтобы они никогда не приходили к приостановке или прекращению работы. Before we go into specifics, we must keep in mind that if there are no memory constraints, then it’s probably best to simply set the sites to never suspend or terminate. В конце концов, сереâс небольшое значение в завершение рабочего процесса, если это единственный компьютер. After all, there’s little value in terminating a worker process if it’s the only one on the machine.

Обратите внимание, в случае, если сайт выполняет нестабильный код, например код с утечкой памяти или нестабильную работу, Настройка сайта для завершения в режиме простоя может быть быстрым и недействительным вариантом исправления ошибки кода. Note In case the site runs unstable code, such as code with a memory leak, or otherwise unstable, setting the site to terminate on idle can be a quick-and-dirty alternative to fixing the code bug. Мы не рекомендуем использовать эту функцию в качестве механизма очистки, в то время как более постоянное решение находится в Works. ] This isn’t something we would encourage, but in a crunch, it may be better to use this feature as a clean-up mechanism while a more permanent solution is in the works.]

Другой фактор, который следует учитывать, заключается в том, что если сайт использует большой объем памяти, то сам процесс приостановки выполняет сбор данных, так как компьютер должен записывать данные, используемые рабочим процессом, на диск. Another factor to consider is that if the site does use a lot of memory, then the suspension process itself takes a toll, because the computer has to write the data used by the worker process to disk. Если рабочий процесс использует большой объем памяти, то ее приостановка может оказаться более дорогостоящей, чем стоимость ожидания запуска резервного копирования. If the worker process is using a large chunk of memory, then suspending it might be more expensive than the cost of having to wait for it to start back up.

Чтобы максимально эффективно использовать функцию приостановки рабочего процесса, необходимо проверить сайты в каждом пуле приложений и решить, какие из них должны быть приостановлены, что должно быть завершено и что должно быть активно в течение неограниченного времени. To make the best of the worker process suspension feature, you need to review your sites in each application pool, and decide which should be suspended, which should be terminated, and which should be active indefinitely. Для каждого действия и каждого сайта необходимо определить идеальный период времени ожидания. For each action and each site, you need to figure out the ideal time-out period.

В идеале сайты, которые вы настраиваете для приостановки или прекращения, — это те, которые имеют посетителей каждый день, но не настолько, чтобы гарантировать его постоянное активное время. Ideally, the sites that you will configure for suspension or termination are those that have visitors every day, but not enough to warrant keeping it active all the time. Обычно это сайты с 20 уникальными посетителями в день или менее. These are usually sites with around 20 unique visitors a day or less. Вы можете проанализировать шаблоны трафика с помощью файлов журналов сайта и вычислить средний ежедневный объем трафика. You can analyze the traffic patterns using the site’s log files and calculate the average daily traffic.

Помните, что когда конкретный пользователь подключается к сайту, он обычно остается на нем по крайней мере в течение определенного времени, что делает дополнительные запросы, а значит, просто подсчитывает ежедневные запросы, может не точно отражать реальные шаблоны трафика. Keep in mind that once a specific user connects to the site, they will typically stay on it for at least a while, making additional requests, and so just counting daily requests may not accurately reflect the real traffic patterns. Для более точного чтения можно также использовать средство, например Microsoft Excel, для вычисления среднего времени между запросами. To get a more accurate reading, you can also use a tool, such as Microsoft Excel, to calculate the average time between requests. Пример: For example:

URL-адрес запроса Request URL Время запроса Request time Изменений Delta
1 1 /SourceSilverLight/Geosource.web/grosource.html /SourceSilverLight/Geosource.web/grosource.html 10:01 10:01
2 2 /саурцесилверлигхт/жеосаурце.веб/сливерлигхт.жс /SourceSilverLight/Geosource.web/sliverlight.js 10:10 10:10 0:09 0:09
3 3 /SourceSilverLight/Geosource.web/clientbin/geo/1.aspx /SourceSilverLight/Geosource.web/clientbin/geo/1.aspx 10:11 10:11 0:01 0:01
4 4 /лклиентакцессполици.ксмл /lClientAccessPolicy.xml 10:12 10:12 0:01 0:01
5 5 /Саурцесилверлигхт/Жеосаурцевебсервице/Service. asmx / SourceSilverLight/GeosourcewebService/Service.asmx 10:23 10:23 0:11 0:11
6 6 /Саурцесилверлигхт/геоисточник. Web/Жеосеарчсервер. ¦. / SourceSilverLight/Geosource.web/GeoSearchServer. ¦. 11:50 11:50 1:27 1:27
7 7 /rest/Services/CachedServices/Silverlight_load_la. ¦ /rest/Services/CachedServices/Silverlight_load_la. ¦ 12:50 12:50 1:00 1:00
8 8 /rest/Services/CachedServices/Silverlight_basemap. ¦. /rest/Services/CachedServices/Silverlight_basemap. ¦. 12:51 12:51 0:01 0:01
9 9 /Рест/сервицес/динамиксервице/Silverlight_basemap. ¦. /rest/Services/DynamicService/ Silverlight_basemap. ¦. 12:59 12:59 0:08 0:08
10 10 /rest/Services/CachedServices/Ortho_2004_cache.as. /rest/Services/CachedServices/Ortho_2004_cache.as. 13:40 13:40 0:41 0:41
11 11 /rest/Services/CachedServices/Ortho_2005_cache.js /rest/Services/CachedServices/Ortho_2005_cache.js 13:40 13:40 0:00 0:00
12 12 /рест/сервицес/качедсервицес/орсобасингине.аспкс /rest/Services/CachedServices/OrthoBaseEngine.aspx 13:41 13:41 0:01 0:01

Тем не менее, трудно определить, какой параметр применить к смыслу. The hard part, though, is figuring out what setting to apply to make sense. В нашем случае сайт получает пакет запросов от пользователей, а в таблице выше показано, что общее количество уникальных сеансов в течение 4 часов истекло. In our case, the site gets a bunch of requests from users, and the table above shows that a total of 4 unique sessions occurred in a period of 4 hours. При использовании параметров по умолчанию для приостановки рабочего процесса пула приложений сайт будет прерван по истечении времени ожидания по умолчанию, равного 20 минутам, что означает, что каждый из этих пользователей может столкнуться с циклом ускорения сайта. With the default settings for worker process suspension of the application pool, the site would be terminated after the default timeout of 20 minutes, which means each of these users would experience the site spin-up cycle. Это делает его идеальным кандидатом к приостановке рабочих процессов, так как в большинстве случаев сайт переходит в режим простоя, и поэтому его приостановка приведут к экономии ресурсов и позволяет пользователям сразу же обращаться к сайту. This makes it an ideal candidate for worker process suspension, because for most of the time, the site is idle, and so suspending it would conserve resources, and allow the users to reach the site almost instantly.

Последнее и очень важное замечание заключается в том, что для этой функции важна производительность диска. A final, and very important note about this is that disk performance is crucial for this feature. Так как процесс приостановки и пробуждения предполагает запись и чтение большого объема данных на жестком диске, мы настоятельно рекомендуем использовать для этого быстрый диск. Because the suspension and wake-up process involve writing and reading large amount of data to the hard drive, we strongly recommend using a fast disk for this. Твердотельные накопители (SSD) идеально подходят для этого, поэтому следует убедиться в том, что файл подкачки Windows хранится на нем (если сама операционная система не установлена на SSD-накопителе, настройте операционную систему для перемещения файла подкачки на него). Solid State Drives (SSDs) are ideal and highly recommended for this, and you should make sure that the Windows page file is stored on it (if the operating system itself is not installed on the SSD, configure the operating system to move the page file to it).

Независимо от того, используется SSD-диск или нет, мы рекомендуем исправить размер файла подкачки для размещения в нем данных для выхода из страницы без изменения размера файлов. Whether you use an SSD or not, we also recommend fixing the size of the page file to accommodate writing the page-out data to it without file-resizing. Изменение размера файла страницы может произойти, если операционная система должна хранить данные в файле подкачки, так как по умолчанию Windows настроена на автоматическую корректировку размера в зависимости от потребностей. Page-file resizing might happen when the operating system needs to store data in the page file, because by default, Windows is configured to automatically adjust its size based on need. Установив фиксированный размер, можно предотвратить изменение размера и повысить производительность. By setting the size to a fixed one, you can prevent resizing and improve performance a lot.

Чтобы настроить предварительно фиксированный размер файла подкачки, необходимо вычислить его идеальный размер, который зависит от количества сайтов, которые будут приостановлены, и объема используемой памяти. To configure a pre-fixed page file size, you need to calculate its ideal size, which depends on how many sites you will be suspending, and how much memory they consume. Если среднее значение составляет 200 МБ для активного рабочего процесса и у вас есть 500 узлов на серверах, которые будут приостановлены, то файл подкачки должен быть не менее (200 * 500) МБ над базовым размером файла подкачки (т. е. базовый + 100 ГБ в нашем примере). If the average is 200 MB for an active worker process and you have 500 sites on the servers that will be suspending, then the page file should be at least (200 * 500) MB over the base size of the page file (so base + 100 GB in our example).

Примечание . Когда сайты приостанавливаются, они потребляют около 6 МБ каждого, поэтому в нашем случае использование памяти, если все узлы приостановлены, займет около 3 ГБ. Note When sites are suspended, they will consume approximately 6 MB each, so in our case, memory usage if all sites are suspended would be around 3 GB. Однако в реальности йоуâре, вероятно, никогда не будет приостанавливаться одновременно. In reality, though, you’re probably never going to have them all suspended at the same time.

Параметры настройки безопасности транспортного уровня Transport Layer Security tuning parameters

Использование протокола TLS накладывает дополнительные затраты на ЦП. The use of Transport Layer Security (TLS) imposes additional CPU cost. Самый ресурсоемкий компонент TLS — это стоимость установления сеанса, так как она включает полное подтверждение. The most expensive component of TLS is the cost of establishing a session establishment because it involves a full handshake. При повторном подключении, шифровании и расшифровке также добавляются затраты. Reconnection, encryption, and decryption also add to the cost. Для повышения производительности TLS выполните следующие действия. For better TLS performance, do the following:

Включите поддержку открытых соединений HTTP для сеансов TLS. Enable HTTP keep-alives for TLS sessions. Это устраняет затраты на установку сеанса. This eliminates the session establishment costs.

Повторно используйте сеансы, если это уместно, особенно с трафиком без активности. Reuse sessions when appropriate, especially with non-keep-alive traffic.

Выборочно примените шифрование только к страницам или частям сайта, которые им нужны, а не ко всему сайту. Selectively apply encryption only to pages or parts of the site that need it, rather to the entire site.

Примечание Note

Большие ключи обеспечивают дополнительную безопасность, но они также используют больше времени ЦП. Larger keys provide more security, but they also use more CPU time.

Все компоненты могут не требовать шифрования. All components might not need to be encrypted. Однако смешивание обычного протокола HTTP и HTTPS может привести к появлению всплывающего предупреждения о том, что не все содержимое страницы является безопасным. However, mixing plain HTTP and HTTPS might result in a pop-up warning that not all content on the page is secure.

Серверный интерфейс прикладного программирования (ISAPI) Internet Server Application Programming Interface (ISAPI)

Для приложений ISAPI специальные параметры настройки не требуются. No special tuning parameters are needed for ISAPI applications. При написании частного расширения ISAPI убедитесь, что оно написано для повышения производительности и использования ресурсов. If you write a private ISAPI extension, make sure that it is written for performance and resource use.

Рекомендации по настройке управляемого кода Managed code tuning guidelines

Интегрированная модель конвейера в IIS 10,0 обеспечивает высокую степень гибкости и расширяемости. The integrated pipeline model in IIS 10.0 enables a high degree of flexibility and extensibility. Пользовательские модули, реализованные в машинном или управляемом коде, могут быть вставлены в конвейер или заменены существующими модулями. Custom modules that are implemented in native or managed code can be inserted into the pipeline, or they can replace existing modules. Хотя эта модель расширяемости обеспечивает удобство и простоту, перед вставкой новых управляемых модулей, которые присоединяются к глобальным событиям, следует соблюдать осторожность. Although this extensibility model offers convenience and simplicity, you should be careful before you insert new managed modules that hook into global events. Добавление глобального управляемого модуля означает, что все запросы, включая запросы статических файлов, должны касаться управляемого кода. Adding a global managed module means that all requests, including static file requests, must touch managed code. Пользовательские модули уязвимы для таких событий, как сборка мусора. Custom modules are susceptible to events such as garbage collection. Кроме того, пользовательские модули добавляют значительные затраты на ЦП из-за упаковки данных между машинным и управляемым кодом. In addition, custom modules add significant CPU cost due to marshaling data between native and managed code. По возможности следует установить предварительное условие в Манажедхандлер для управляемого модуля. If possible, you should set preCondition to managedHandler for managed module.

Чтобы повысить производительность холодного запуска, обязательно выполните предварительную компиляцию веб-сайта ASP.NET или используйте функцию инициализации приложения IIS, чтобы подготовить приложение. To get better cold startup performance, make sure that you precompile the ASP.NET web site or leverage IIS Application Initialization feature to warm up the application.

Если состояние сеанса не требуется, убедитесь, что оно отключено для каждой страницы. If session state is not needed, make sure that you turn it off for each page.

При наличии множества операций, связанных с вводом-выводом, старайтесь использовать асинхронную версию соответствующих API, что обеспечит более высокую масштабируемость. If there are many I/O bound operations, try to use asynchronous version of relevant APIs which will give you much better scalability.

Кроме того, использование кэша вывода также повышает производительность веб-узла. Also using Output Cache properly will also boost the performance of your web site.

При запуске нескольких узлов, содержащих сценарии ASP.NET в изолированном режиме (один пул приложений на сайт), отслеживайте использование памяти. When you run multiple hosts that contain ASP.NET scripts in isolated mode (one application pool per site), monitor the memory usage. Убедитесь, что на сервере достаточно ОЗУ для ожидаемого количества одновременно выполняющихся пулов приложений. Make sure that the server has enough RAM for the expected number of concurrently running application pools. Рассмотрите возможность использования нескольких доменов приложений вместо нескольких изолированных процессов. Consider using multiple application domains instead of multiple isolated processes.

Другие проблемы, влияющие на производительность IIS Other issues that affect IIS performance

Следующие проблемы могут повлиять на производительность IIS: The following issues can affect IIS performance:

Установка фильтров, не поддерживающих кэширование Installation of filters that are not cache-aware

При установке фильтра, не поддерживающего кэширование HTTP, службы IIS полностью отключают кэширование, что приводит к снижению производительности. The installation of a filter that is not HTTP-cache-aware causes IIS to completely disable caching, which results in poor performance. Фильтры ISAPI, которые были написаны до ИИСÂ 6,0, могут вызвать это поведение. ISAPI filters that were written before IISÂ 6.0 can cause this behavior.

Запросы общего шлюза (CGI) Common Gateway Interface (CGI) requests

Iis администрирование с нижнего уровня

Установка и администрирование Microsoft Internet Information Services, IIS 6.0. [Занятие 15]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Friday 29 December 2006 — 00:00:00

[newpage=Новые возможности IIS 6.0]

Установка и администрирование Microsoft Internet Information Services, IIS 6.0.

В составе Microsoft Windows Server 2003 имеются службы, обеспечивающие поддержку со стороны сервера наиболее употребительных протоколов Интернета прикладного уровня, благодаря чему сервер Windows Server 2003 может выполнять следующие роли:

Все эти функции реализуются компонентом Internet Information Services (IIS), являющимся преемником компонента Internet Information Server, входившего в состав NT Option Pack для Windows NT 4.0.

Новые возможности IIS 6.0.

В IIS 6.0 включены новые возможности, разработанные чтобы помочь организациям, техническим специалистам и веб-администраторам достигнуть производительности, надежности, масштабируемости и безопасности для тысяч потенциальных веб-узлов — на единственном сервере IIS или на нескольких серверах.

В следующей таблице перечислены преимущества и возможности этой версии IIS:

Надежность

Службы IIS 6.0 используют новую архитектуру обработки запросов и среду изоляции приложений, которая позволяет отдельным веб-приложениям функционировать независимо друг от друга в виде независимых рабочих процессов. Эта среда предотвращает остановку одного приложения или веб-узла другим и сокращает время перезапуска служб при устранении неполадок приложений. Новая среда также включает профилактическое наблюдение за работоспособностью группы приложений.

Масштабируемость

В IIS 6.0 введен новый драйвер режима ядра для обработки и кэширования HTTP, который специально настроен на увеличение пропускной способности веб-сервера и масштабируемости многопроцессорных компьютеров, что значительно увеличивает:

количество узлов, поддерживаемых одним сервером IIS 6.0;
количество одновременно выполняемых рабочих процессов.

Настройкой предельного времени запуска и завершения работы рабочих процессов достигается дальнейшая масштабируемость IIS, так как служба распределяет ресурсы между активными узлами, не тратя их на обслуживание неактивных запросов.

Безопасность

IIS 6.0 включает разнообразные средства и технологии безопасности для обеспечения целостности содержимого веб-узла или узла FTP, а также данных, передаваемых через узлы. Чтобы уменьшить возможность атаки системы, IIS не устанавливается по умолчанию на серверы под управлением WindowsServer 2003.

Управляемость

Для удовлетворения потребностей различных групп пользователей IIS предоставляет широкий спектр средств управления и администрирования. Администраторы могут настроить сервер IIS 6.0, используя диспетчер IIS, сценарии администрирования или непосредственно редактируя текстовые файлы конфигурации IIS. Также возможно удаленное администрирование серверов и узлов IIS. В данной версии IIS используются текстовые файлы конфигурации в формате .xml, которые могут редактироваться вручную или программно. Метабаза является хранилищем для большинства значений конфигурации IIS. Ее модернизация привела к значительному ускорению процессов запуска и завершения работы сервера, а также к увеличению общей производительности и удобства использования самой метабазы.

Улучшенная разработка

Семейство Windows Server 2003 предоставляет улучшенные возможности разработки благодаря интеграции ASP.NET и IIS. ASP.NET понимает большую часть кода ASP, обеспечивая расширенную функциональность для создания веб-приложений корпоративного уровня, которые могут работать как часть .NET Framework. Работа с ASP.NET позволяет использовать все преимущества общей языковой среды выполнения, в том числе безопасность типов, наследование, языковое взаимодействие и согласование версий. IIS 6.0 поддерживает последние веб-стандарты, включая XML, протокол SOAP и Интернет-протокол IPv6.0.

Совместимость приложений

IIS 6.0 обеспечивает совместимость с большинством существующих приложений, благодаря взаимодействию с огромным числом пользователей и независимых поставщиков программного обеспечения. Чтобы обеспечить максимальную совместимость, можно настроить IIS 6.0 для работы в режиме изоляции IIS 5.0.

Планирование установки IIS 6.0.

Перед установкой службы Internet Information Services выполните следующие рекомендации:

  • Если протокол TCP/IP и служебные программы связи не установлены на компьютере, необходимо сделать это перед установкой IIS.
  • Если требуется обеспечить возможность публикации в Интернете, поставщик услуг Интернета (ISP) должен сообщить IP-адрес и маску подсети для сервера, а также IP-адрес основного шлюза. Основной шлюз — это компьютер поставщика услуг Интернета, через который компьютер пользователя маршрутизирует весь поток данных Интернета.
  • Желательно также установить следующие дополнительные компоненты:

— Служба DNS (Domain Name System). Рекомендуется установить службу DNS на компьютер в интрасети. В небольшой интрасети на всех сетевых компьютерах можно использовать файл Hosts или Lmhosts. Это необязательное условие, но оно дает пользователям возможность применять понятные имена вместо IP-адресов. В Интернете веб-узлы обычно используют имена DNS. Если доменное имя узла зарегистрировано, для доступа к узлу достаточно ввести это имя в обозревателе.
— Файловая система NTFS. В целях безопасности рекомендуется форматировать все диски IIS для файловой системы NTFS.
— Microsoft FrontPage. Microsoft FrontPage позволяет создавать HTML-страницы для веб-узлов и редактировать их. Приложение FrontPage является редактором HTML с удобным графическим интерфейсом для выполнения таких задач, как вставка таблиц, рисунков и сценариев.

Безопасность служб IIS 6.0.

Службы IIS по умолчанию не устанавливаются на компьютеры под управлением операционных систем Windows Server 2003. Это гарантирует, что администраторы не установят их непреднамеренно. В операционные системы из семейства Windows Server 2003 включена новая политика, Запрет установки IIS, которая позволяет администраторам домена указывать, каким серверам, работающим под управлением Windows Server 2003, запрещено устанавливать IIS.

Чтобы защитить сервер от атак злонамеренных пользователей, во время обновления операционной системы на компьютере под управлением Windows 2000 служба веб-публикации выключена. Можно включить ее, используя оснастку Службы.

При установке IIS службы устанавливаются в режиме наивысшей безопасности и в заблокированном режиме. По умолчанию они обслуживают только статическое содержимое. Это означает, что такие средства, как страницы ASP, ASP.NET, служба индексирования, включая сторону сервера (SSI), протокол WebDAV и расширения сервера FrontPage не работают, если не включить их. Если не включить эти средства после установки служб IIS, они возвращают ошибку 404. Чтобы работать с динамическим содержимым и разблокировать эти средства, их следует включить из диспетчера IIS. Администраторы могут включить или выключить функциональность IIS, в зависимости от потребностей организации. Также IIS возвращает ошибку 404, если для расширения приложения не существует сопоставления.

Службы IIS 6.0 предлагают множество средств для защиты сервера приложений, в том числе:

  • механизмы проверки подлинности, включающие новую расширенную краткую проверку подлинности;
  • авторизацию URL, которая предоставляет основанную на ролях авторизацию для конкретных URL;
  • протоколы Secure Sockets Layer 3.0, которые обеспечивают безопасный способ обмена информацией;
  • выбираемый поставщик службы криптографии, который позволяет выбрать поставщика службы криптографии (CSP), удовлетворяющего потребностям пользователей.

Internet Information Services обеспечивает поддержку следующих протоколов:

Протокол HTTP (HyperText Transfer Protocol) лежит в основе WWW, которому мы обязаны стремительным ростом популярности и развитию Интернета. Этот протокол используется для доступа клиентов к статическому и динамическому содержимому web-узлов. HTTP клиент-серверный протокол, описывающий взаимодействие между HTTP-серверами (также называемыми web-серверами) и HTTP-клиентами (также называемыми web-браузерами). Протокол HTTP использует для своей работы протокол транспортного уровня TCP. Для работы web-серверов зарезервирован 80 TCP-порт.

Обслуживание протокола HTTP осуществляет Служба веб-публикаций. Внутреннее имя службы W3SVC.

Протокол HTTPS (HyperText Transfer Protocol Security) является расширением протокола HTTP. В отличие от HTTP, передающего данные в незашифрованном виде, HTTPS осуществляет шифрование данных на основе несимметричных алгоритмов шифрования. Протокол позволяет осуществлять не только шифрование данных, но и проверку подлинности обоих сторон соединения. Именно по этому этот протокол обычно используется в работе сайтов, требующих повышенного уровня защищенности при взаимодействии с пользователем. К таким сайтам можно отнести различные сайты, манипулирующие финансовой информацией, например, сайты электронных магазинов.

Протокол HTTPS также использует протокол TCP, однако для его работы зарезервирован другой TCP-порт — 443. Обслуживание протокола также осуществляет Служба веб-публикаций.


Протокол FTP (File Transfer Protocol) предназначен для передачи отдельных файлов и появился гораздо раньше HTTP. FTP — клиент-серверный протокол, обеспечивающий взаимодействие между FTP-серверами и FTP-клиентами. В настоящее время большинство web-браузеров также поддерживают работу по протоколу FTP. Протокол FTP использует для своей работы протокол транспортного уровня TCP и для его работы зарезервированы порты 20 и 21.

Обслуживание протокола FTP осуществляет Служба FTP-публикаций. Внутреннее имя службы MSFTPSVC.

Протокол SMTP (Simple Mail Transfer Protocol) является основой системы электронной почты Интернета. Этот протокол используется для передачи сообщений электронной почты от клиентов к серверам, а также между серверами. Протокол SMTP не предназначен для загрузки электронной почты — его задача обеспечить доставку электронного сообщения до сервера получателя. Протокол SMTP использует для своей работы протокол транспортного уровня TCP и для его работы зарезервирован порт 25.

Обслуживание протокола SMTP осуществляет служба Протокол Simple Mail Transport Protocol. Внутреннее имя службы SMTPSVC.

Протокол SMTP первоначально был разработан для передачи сообщений электронной почты от одного SMTP-сервера к другому, и в нем не предусмотрены средства для хранения сообщений для получателей. Поэтому SMTP-клиенты, чтобы получать электронную почту, должны быть постоянно подключены к SMTP-серверу. В противном случае сервер возвращает сообщение обратно, информируя отправителя о недостижимости получателя. Для решения этой проблемы, были разработаны другие протоколы электронной почты, допускающие хранение сообщений электронной почты до того момента, пока пользователь не подключится и не загрузит сообщения на свой компьютер.
Из таких протоколов наиболее распространены протоколы POP3 (Post Office Protocol, версия 3) и IMAP4 (Internet Message Access Protocol, версия 4). Однако службы IIS 6.0 в Windows Server 2003 не поддерживают эти протоколы, поэтому служба SMTP-сервера предназначена в первую очередь для использования сценариями и активными компонентами web-сервера, и не предназначена для работы в качестве корпоративного сервера электронной почты. Если вы хотите иметь полноценный почтовый сервер, поддерживающий протоколы SMTP/POP3/IMAP4 — установите Microsoft Exchange Server.

Протокол NNTP (Network News Transfer Protocol) является основой для используемой в Интернете системы телеконференций, или, как ее еще называют, групп новостей. Этот протокол используется как для взаимодействия между серверами телеконференций, так и между серверами и клиентами. Протокол NNTP использует для своей работы протокол транспортного уровня TCP и для него зарезервирован порт 119.

Обслуживание протокола NNTP осуществляется службой Протокол Network News Transport Protocol. Внутреннее имя службы NNTPSVC.

Помимо перечисленных выше протоколов прикладного уровня, службы IIS 6.0 поддерживают ряд дополнительных протоколов, использующихся для решения специфических задач или совместно с перечисленными:

  • SSL (Secure Sockets Layer). Этот протокол применяется для шифрования данных и проверки подлинности сторон, как вспомогательный протокол для HTTPS, SMTP и NNTP. Для его работы требуется как минимум один серверный сертификат.
  • TLS (Transport Layer Security). Используется только для шифрования данных как вспомогательный протокол для HTTPS, SMTP и NNTP.
  • MIME (Multipurpose Internet Mail Extensions). Используется протоколами HTTP, SMTP и NNTP для передачи файлов разных форматов.

[newpage=Установка Internet Information Services, IIS 6.0.]

Установка Internet Information Services, IIS 6.0.

Для обеспечения безопасной работы сервера, Windows Server 2003 поставляется в конфигурации «безопасности по умолчанию». При инсталляции сервера устанавливаются только самые необходимые службы, обеспечивающие нормальную работу сервера. Такая настройка значительно повышает надежность и безопасность Windows и сводит к минимуму риск получения злоумышленником доступа к ресурсам сервера.

Как и многие другие службы, Internet Information Services (IIS), устанавливается, при необходимости, после инсталляции сервера с помощью мастера настройки сервера. Следует заметить, что по умолчанию IIS 6.0 выполняется с минимальными привилегиями, что снижает риск его использования в качестве инструмента для вероятных несанкционированных действий.

Чтобы запустить Мастер настройки сервера выберите в меню Пуск -> Администрирование -> Управление данным сервером.

В разделе Управление ролями данного сервера нажмите кнопку Добавить или удалить роль.
Подтвердите установку и подключение всех сетевых компонентов нажав кнопку Далее.

В списке Роль сервера выберите Сервер приложений (IIS, ASP.NET) и нажмите кнопку Далее.

На следующем шаге мастера вы можете включить в установку дополнительные серверные расширения FrontPage и ASP.NET.

Установите флажок для того расширения, которое следует включить в установку:

  • Серверные расширения FrontPage позволяют нескольким пользователям с клиентского компьютера удаленно администрировать и публиковать данные на веб-узле.
  • Включить ASP.NET. Если вы собираетесь разместить на веб-узле приложения, разработанные с помощью ASP.NET, выберите это свойство (ASP.NET можно включить позднее с помощью диспетчера IIS).

После выбора дополнительных расширений нажмите кнопку Далее.

На странице Сводка выбранных параметров посмотрите и подтвердите выбранные параметры.

Для применения параметров нажмите кнопку Далее. После нажатия кнопки Далее появится, а затем автоматически закроется страница Настройка компонентов мастера компонентов Windows. На этой странице невозможно нажать кнопки Назад или Далее.

После настройки компонентов мастер отобразит страницу Данный сервер теперь является сервером приложений.

Что бы завершить работу мастера нажмите кнопку Готово.

[newpage=Администрирование служб IIS. Инструменты управления.]

Администрирование служб IIS. Инструменты управления.

Операционная система Windows Server 2003 содержит множество инструментальных средств для администрирования рассмотренных выше четырех основных служб, входящих в состав IIS.

Консоль Internet Information Services Manager

Internet Information Services Manager— это отдельная консоль, являющаяся основным средством для администрирования IIS в сетях на основе Windows Server 2003.

Обратите внимание, что сама оснастка называется Internet Information Services Manager, а ярлык, созданный в папке Администрирование для принятой по умолчанию консоли, в которой устанавливается эта папка, называется Диспетчер служб IIS.

По умолчанию, при установке службы IIS, из соображений безопасности она поддерживает лишь службу веб-публикаций (Веб-узлы), поэтому вы можете использовать консоль Internet Information Services только для создания web-узлов. Впоследствии вы сможете установить протокол Simple Mail Transport Protocol, службу FTP-публикаций и протокол Network News Transport Protocol , открыв утилиту Установка и удаление программ из панели управления и выбрав в ней Установка компонентов Windows. Затем там нужно выбрать компонент Application Server -> Internet Information Services и щелкнуть кнопку Состав, чтобы найти нужную службу.

Все необходимые для функционирования служб Internet Information Services файлы по умолчанию располагаются в папке \Inetpub. Эта папка содержит несколько важных подкаталогов, описанных в таблице ниже.

Примеры скриптов IIS для администрирования (для Windows Scripting Host)

Корневой каталог для узла FTP-узел по умолчанию

Дистанционное администрирование для службы SMTP (с использованием web-браузера)

Различные папки, используемые службой SMTP

Дистанционное администрирование для службы NNTP (с использованием web-браузера)

Различные папки, используемые службой NNTP

Принятое по умолчанию местоположение для прикладных скриптов, используемых сайтом Веб-узел по умолчанию . В папке имеются примеры и инструментальные средства

Корневой каталог для узла Веб-узел по умолчанию

Скрипты для администрирования

Чтобы исполнять в Windows Server 2003 скрипты для администрирования, вы можете пользоваться Windows Management Instrumentation (WMI) или Active Directory Service Interfaces (ADSI). При помощи этих скриптов можно решать административные задачи общего характера (например, создавать новые web-узлы и т.д.). Вы можете писать эти скрипты на Visual Basic Scripting Edition (VBScript) или на JavaScript в Active Server Pages (ASP). Примеры скриптов для администрирования вы найдете в папке \Inetpub\AdminScripts.

Рассмотрим основные понятия и задачи, относящиеся к службе веб-публикаций, на примере изучения Веб-узла по умолчанию (Default Web Site), созданного на компьютере во время установки Windows Server 2003.

Веб-узел по умолчанию.

Веб-узел по умолчанию (а также любой web-узел или сайт под управлением IIS ) с точки зрения администратора — набор образцов файлов конфигурации, размещаемых по умолчанию в локальной файловой системе сервера в C:\Inetpub\wwwroot (корневой каталог для WWW-публикаций). Однако не обязательно хранить содержимое web-узла в этой папке — содержимое можно размещать в любом каталоге сервера или в сетевом разделяемом ресурсе на каком-либо другом сервере.

Соединение с web-узлом.

Доступ к домашней странице Веб-узла по умолчанию из браузера можно получить несколькими способами:

  • Щелкните кнопку Пуск, выберите команду Выполнить, в поле ввода наберите http://127.0.0.1 и щелкните кнопку ОК.
  • Запустите Internet Explorer, наберите в адресном поле localhost и нажмите клавишу Enter.
  • В консоли Internet Information Services выберите Веб-узел по умолчанию, щелкните на нем правую кнопку мыши и выберите Обзор в контекстном меню.

Когда вы попытаетесь получить доступ с удаленного компьютер через сеть, вы увидите страницу В процессе разработки (Under Construction), но на самом деле это означает, что сайт активен и доступен. Чтобы подключиться с удаленного компьютера к web-серверу, запустите на удаленном компьютере Internet Explorer, введите в адресную строку IP-адрес или DNS-имя Web-сервера и нажмите клавишу Enter.

[newpage=Использование Мастера создания веб-узлов.]

Использование Мастера создания веб-узлов.

Веб-узел по умолчанию — это просто один небольшой пример возможного использования Службы веб-публикаций из IIS, с помощью которой вы можете создать столько web-узлов, сколько хотите, а их содержимое (страницы, картинки и другие файлы) можно размешать в самых разных местах. Каждый web-узел действует как виртуальный сервер. Для иллюстрации мы создадим новый web-узел на сервере Win2003s (IP-адрес 192.168.100.20, доменное имя Win2003s.test.fio.ru) и простую домашнюю страницу, а затем проверим его, соединившись с ним с другого компьютера в сети.

Прежде чем вы воспользуетесь Мастером создания веб-узлов, решите, какое имя в сети будет иметь этот сайт. При использовании web-браузера (например, Internet Explorer) для соединения с web-узлом и просмотра его домашней страницы вы можете задать URL сайта различными способами, например, при помощи IP-адреса, или NetBIOS-имени, или полностью определенного DNS-имени.

В нашем примере вы привяжете второй IP-адрес (192.168.100.30) сетевой интерфейсной плате сервера Win2003s и установите соответствие между вновь создаваемым web-узлом и добавляемым вами новым IP-адресом. Чтобы добавить второй IP-адрес, выполните следующие действия:

  • Нажмите кнопку Пуск, выберите меню Подключение -> Отобразить все подключения.
  • В окне Сетевые подключения щелкните правой кнопкой мыши значок Подключение по локальной сети и выберите Свойства в контекстном меню (или дважды щелкните этот значок и далее щелкните кнопку Свойства).
  • В окне Подключение по локальной сети дважды щелкните Протокол Интернета (TCP/IP).
  • В окне Свойства: Протокол Интернета (TCP/IP) щелкните кнопку Дополнительно.
  • В разделе IP-адреса диалогового окна Дополнительные параметры TCP/IP щелкните кнопку Добавить, задайте дополнительный IP-адрес и маску подсети и щелкните кнопку Добавить.
  • Закройте все диалоговые окна, нажимая кнопку ОК.

Прежде чем создать web-узел, понадобится сделать два дела. Во-первых, нужно создать на локальном сервере новый каталог для сайта (например, C:\МойУзел), в котором будет храниться содержимое нового сайта. Во-вторых, необходимо создать простую домашнюю страницу с именем Default.htm. Достаточно набрать в Блокноте и сохранить в файле Default.htm в каталоге \МойУзел следующий текст (проследив, чтобы текстовый редактор не добавил к имени файла расширение .ТХТ):

Еще проще создать простую домашнюю страницу можно в текстовом редакторе Microsoft Word. Наберите любой текст и сохраните в формате html, в файле Default в каталоге \МойУзел.

Теперь создайте новый web-узел с именем МойУзел, выполнив следующие действия:

    Запустите консоль Internet Information Services на сервере Win2003s, а затем выберите имя сервера в дереве консоли.

Консоль Internet Information Services можно запустить на любом другом сервере или рабочей станции и соединиться с компьютером Win2003s. Для этого при щелкните кнопку Действие в панели инструментов консоли IIS 6.0, выберите пункт Подключение в раскрывшемся меню. В появившемся окне Подключение к компьютеру укажите имя сервера (Win2003s).

Щелкните кнопку Действие в панели инструментов, щелкните Создать и выберите Веб-узел в раскрывающемся меню. Откроется окно Мастера создания веб-узлов. Щелкните кнопку Далее.

Чтобы задать обозначение узла, наберите название МойУзел. Это имя будет отображаться в консоли Internet Information Services и будет служить обозначением нового web-узла для администратора. Затем щелкните кнопку Далее.

В поле Введите IP-адрес для веб-узла задайте ваш второй IP-адрес в качестве IP-адреса для данного сайта, не изменяя других настроек. Затем щелкните кнопку Далее.

На следующем шаге мастера задайте путь к домашнему каталогу данного web-узла как C:\МойУзел (удобнее всего воспользоваться кнопкой Обзор). Обратите внимание, что домашний каталог вашего сайта может быть как локальным каталогом, так и сетевым разделяемым ресурсом. Флажок Разрешить к веб-узлу анонимный доступ оставьте установленным. Щелкните кнопку Далее.

Не меняйте принятые по умолчанию настройки полномочий доступа, щелкните кнопку Далее.

  • Чтобы завершить работу мастера, щелкните кнопку Готово. Новый web-узел МойУзел появится в качестве узла в окне консоли Internet Information Services под обозначением сервера Win2003s и в нем будет только одна web-страница — Default.htm.
  • Проверка нового web-узла.

    Чтобы проверить работу нового web-узла, перейдите на другой компьютер в сети, запустите браузер и введите http://192.168.100.30 в адресную строку. В окне браузера должна загрузиться страница Default.htm. Если для используемого IP-адреса определено DNS-имя, то для обращения к этому web-узлу можно вместо IP-адреса использовать это имя.

    Затем попробуйте открыть следующие URL с того же самого компьютера:

    • http://192.168.100.20
    • http://Win2003s
    • http://Win2003s.test.fio.ru (только если действует служба имен DNS).

    Каждый из этих URL идентифицирует Веб-узел по умолчанию на сервере Win2003s и открывает домашнюю страницу сайта с надписью о том, что сайт находится в процессе создания.

    В предыдущем примере вы создали новый web-узел с именем МойУзел, содержимое которого размещено в домашнем каталоге C:\МойУзел на сервере Win2003s. Для доступа к содержимому в этом каталоге применяйте какой-либо из следующих URL:

    • http:// , где — IP-адрес, связанный с сетевым адаптером сервера, сопоставленным конкретному web-узлу.
    • http:// , где является полностью определенным доменным именем, сопоставленным на сервере имен IP-адресу нужного web-узла.

    В первом случае заданный URL сопоставляется web-содержимому, хранящемуся в домашнем каталоге сайта, что можно обозначить так:

    Но как быть, если вы хотите найти содержимое данного web-узла, размещенное в разных местах, а не только в каталоге \МойУзел сервера? Для этого можно воспользоваться так называемыми виртуальными каталогами.
    Виртуальный каталог — это способ отобразить псевдоним (часть URL) на физический каталог, содержащий дополнительные фрагменты содержимого web-узла, размещенные не в домашнем каталоге сайта.

    Псевдоним безопаснее: пользователи не знают, где файлы физически расположены на сервере, и не могут использовать эту информацию для изменения этих файлов. Псевдонимы упрощают перемещение каталогов в узле. Не изменяя URL-адрес каталога, можно изменить отображение между псевдонимом и физическим местоположением каталога.

    Предположим, нам нужно хранить часть содержимого web-узла в каталоге С:\SalesStuff на локальном сервере и сопоставить его виртуальному каталогу /Sales. Обратите внимание, что для виртуальных каталогов используется символ «/»(прямой слэш), а не обратный слэш «\».
    Сопоставление URL каталога будет таким:

    Обратите внимание, что с точки зрения клиента, использующего web-браузер, содержимое из /Sales отображается как подкаталог домашнего каталога web-узла МойУзел. Другими словами, это содержимое отображается как подкаталог домашнего каталога http://192.168.100.30. На самом деле это содержимое физически размещено в полностью отдельной части дерева каталогов файловой системы сервера (а вовсе не в \МойУзел\Sales, как можно было бы предположить из URL). Виртуальные каталоги, таким образом, позволяют создавать своего рода виртуальные файловые системы, определяемые URL, не несущими в себе непосредственных ссылок на фактическое место размещения содержимого на web-сайте.

    Различия между локальными и сетевыми виртуальными каталогами.

    Содержимое, сопоставляемое псевдонимам, представляющим виртуальные каталоги, можно помещать в локальные либо в сетевые (remote) виртуальные каталоги:

    • Локальные виртуальные каталоги. Содержимое размещается на локальном сервере Windows Server 2003. Это решение — самое простое, потому что тогда все содержимое web-узла размещается на локальном сервере и резервное копирование для него выполняется за одну операцию. Содержимое, соответствующее разным подразделениям вашей фирмы, можно размещать в разных каталогах сервера (для обеспечения безопасности и целостности).
    • Сетевые виртуальные каталоги. Содержимое размещается на удаленном файловом сервере сети. Это решение обычно оптимально при публикации архивов старого содержимого, уже хранящегося на сетевых файловых серверах. При этом повышается защита данных, т.к. для доступа на удаленный разделяемый ресурс необходима учетная запись пользователя (можно задать полномочия доступа, соответствующие различным учетным записям). При размещении содержимого на удаленном сервере защита данных повышается также из-за того, что разработчики содержимого имеют доступ только к файловым серверам, но не к самим web-серверам, уменьшается и нагрузка на web-сервер. Единственным недостатком будет некоторое уменьшение скорости доступа к содержимому, размещенному на удаленных файловых серверах, но это замедление доступа можно минимизировать, разместив файловые серверы в сети физически поближе к web-серверу.

    Мастер создания виртуальных каталогов.

    Давайте воспользуемся Мастером создания виртуальных каталогов и создадим сетевой виртуальный каталог для нового web-узла МойУзел. Прежде чем запустить мастер, вы должны выполнить две задачи:

    • Создайте в домене новую пользовательскую учетную запись, чтобы иметь возможность управлять доступом к разделяемым ресурсам, сопоставленным сетевым виртуальным каталогом. Вы можете дать этой пользовательской учетной записи любое желаемое имя, но сейчас используйте имя RVD, что означает «remote virtual directory» («сетевой виртуальный каталог»). Создайте эту учетную запись при помощи консоли Active Directory — Пользователи и компьютеры контроллера домена и дайте ей надежный пароль без ограничения срока действия.
    • Создайте каталог для содержимого и поместите в него страницу Default.htm. Для этого сначала создайте на сервере Win2003s каталог для содержимого, например, C:\SalesStuff. Сделайте этот каталог разделяемым по сети, используя для разделяемого ресурса предлагаемое по умолчанию имя SalesStuff, и присвойте полномочие Read только что созданной вами учетной записи RVD. Создайте новую страницу Default.htm для этого каталога или скопируйте туда предыдущую страницу Default.htm.

    Для управления доступом к сетевому виртуальному каталогу никогда не используйте учетную запись администратора, т.к. при этом может появиться брешь в организации безопасности.

    Теперь создайте новый сетевой виртуальный каталог с именем /Sales внутри web-узла МойУзел, выполнив следующие действия:

    • Запустите консоль Internet Information Services на сервере Win2003s.
    • В дереве консоли выберите web-узел МойУзел, щелкните кнопку Действие в панели инструментов, выберите Создать, а затем — Виртуальный каталог в раскрывающемся меню. Запустится Мастер создания виртуальных каталогов. Затем щелкните кнопку Далее.

    В качестве псевдонима виртуального каталога задайте Sales. Обратите внимание, что слэш перед именем помещать не нужно. Затем щелкните кнопку Далее.

    В качестве пути к разделяемому ресурсу, сопоставляемому новому сетевому виртуальному каталогу, задайте UNC-путь \\Win2003s\SalesStuff. Вы можете также воспользоваться кнопкой Обзор, чтобы найти разделяемый ресурс в присоединенной сети. Затем щелкните кнопку Далее.

    При помощи кнопки Обзор выберите пользовательскую учетную запись RVD (учетная запись должна задаваться в форме \ в текстовом поле Имя пользователя).

  • Задайте пароль, присваиваемой данной учетной записи, щелкните кнопку Далее и подтвердите пароль.
  • Не меняйте настройки полномочий доступа.
  • Чтобы завершить работу мастера, щелкните кнопку Далее, а затем кнопку Готово.
  • Если вы теперь проверите узел МойУзел в дереве консоли Internet Information Services, то обнаружите под ним новый узел, представляющий новый виртуальный каталог.

    Попробуйте посмотреть в этом каталоге страницу Default.htm при помощи URL http://192.168.100.30/sales из web-браузера на удаленном компьютере.

    Виртуальные каталоги, физические каталоги и значки.

    Есть пара причин, из-за которых можно запутаться с виртуальными каталогами. Во-первых, для представления виртуальных каталогов в консоли IIS применяются два разных значка. Во-вторых, физические каталоги могут вести себя подобно виртуальным каталогам, если они размещены физически как подпапки домашнего каталога или другого виртуального каталога. Посмотрите на различные подузлы под узлом МойУзел в дереве консоли и обратите внимание на следующие обозначения:

    /sales

    Виртуальный каталог сконфигурирован как корень приложения, то есть как стартовый каталог для web-приложения (разработанного обычно при помощи ASP)

    /support

    Виртуальный каталог, сконфигурированный не как корень приложения. (О том, как конфигурировать и удалять корни приложений, вы узнаете в следующей главе.)

    /management

    Виртуальный каталог в данный момент по какой-то причине недоступен (быть может, физический каталог со связанным с ним содержимым был перемещен или уничтожен)

    /marketing

    Обычный каталог, являющийся подкаталогом физического каталога C:\МойУзел на локальном сервере Win2003s

    Рассмотрим концепции и задачи, связанные со службой FTP-публикаций. Установите службу FTP-публикаций, открыв утилиту Установка и удаление программ из Панели управления и выбрав в ней Установка компонентов Windows.
    В окне выбора компонентов необходимо указать Internet Information Services и щелкнуть кнопку Состав. Далее необходимо установить флажок около элемента File Transfer Protocol (FTP) Service.

    FTP-узел по умолчанию.

    Как и для службы Веб-публикаций, при установке службы FTP на сервере Windows Server 2003 будет создан новый «стандартный» узел, имеющий имя FTP-узел по умолчанию (Default FTP Site). Однако в отличие от Веб-узла по умолчанию, имеющего образцы страниц и многочисленные каталоги, FTP-узел по умолчанию совершенно пуст.

    Как и в случае Службы Веб-публикаций, при помощи IIS 6.0 вы можете создать столько FTP-узлов, сколько хотите, и размещать содержимое (страницы, рисунки и другие файлы) для этих узлов как в локальных каталогах, так и в сетевых разделяемых ресурсах. Каждый FTP-узел действует как отдельная сущность (виртуальный сервер), то есть, как если бы он работал на отдельном сервере Windows Server 2003, и ему были бы доступны все ресурсы сервера. Чтобы проиллюстрировать это, давайте создадим новый FTP-узел на сервере Win2003s, поместим тестовый файл в его домашний каталог, а затем скачаем тестовый файл с другого компьютера в сети.

    Использование Мастера создания FTP-узла.

    Как и в случае веб-узла, вы можете задать FTP-узлы различными способами — при помощи IP-адреса, имени NetBIOS или полностью определенного DNS-имени. В нашем примере пользуйтесь дополнительным IP-адресом, связанным в предыдущем разделе с сетевой платой сервера Win2003s. Вы также должны создать домашний каталог для нового FTP-узла, поэтому создайте на локальном сервере каталог C:\ftphome. Затем скопируйте туда какой-нибудь файл, например Greenstone.bmp из папки c:\windows, чтобы было, что скачать при доступе с клиента. Для создания нового FTP-узла выполните следующие действия:

    Запустите консоль Internet Information Services на сервере Win2003s, а затем выберите имя сервера в дереве консоли и выделите ветвь Узлы FTP.
    *Щелкните кнопку Действие в панели инструментов, укажите Создать и выберите FTP-узел. Запустится Мастер создания FTP-узла.

    *Щелкните кнопку Далее. В качестве имени узла введите с клавиатуры: My FTP Site. Это имя будет отображаться в консоли Internet Information Services и будет служить обозначением нового узла для администратора.

    *Щелкните кнопку Далее. Задайте ваш второй IP-адрес в качестве IP-адреса, сопоставленного данному узлу, не меняя номер порта, используемый по умолчанию.

    *Новая функция добавленная в Windows Server 2003, способна ограничить доступ пользователей к вышестоящим каталогам в иерархии. Выберите вариант, который вы хотите применить к пользователям. Каталог c:\ftphome является корневым для всех FTP-пользователей создаваемого FTP-узла. Два первых варианта используют каталог c:\ftphome, третий вариант позволяет использовать каталоги пользователей, назначенные службой Active Directory.

    *Щелкните кнопку Далее. Задайте путь к домашнему каталогу нового FTP-узла как C:\ftphome (удобнее всего воспользоваться кнопкой Обзор). Обратите внимание, что домашний каталог вашего узла может быть как локальным каталогом, так и сетевым разделяемым ресурсом.

    *Щелкните кнопку Далее. Убедитесь, что выбраны оба полномочия доступа: Чтение и Запись. При этом вы сможете и скачивать файлы с нового FTP-узла, и закачивать их на него.

    *Чтобы завершить работу мастера, щелкните кнопку Далее, а затем Готово. Новый узел My FTP Site появится в качестве узла в окне консоли Internet Information Services под обозначением сервера Win2003s.

    Заметьте, что файл Greenstone.bmp, который вы скопировали в домашний каталог, не появится в правой панели окна консоли. Этим FTP-узлы отличаются от web-узлов, у которых файлы в домашнем каталоге и в виртуальных каталогах отображаются в окне консоли.

    Проверка нового FTP-узла.

    Чтобы проверить новый FТР-узел, перейдите на другой компьютер в сети, запустите Internet Explorer и откройте URL ftp://192.168.100.30, определяющий новый FTP-узел при помощи сопоставляемого ему IP-адреса. В окне браузера вы увидите файл Greenstone.bmp , IP-адрес, с которым вы соединились, и имя пользователя (Anonymous).
    После соединения с FTP-узлом вы сможете выполнять различные действия при помощи Internet Explorer:

    • Чтобы скачать файл на ваш компьютер, щелкните правой кнопкой мыши значок файла, выберите Скопировать в папку и укажите целевую папку на своем компьютере (или в любом месте, доступном через сеть).
    • Если вы хотите поместить файл на FTP-узел (закачать его на узел), то перетащите нужный файл из Мой Компьютер на вашем локальном компьютере в окно браузера.
    • Если нужно посмотреть тип, местоположение, размер и дату изменения оригинала копируемого файла на FTP-узле, то щелкните правой кнопкой мыши значок файла и выберите Свойства.
    • Если доступ контролируется по именам пользователей, то при помощи команды Войти как в меню Файл браузера можно войти на FTP-узел в качестве другого пользователя.

    Для FTP-узлов можно создавать виртуальные каталоги, точно так же, как и для web-узлов.

    Использование Мастера создания виртуальных каталогов.

    Не имеет значения, создаете ли вы виртуальный каталог в web-узле или FTP-узле — для этого применяется один и тот же мастер. Поскольку вы недавно уже создали сетевой виртуальный каталог для web-узла Мой Узел, то для FTP-узла My FTP Site для разнообразия давайте создадим локальный виртуальный каталог (поскольку вы уже знакомы с мастером, будет дано более краткое описание действий):

    • На сервере Win2003s создайте каталог C:\uploads. Этот каталог будет использоваться как «корзина» FTP. В этот каталог пользователи могут помешать свои файлы, но они не смогут увидеть его содержимого и не смогут скачивать файлы из него.
    • Щелкните правой кнопкой мыши узел My FTP Site в дереве консоли Internet Information Services, в контекстном меню укажите Создать и выберите Виртуальный каталог.

    Щелкните кнопку Далее. В качестве псевдонима виртуального каталога введите с клавиатуры drop.

    Щелкните кнопку Далее. В качестве местоположения каталога с содержимым, сопоставляемого создаваемому виртуальному каталогу, задайте C:\uploads.

    Щелкните кнопку Далее. Измените полномочия доступа для данного каталога: разрешите запись и запретите чтение.

  • Чтобы завершить работу мастера, щелкните кнопку Далее, а затем Готово.

  • Теперь новый виртуальный каталог /drop будет виден в дереве консоли как узел под узлом My FTP Site.

    Обратите внимание, что значок для виртуальных каталогов FTP отличается от значков, применяемых для виртуальных каталогов web-узлов.

    Проверка нового виртуального каталога.

    Попробуйте осуществить доступ к новому виртуальному каталогу с удаленного компьютера, открыв виртуальный каталог /drop на сайте My FTP Site при помощи Internet Explorer, открыв URL http://192.168.100.30/drop. В диалоговом окне должно появиться такое сообщение: При открытии данной папки на сервере FTP произошла ошибка. Проверьте, есть ли у вас полномочия доступа к ней. Чтобы закрыть это сообщение об ошибке, щелкните кнопку ОК.

    Теперь попробуйте перетянуть файл из Мой Компьютер в окно браузера. На сервере Win2003s убедитесь, что перетянутый файл действительно попал в каталог \uploads сервера. Затем попробуйте обновить окно браузера. Снова должно появиться такое же сообщение об ошибке. Щелкните кнопу ОК, чтобы закрыть его. Окно браузера, которое по-прежнему открыто на виртуальном каталоге /drop, должно оставаться пустым. Это — проверка того, что анонимные пользователи могут закачивать свои файлы в виртуальный каталог, но не могут скачивать их оттуда.

    [newpage=Понятие об организации безопасности в IIS.]

    Для общего понимания системы безопасности IIS нужно понимать, что такое полномочия, как их конфигурировать и применять. В данном разделе рассмотрены разные уровни безопасности для управления доступом к содержимому web-узлов и FTP-сайтов в Windows Server 2003, а также изучается порядок их применения. Вы также научитесь быстро и легко защищать свои Web- и FTP-узлы при помощи Мастера разрешений IIS 6.0.

    Понятие об организации безопасности в IIS.

    У администраторов есть четыре способа для контроля доступа к содержимому web-узлов и FTP-узлов, хостинг которых осуществляется при помощи IIS. Эти механизмы применяются по порядку всякий раз при попытках пользователей получить доступ к имеющемуся на сервере Web- и FTP-ресурсу (файлу HTTP или другому файлу). Эта четырехступенчатая модель контроля доступа описана ниже, причем пользователь получает доступ к запрошенным ресурсам только после выполнения всех правил:

    • Разрешается ли доступ к ресурсу для IP-адреса или доменного имени, используемого пользователем? Если нет, то попытки доступа встречают отказ, и остальные правила не применяются. Ограничения на IP-адрес и доменное имя можно настраивать при помощи вкладки Безопасность каталога окна свойств web-узла, FTP-узла или виртуального или физического каталога, или (для файлов) при помощи вкладки Безопасность окна свойств файла. Заметьте, что окно свойств, о котором идет речь здесь и в следующих двух пунктах, применяется при доступе к объектам из окна консоли Internet Information Services.
    • Аутентифицирован ли пользователь? Если нет, то в доступе будет отказано, и остальные правила применяться не будут. Настройки безопасности для аутентификации можно конфигурировать при помощи вкладки Безопасность каталога окна свойств web-узла, виртуального или физического каталога, при помощи вкладки Безопасность окна свойств файла, при помощи вкладки Безопасные учетные записи окна свойств FTP-узла. Обратите внимание, что вы не сможете настроить этот уровень безопасности для виртуальных каталогов внутри FTP-узлов (его можно настраивать только для виртуальных каталогов внутри web-узлов).
    • Настроены ли разрешения IIS для доступа и для приложений так, чтобы пользователи могли иметь доступ к ресурсам? Если нет, то в доступе будет отказано, и остальные правила применяться не будут. Разрешения IIS для доступа и для приложений можно настраивать: при помощи вкладки Домашний каталог окна свойств web-узла или FTP-узла;
      — при помощи вкладки Виртуальный каталог окна свойств виртуального каталога;
      — при помощи вкладки Каталог окна свойств физического каталога;
      — при помощи вкладки Файл окна свойств файла.
    • Позволяют ли разрешения NTFS, относящиеся к ресурсу, доступ пользователей к ресурсу? Если нет, то в доступе будет отказано. Разрешения NTFS настраиваются как обычно, при помощи вкладки Безопасность окна свойств ресурса в Мой Компьютер.

    В этой четырехступенчатой модели контроля доступа шаги 2 и 4 зависимы от пользователей, а шаги 1 и 3 независимы. Другими словами, ограничения по IP-адресу и доменному имени и разрешения IIS для доступа и для приложений являются глобальными настройками, применяемыми единообразно для всех пользователей.

    Остановка, запуск и приостановка службы IIS.

    Не забывайте, что отдельные Web- и FTP-узлы, созданные при помощи IIS, на самом деле являются виртуальными серверами. Это значит, что они действуют и ведут себя, как если бы они были отдельными серверами Windows Server 2003 и имели бы доступ ко всем ресурсам сервера. Благодаря этому web-узлы многих разных фирм могут размещаться на одном и том же компьютере, работающем под управлением Windows Server 2003. Но IIS на этих компьютерах приходится иногда останавливать, запускать и приостанавливать. Например, при изменении файлов на web-узле работа этого сайта обычно приостанавливается, чтобы избежать новых соединений пользователей с сайтом, а уже подключенных пользователей отсоединить по истечении некоторого позволенного им времени. Когда вы тестируете web-приложение, разработанное при помощи ASP, вам, вероятно, понадобится остановить, а затем снова запустить узел, если в процессе тестирования приложение «зависло» или перестало отвечать на запросы. Идея состоит в том, что когда на вашем сервере работает сразу много узлов, было бы хорошо не останавливать их все из-за проблем на каком-то одном из сайтов.
    В Windows Server 2003 предусмотрена возможность, позволяющая применять Диспетчер служб IIS для остановки отдельных Web- и FTP-узлов без необходимости остановки служб WWW и FTP публикаций для всех узлов на сервере. Для приостановки (паузы), остановки и запуска узла просто выберите в дереве консоли нужный узел и выполните одно из следующих действий:

    • щелкните соответствующую кнопку управления в панели инструментов;
    • щелкните правой кнопкой мыши узел и сделайте нужный выбор в контекстном меню;
    • щелкните кнопку Действие и сделайте нужный выбор в раскрывающемся меню.

    Кроме того, вы можете запускать, останавливать и запускать снова сразу все Web- и FTP-узлы на вашем сервере, выбрав в дереве консоли Диспетчер служб IIS узел, представляющий сервер: щелкните кнопку Действие в панели инструментов, выберите Все задачи -> Перезапуск IIS в раскрывающемся меню. Вы можете подумать, что сразу все web-узлы, работающие на вашем компьютере, можно останавливать, остановив Службу Веб-публикаций при помощи узла Администрирование -> Службы в оснастке Управление компьютером. Так делать не надо. Служба IIS реализована не так, как другие службы Windows Server 2003, и не должна останавливаться и запускаться этим способом. И, наконец, если вы хотите перезапустить IIS из командной строки, то можете набрать с клавиатуры iisreset . Эту команду можно использовать и в пакетных файлах.

    Использование серверных расширений FrontPage.

    IIS 6.0 использует набор серверных динамических библиотек DLL, называемых «расширения FrontPage» (FrontPage Extensions), действующих со стороны сервера и служащих для поддержки дополнительных средств FrontPage Extensions, таких как возможность создавать навигационные панели, средства для поиска, для web-обсужений и т. д. Давайте теперь рассмотрим, как устанавливать серверные расширения FrontPage. В сетях, где разработчики пользуются данным популярным инструментальным средством для создания web — содержимого, эта задача относится к основным задачам администрирования web — сервера IIS. Вопросы создания содержимого мы не будем рассматривать, а покажем, как можно организовать работу сервера в сочетании с FrontPage Extensions.

    Разрешение использования расширений FrontPage.

    Хотя программное обеспечение, необходимое для поддержки FrontPage Extensions, уже установлено, вам все же понадобится разрешить использование расширений FrontPage на web-узлах, которыми будут пользоваться ваши разработчики содержимого FrontPage. Чтобы проиллюстрировать это, давайте возьмем web-узел МойУзел и выполним следующие действия.

      Нажмите правой кнопкой мыши на узел МойУзел в дереве консоли Диспетчер служб IIS, укажите на Все задачи и выберите Configure Server Extensions 2002 (Конфигурировать серверные расширения). В результате запустится веб-страница Install.

    Щелкните кнопку Submit, чтобы активизировать FrontPage Server Extensions 2002. Появится окно администрирования сервера Server Administration.

    В нижней части окна показаны виртуальные серверы, которыми вы можете управлять. В верхней части окна имеются три функции, которые позволяют вам изменять права, задавать настройки и пароли пользователей:

    — Set List Of Available Rights — позволяет задавать список доступных прав
    — Set Install Defaults — позволяет задать настройки по умолчанию для установки
    — Reset User Password — позволяет обновить пароль пользователя

    Выберите функцию Set List Of Available Rights, чтобы перейти к странице Rights (Права). Вы можете задействовать или отменить необходимые права, установив или сняв соответствующие флажки.

    Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице.

    Выберите функцию Set Install Defaults, чтобы перейти к странице настроек по умолчанию. В разделе Mail Settings (Настройка почты) вы можете указать почтовый сервер, адрес отправителя и адрес для ответа, чтобы использовать их в средствах для электронной почты FrontPage Server Extensions 2002. В разделе Security Settings (Настройка безопасности) вы можете задавать авторские настройки, установку защищенных соединений SSL и разрешать авторам загрузку на сервер исполняемых файлов.

    Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице.

    Выберите функцию Reset User Password, чтобы перейти к странице обновления пароля. Указав имя пользователя вы можете изменить действующий пароль данного пользователя на новый.

    Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице.

  • После установки и настройки сервера FrontPage Extensions закройте окно обозревателя.
  • С установкой сервера FrontPage Server Extensions 2002 на вашем web-узле появится множество виртуальных и физических подкаталогов вместе с сопоставленными файлами серверных расширений. Не удаляйте эти папки и файлы, иначе это приведет к неправильной работе серверных расширений.

    [newpage=Администрирование Internet Information Services]

    Администрирование Internet Information Services.

    Настройка службы IIS и администрирование ее серверов, каталогов и файлов производится на четырех различных уровнях. Эти четыре уровня администрирования применяются к службам WWW, FTP, SMTP и NNTP:

    • Администрирование на уровне сервера -это конфигурирование настроек, применяемых глобально ко всем виртуальным серверам на сервере Windows Server 2003 с установленными службами IIS. Настойки уровня сервера наследуются всеми виртуальными серверами и их виртуальными и физическими каталогами и файлами.
    • Администрирование на уровне сайта — это конфигурирование настроек, применяемых к конкретному виртуальному серверу на компьютере с IIS, то есть настройки применяются к конкретным web-, FTP-, SMTP- и NNTP-сайтам, имеющимся на компьютере. В то время как настройки уровня сервера применяются глобально к виртуальным серверам, поддерживающим web- и FTP-сайты на компьютере, каждый из этих виртуальных серверов может иметь и свои настройки, конфигурируемые отдельно на уровне сайта.
    • Администрирование на уровне каталогов — это конфигурирование настроек, применяемых к какому-либо виртуальному (или физическому) каталогу, расположенному внутри виртуального сервера. В то время как настройки уровня сайта применяются глобально ко всем виртуальным (физическим) каталогам, размещенным внутри некоторого web-, FTP-, SMTP- или NNTP-сайта, каждый каталог может иметь и свои настройки, конфигурируемые отдельно на уровне каталога.
    • Администрирование на уровне файла — это конфигурирование настроек, применяемых к какому-либо файлу, находящемуся в виртуальном или физическом каталоге. В то время как настройки уровня каталога применяются глобально ко всем файлам, расположенным в некотором каталоге, каждый файл может иметь и свои настройки, конфигурируемые отдельно на уровне файла. Эти настройки уровня файла переопределяют настройки, сконфигурированные на уровне каталога, и являются подмножеством настроек уровня каталога.

    Примитивные задачи настройки можно выполнять при помощи мастеров, рассмотренных в предыдущей главе, таких как Мастер создания веб-узла, Мастер создания виртуального каталога и других. Для тонкой настройки различных служб IIS, нужно использовать различные окна свойств объектов IIS. К числу этих объектов относятся физические и виртуальные серверы, физические и виртуальные каталоги, а также файлы. Каждый из этих типов объектов представлен узлом в дереве Консоли Управления MMC, являющейся (при помощи установленной в ней оснастки Internet Information Services) основным инструментом для управления этими объектами и их конфигурирования.

    Настройки объектов (физического или виртуального сервера, физического или виртуального каталога или для файла) автоматически наследуются объектами низших уровней. Например, если вы настраиваете IIS на уровне сервера, эти установки будут наследоваться (если это применимо) всеми виртуальными серверами, виртуальными каталогами, физическими каталогами и файлами, связанными с IIS. Однако вы можете на любом из уровней переопределить настройки для какого-либо виртуального сервера (web-или FTP-сайта) и всех его каталогов и файлов, для какого-либо виртуального или физического каталога и всех содержащихся в ней сайтов или для какого-либо файла. Обратите внимание, что если вы вручную измените настройки на каком-либо уровне, последующие изменения настроек на более высоком уровне не приведут к автоматическому затиранию сделанных вами изменений. Напротив, вы увидите вопрос о том, желаете ли вы поменять настройки, сделанные вручную.

    [newpage=Администрирование на уровне сервера.]

    Администрирование на уровне сервера.

    Администрирование на уровне сервера позволяет выполнять следующие задачи:

    • Подключаться к компьютерам, на которых работает IIS, для администрирования.
    • Выполнять резервное копирование и восстановление конфигурации компьютера.
    • Включать глобальное ограничение пропускной способности (bandwidth throttling) для всех web- и FTP-узлов компьютера.
    • Конфигурировать различные основные свойства (master properties), применяемые глобально ко всем web- и FTP-узлам, созданным на данном компьютере.
    • Производить сжатие файлов при помощи HTTP-сжатия.
    • Конфигурировать сопоставление MIME (Multipurpose Internet Mail Extensions map).
    • Настраивать серверные расширения (если у вас установлены серверные расширения Microsoft FrontPage).

    Начнем с изучения общих административных задач и глобальных настроек, которые можно конфигурировать для службы IIS, работающей на сервере Windows Server 2003. Некоторые общие административные задачи уровня сервера вы можете выполнять при помощи консоли IIS.

    Подключение к серверу IIS.

    Вы можете администрировать много серверов Windows Server 2003, на которых работает IIS, из одного окна консоли IIS. Чтобы администрировать сервер, нужно сначала соединиться с ним. Для этого выполните следующие действия:

    В дереве консоли IIS выберите корневой узел (он называется Internet Information Services).

    Щелкните кнопку Действие в панели инструментов и выберите Подключение в раскрывающемся меню. (Запомните, что в окне консоли раскрывающееся меню кнопки Действие содержит те же команды, что и контекстное меню, появляющееся при щелчке правой кнопкой мыши на любом выделенном узле.)

    В диалоговом окне Подключение к компьютеру введите имя компьютера, с которым вы хотите соединиться, и щелкните кнопку ОК. Имя компьютера можно задать любым из следующих способов:

    • при помощи имени NetBIOS (например, Win2003s);
    • при помощи IP-адреса (например, 192.168.100.20);
    • при помощи полностью определенного DNS-имени (например, Win2003s.test.fio.ru).

    Чтобы отсоединиться от сервера, выберите в дереве консоли узел, представляющий этот сервер, щелкните кнопку Действие и выберите Отключить.

    Создание резервных копий конфигураций.

    Можно сохранять настройки конфигураций компьютеров с IIS и всех их web- и FTP-сайтов в файле резервной копии конфигурации. Каждый файл с резервной копией помечен (stamped) номером версии и датой/временем создания. Вы можете создавать сколько угодно таких резервных файлов и производить восстановление из них, если желаете вернуть старое состояние настроек. Эта возможность очень полезна, т.к. вы можете изготовить «снимок» вашей конфигурации IIS перед тем, как начнете изменять на своем компьютере полномочия и другие настройки виртуальных серверов, каталогов и файлов.
    Файлы резервного копирования конфигураций вашего компьютера хранят настройки только web- и FTP-сайтов, их виртуальных и физических каталогов и их файлов. Они не сохраняют сами файлы с содержимым, то есть не сохраняют страницы HTML, картинки и скрипты, содержащиеся в web-узлах.

    Резервное копирование конфигурации сервера.

    Для резервного копирования конфигурации компьютера с IIS выполните следующие действия:

    • В дереве консоли выберите узел, представляющий ваш сервер.
    • Щелкните кнопку Действие и выберите Архивирование и восстановление конфигурации в раскрывающемся меню.
    • Появится диалоговое окно Архивирование и восстановление конфигурации, в котором будут показаны созданные вами или автоматически различные файлы резервного копирования, их номера версий и дата/время создания. Номера версий последовательно растут.

    Чтобы создать файл с новой резервной копией, щелкните кнопку Создать архив и задайте имя файла (достаточно осмысленное).

    Файл с резервной копией будет создан в каталоге System32\inetsrv\MetaBack. Информация в нем хранится в двоичном формате и специфична для компьютера, на котором был создан файл. Если вы переустановите Windows Server 2003 на этом компьютере, то не сможете воспользоваться старыми файлами с резервными копиями, и они не помогут вам воссоздать конфигурацию IIS.

    Восстановление конфигурации сервера.

    Для восстановления предыдущей версии конфигурации вашего сервера откройте диалоговое окно Архивирование и восстановление конфигурации, выберите файл с резервной копией, из которого вы хотите произвести восстановление, и щелкните кнопку Восстановить. Обратите внимание, что для осуществления восстановления, IIS должна будет остановить свои службы, поэтому на восстановление потребуется больше времени, чем на резервное копирование.

    Вы можете экспортировать содержимое правой панели окна консоли, выбрав нужный узел в левой панели, щелкнув кнопку Действие и выбрав Экспортировать список. Сохранять эту информацию можно в текстовом файле с кодировкой ACSII или Unicode с разделителями — табуляциями или запятыми. Благодаря этому появляется возможность документирования домашних каталогов для учета разнообразных виртуальных каталогов, создаваемых вами внутри web-узла.

    Настройка свойств сервера.

    При администрировании уровня сервера больше всего времени отнимает конфигурирование настроек, глобальных для всех виртуальных серверов, созданных на вашем компьютере. Для доступа к этим настройкам выберите нужный узел сервера в дереве консоли, щелкните кнопку Действие и выберите Свойства в раскрывающемся меню. Откроется окно свойств для данного сервера (в нашем примере Win2003s).

    Имя сервера, отображаемое для этого сервера в дереве консоли, может быть либо именем NetBIOS, либо IP-адресом, либо DNS-именем сервера. В этом окне вы можете конфигурировать основные свойства, разрешить изменять файл конфигурации метабазы, сконфигурировать типы MIME и сконфигурировать формат журнала веб-узла.

    Метабаза содержит конфигурацию сервера IIS, записанную в текстовый файл формата XML. Она расположена в каталоге system32\inetsrv и состоит из двух файлов Metabase.xml и MBschema.xml.

    В окне свойств сервера вы можете также сконфигурировать сопоставление MIME для этого сервера. Это сопоставление применяется в заголовках HTTP, направляемых вашим сервером IIS браузерам клиентов и объясняет клиентам, какие зарегистрированные типы файлов имеются и каковы сопоставленные им типы содержимого MIME. Например, расширение файлов .НТМ будет сопоставляться типу содержимого text/html.

    Вы можете создавать, изменять и удалять эти сопоставления. Вы также можете конфигурировать сопоставления MIME на уровне сайта, уровне каталога и уровне файла, но обычно их нужно конфигурировать на уровне сервера, поскольку изменения на других уровнях будут переопределены, при изменении сопоставления типов MIME на уровне сервера.

    Для того чтобы просмотреть/настроить типы MIME щелкните кнопку Типы MIME в одноименной области окна свойств сервера.

    [newpage=Администрирование на уровне узла, каталога, файла ]

    Администрирование на уровне узла.

    Администрирование IIS на уровне узла решает существенно различные задачи в зависимости от того, с какой из четырех служб IIS вы работаете: WWW, FTP, SMTP или NNTP. Поэтому мы пока отложим подробное обсуждение задач администрирования разных видов сайтов (виртуальных серверов), а пока отметим несколько моментов, общих для всех задач администрирования на уровне сайта:

    Администрирование на уровне каталога.

    Настройки уровня каталога наследуются всеми файлами внутри каталога. Они также переопределяют настройки, сконфигурированные на уровнях сайта и сервера. Настройки уровня каталога применяются и к виртуальным, и к физическим каталогам внутри какого-либо web- или FTP-сайта.

    Свойства уровня каталога — это просто подмножество свойств уровня сайта. На самом деле основные свойства службы WWW некоторого компьютера IIS конфигурируются при помощи 9 вкладок окна Основные свойства: Веб-узел, Быстродействие, Фильтры ISAPI, Домашний каталог, Документы, Безопасность каталога, Заголовки HTTP, Специальные ошибки и Server Extensions 2002.

    И аналогично окно свойств какой-либо виртуального/физического каталога внутри web-узла содержит подмножество вкладок из окна свойств web-узла: Каталог или Виртуальный каталог (вместо Домашнего каталога), Документы, Безопасность каталога, Заголовки HTTP и Специальные ошибки.

    Список настроек, которые вы можете конфигурировать на уровне каталога:

    • Местоположение содержимого каталога (локальный каталог, сетевой разделяемый ресурс или перенаправление к URL).
    • Полномочия доступа (доступ к исходным текстам скриптов, чтение, запись, просмотр каталогов, регистрация посещений и индексирование ресурса).
    • Настройки для приложений (имя приложения, начальная точка, полномочия для исполнения и др.).
    • Стандартные документы и нижние колонтитулы документов. — Возможность анонимного доступа и контроль аутентификации. — Ограничения по IP-адресу и имени домена.
    • Безопасное соединение при помощи SSL.
    • Настройки устаревания содержимого.
    • Нестандартные заголовки HTTP.
    • Рейтинг содержимого.
    • Сопоставления MIME.
    • Нестандартные ошибки HTTP.

    Помните, что настройки уровня каталога для вновь создаваемых web-узлов наследуются из ранее заданных настроек уровня сервера и уровня сайта. При изменении настроек на уровне каталога подобные им настройки, заданные на более высоких уровнях, будут переопределены.

    Администрирование на уровне файла.

    Администрирование на уровне файла — это последний из четырех уровней администрирования IIS. На этом уровне вы конфигурируете свойства отдельных файлов внутри домашнего каталога web- или FTP-узла или внутри какого-либо другого каталога. Например, в то время как окно свойств службы WWW уровня каталога имеет 5 вкладок, окно свойств отдельной web-страницы или другого файла имеет только 4 вкладки: Файл, Безопасность файла, Заголовки HTTP и Специальные ошибки.

    Настройки на уровне файла в основном такие же, как и на уровне каталога, за исключением того, что для отдельных файлов нельзя задавать стандартные документы, а для каталогов — можно. Также, можно задавать только либо местоположение файла, либо перенаправление к URL.

    [newpage=Работа с web-узлами.]

    Работа с web-узлами.

    Рассмотрим более подробно различные административные задачи уровня узла, которые можно выполнять в IIS. Мы уже кратко рассматривали диалоговое окно основных свойств для службы WWW, и вы уже знаете, что в нем имеется десять вкладок, содержащих разнообразные настройки, которые можно конфигурировать. Девять из этих десяти вкладок применяются также и на уровне узла (для администрирования отдельных web-узлов); в данном разделе мы подробно изучим эти разнообразные вкладки и их настройки. В качестве примера в данной главе мы будем конфигурировать Веб-узел по умолчанию.

    Вкладка Веб-узел окна свойств узла позволяет задать идентификацию web-узла, сконфигурировать ограничение на максимальное количество одновременных соединений TCP, осуществляющих сеансы HTTP, включить или отключить сохранение соединений HTTP и включать на вашем сервере регистрацию IIS.

    Каждый web-узел, размещенный на компьютере IIS, должен иметь уникальную идентификацию, чтобы клиенты-браузеры могли соединяться с ним и скачивать с него содержимое. Web-узлы можно определять при помощи трех разных параметров: IP-адреса, номера порта TCP и имени заголовка хоста.
    Идентификация web-узла задается в странице окна свойств этого web-узла с вкладкой Веб-узел. Чтобы web-узлы на одном компьютере имели уникальные идентификации, они должны отличаться друг от друга хотя бы одним из трех параметров идентификации. Рассмотрим разные способы задания идентификации web-узла и обсудим, как можно иметь несколько разных web-узлов на одном сервере.

    Настройка нескольких IP-адресов для одной сетевой платы сервера

    Вы можете сконфигурировать несколько IP-адресов для одной сетевой платы сервера или установить несколько сетевых плат, чтобы у каждой платы был свой IP-адрес. Выберите разные IP-адреса для каждого из web-узлов. Не меняйте у этих сайтов настройку порта TCP (80 — это стандартная для протокола HTTP настройка порта TCP) и не конфигурируйте имена заголовка хоста. Достоинством этого способа является то, что клиентам удобно соединяться с каждым из сайтов при помощи IP-адреса сайта в запрашиваемом ими URL (или при помощи полностью квалифицированного DNS-имени, если на сервере DNS было сконфигурировано уникальное имя хоста для каждого из IP-адресов компьютера IIS).
    К недостаткам этого способа относится то, что если на компьютере содержать много web-узлов, то им придется назначать много IP-адресов. Это не проблема для приватных интрасетей, использующих один из блоков приватных IP-адресов, таких как 10.y.z.w, 172.16-31.z.z, 192.168.z.z. Но на серверах, непосредственно подключенных к Интернету, вам придется получать нужное количество IP-адресов у вашего провайдера. Тем не менее, данный способ задания идентификации web-узла является наиболее употребительным.

    Настройка только одного IP-адреса для сетевой платы

    Задайте разные порты TCP (с номерами, большими 1023) для каждого из web-узлов, с которыми надо соединяться. Главный недостаток этого способа — то, что клиенты должны знать номера портов web-узлов, с которыми им надо соединяться. Например, если DNS-имя сервера — Win2003s.test.fio.ru, а web-узлу на этом сервере присвоен номер порта 8023, то клиенту для доступа к этому сайту придется использовать URL http://Win2003s.test.fio.ru:8023.

    Настройка одного IP-адреса с сохранением стандартного порта TCP

    При этом способе конфигурируется только один IP-адрес для сетевой платы сервера, а порт TCP остается со стандартным значением (80) для всех сайтов. Сконфигурируйте уникальное имя заголовка хоста для каждого сайта при помощи кнопки Дополнительно. Имена заголовков хоста возможны в протоколе HTTP 1.1. Имя заголовка хоста, сопоставляемое каждому из узлов, является типичным полностью квалифицированным DNS-именем, присвоенным узлу в базе данных доступного сервера DNS (или в локальном файле Hosts на клиентах).

    Когда вы открываете окно свойств для Веб-узел по умолчанию и страницу с вкладкой Веб-сайт, то IP-адрес задан как Все неназначенные. Это означает, что web-узел будет отвечать на любой IP-адpec, не назначенный специально другим web-узлам изданном компьютере. Именно поэтому данный сайт является используемым по умолчанию и единственным web-узлом на компьютере IIS, для которого возможен такой способ задания IP-адреса.

    Когда клиент запрашивает URL вроде http://vio.fio.ru , клиент передает имя заголовка хоста vio.fio.ru в заголовки запроса HTTP, передаваемые серверу. Сервер производит синтаксический разбор имени заголовка хоста, идентифицирует web-узел, с которым должен соединиться клиент, и возвращает файлы, соответствующие запросу. Недостатком этого способа является то, что клиент тоже должен поддерживать имена заголовков хоста, то есть должен уметь передавать DNS сайта в своих заголовках запроса HTTP. Имена заголовков хостов поддерживаются браузерами Microsoft Internet Explorer версий, начиная от 3 и выше. Другим недостатком использования имен заголовков хостов является то, что данный способ не работает в сочетании с соединениями SSL, потому что в этом случае сеансы HTTP подвергаются шифрованию.

    Если вы работаете со старыми браузерами, не поддерживающими имена заголовков хоста, то можете реализовать механизм, основанный на cookie-файлах, позволяющий браузерам различать web-узлы, имеющие одинаковые IP-адреса и номера порта TCP. Дополнительную информацию об этом можно найти в онлайновой документации.

    При изменении номера порта для web-узла не требуется перезагрузка сервера, чтобы изменения вступили в силу.

    Страница с вкладкой Веб-узел позволяет конфигурировать для сеансов HTTP ограничение на максимальное количество действующих одновременно соединений TCP с сервером. Вы также можете включить или отключить настройку сохранения соединений (HTTP Keep-Alives) и задать значения предельного срока сохранения для соединений (connection timeout value). Настройка HTTP Keep-Alives является средством HTTP 1.1, при помощи которого клиент может сохранять открытым соединение TCP с сервером и после скачивания файла, если с этого сервера требуется скачать еще какие-либо другие файлы. Если же клиенты начнут страдать из-за замедления работы сервера или станут часто получать сообщение об ошибке «загруженности»

    HTTP 500: Busy errors

    то попробуйте уменьшить значение в поле Время ожидания подключения, чтобы неиспользуемые соединения TCP завершались быстрее.

    Время ожидания, задаваемое на вкладке Веб-узел, применяется к активным сеансам TCP. В TCP имеются свои собственные настройки для завершения наполовину открытых соединений TCP, вроде тех, что создаются во время DoS-атак (Denial of Service, отказ в обслуживании), когда злоумышленники пытаются «завалить» web-сервер, переполнив его сетевое соединение пакетами TCP SYN.

    Вкладка Веб-узел позволяет включить (или отключить) средства ведения журнала для вашего сервера. По умолчанию эта настройка включена, с ее помощью администраторы могут отслеживать доступ к сайту браузеров клиентов. Регистрируемая информация может сохраняться в различных форматах:

    • Общий формат файла журнала NCSA. Создает файл в кодировке ASCII с разделителями-пробелами с предопределенным набором полей.
    • Ведение журнала ODBC. Фиксированный формат ведения журнала в базе данных.
    • Расширенный формат файла журнала W3C. Это настраиваемый формат журнала используется по умолчанию; создается ASCII-файл с разделителями-пробелами, причем набор полей определяется администратором.
    • Формат файла журнала Microsoft IIS. Создается файл фиксированного формата в кодировке ASCII.

    Новые регистрационные файлы IIS могут создаваться ежечасно, ежедневно, раз в неделю или раз в месяц, либо когда существующий регистрационный файл дорастает до некоторого заданного размера. По умолчанию файлы журнала хранятся в папке \%systemroot%\System32\LogFiles, но вы можете изменить эту настройку при помощи кнопки Обзор.

    Включение ведения журнала IIS в странице с вкладкой Веб-узел вовсе не означает, что будут регистрироваться посещения всех частей вашего сайта. Вы можете использовать флажок Запись в журнал на вкладке Домашний каталог диалогового окна web-узла, чтобы включить или отключить регистрацию доступа к содержимому, размещенному в домашнем каталоге узла. Посещения других каталогов и даже отдельных файлов вы можете отслеживать с помощью других вкладок.

    Вкладка Дополнительно позволяет настроить расширенные параметры журнала.

    Настройка производительности отдельных web-узлов выполняется на странице с вкладкой Быстродействие окна свойств сайта.

    В этой странице вы можете конфигурировать следующие настройки:

    • Ограничение пропускной способности. Вы можете включить и задать предел пропускной способности данного сайта в разделе Регулировка полосы пропускания. Это позволит установить приоритет доступа к определенным сайтам, расположенным на одном сервере.
    • Количество соединений с веб-сайтами. Вы можете ограничить общее количество одновременных подключений к веб-сайту. Для этого установите переключатель в положение не более и задайте значение, соответствующее количеству соединений.

    Вкладка Фильтры ISAPI.

    Фильтры ISAPI (Internet Server Application Programming Interface) являются дополнительными динамическими DLL-библиотеками, выполняющими специфические действия при обработке клиентских запросов HTTP службой IIS. При этой вкладки вы можете задать набор фильтров ISAPI и последовательность их обработки службой IIS. Фильтры, установленные на уровне web-узла, применяются только для выбранного web-узла. Фильтры, установленные на уровне сервера, применяются ко всем web-узлам сервера.

    Фильтры ISAPI осуществляют свои действия до того, как сервер фактически ответит на сам запрос HTTP. Вы можете, например, разработать фильтры ISAPI, выполняющие нестандартную аутентификацию, шифрование данных, запись информации о трафике в нестандартный регистрационный файл или для выполнения других задач.

    Вкладка Домашний каталог.

    На странице с вкладкой Домашний каталог можно указать местоположение содержимого, сопоставляемого домашнего каталога web-узла, чтобы задать полномочия доступа и другие настройки для каталога и web-приложений, реализованных в данном каталоге.

    Домашний каталог сайта задает местоположение содержимого, доступ к которому происходит при помощи URL вида

    где Имя_сайта является именем NetBIOS, IP-адресом или DNS-именем сайта, а Имя_файла — именем какой-либо страницы HTML, или файла с рисунком, или скрипта, или какого-нибудь другого файла из домашнего каталога сайта.

    Домашний каталог сайта можно задать с помощью переключателя Источник содержимого при подключении к ресурсу одним из следующих способов:

    • Как имя каталога, находящегося на локальном диске компьютера (положение Каталог данного компьютера).
    • Как UNC-путь к сетевому разделяемому ресурсу на файловом сервере (положение Общая папка другого компьютера).
    • Как перенаправление к URL, предлагающее клиенту, желающему получить доступ к содержимому, сопоставленному домашнему каталогу, соединиться с другим web-сервером, не обязательно сервером IIS (положение Постоянный адрес URL). Перенаправление может быть как временным, так и постоянным.

    Возможность перенаправлять доступ для домашнего каталога (или для любого виртуального каталога) к URL полезна, когда web-узел находится в процессе создания или когда он выключен из-за технического обслуживания или из-за обновления. IIS позволяет перенаправлять запрос к любому из файлов в домашнем каталоге к одному и тому же URL (например, к странице с объявлением «Идет техническое обслуживание. Сайт будет доступен через 15 минут») или к такому же файлу в сетевом каталоге (так можно перенаправлять клиентов к временному сайту-зеркалу). Можно также перенаправлять доступ к подкаталогу текущего домашнего каталога, если страница с объявлением о техобслуживании или зеркальное содержимое находятся на том же самом сервере.

    Постоянное перенаправление задавайте, только когда вы действительно планируете переместить содержимое сайта на другой сервер, т.к. некоторые браузеры, получив сообщение «Постоянное перенаправление»

    HTTP 301 Permanent Redirect

    могут действительно поменять ссылки в «Избранном» или в «Закладках». В результате, когда вы выключите перенаправление, клиенты все равно будут обращаться не к первоначальному, а к альтернативному сайту.

    Если вы зададите местоположение домашнего каталога как локального каталога или как сетевого разделяемого ресурса, то на странице с вкладкой Домашний каталог можно задать полномочия доступа и другие настройки для этого каталога.

    Если в качестве местоположения домашней страницы вы зададите перенаправление URL, то эти настройки будут недоступны. Возможны следующие настройки:

    • Доступ к тексту сценария. При установленном флажке пользователи могут получить доступ к исходному тексту скриптов (например, к ASP-файлам). Обратите внимание, что если вы не включите настройку Чтение или Запись, то данная настройка не будет иметь никакого действия. (При включении настройки Чтение пользователи смогут читать исходные тексты скриптов, а при включении настройки Запись — изменять скрипты.) Настройка Доступ к тексту сценария включается обычно при проектировании серверов, в которых создается содержимое. По умолчанию она выключена.
    • Чтение. Если установить этот флажок, пользователи смогут видеть содержимое каталога или файла и его свойства, такие как время создания и размер файла. По умолчанию настройка включена.
    • Запись. Если установить этот флажок, пользователи смогут изменять содержимое каталога или файла. Запись на сервер могут производить лишь те браузеры, которые поддерживают команду PUT (Поместить) протокола HTTP 1.1 (к ним относится Internet Explorer начиная с версии 4). По умолчанию настройка выключена.
    • Обзор каталогов. Если установить этот флажок, пользователи смогут видеть содержимое домашнего каталога в случаях, когда в ней нет принятой по умолчанию домашней страницы. Обычно эту настройку следует выключать (по умолчанию она выключена), чтобы скрыть структуру каталогов с содержимым от случайного просмотра пользователями, желающими войти туда, куда вы их пускать не желаете.
    • Запись в журнал. Если установить этот флажок, то, при каждом доступе клиента к любому из файлов в домашнем каталоге, в регистрационный файл будет добавляться запись. Заметьте, что, прежде чем эта настройка начнет работать, нужно установить флажок Вести журнал на странице с вкладкой Веб-узел. По умолчанию регистрация посещений домашнего каталога включена.
    • Индексация каталога. При установленном флажке Служба индексирования добавляет содержимое домашнего каталога к главному индексу. По умолчанию Служба индексирования устанавливается во время установки Windows Server 2003.

    Хотя полномочие Чтение и устанавливается для Веб-узла по умолчанию, но возможность доступа к содержимому конкретного web-узла зависит от множества условий.

    Если в качестве местоположения домашнего каталога указать локальный каталог или сетевой разделяемый ресурс, то на вкладке Домашний каталог можно задать настройки любого приложения, реализованного в данном каталоге.

    В качестве примера web-приложения можно привести набор ASP, работающих совместно и предоставляющих алгоритмические возможности для посетителей сайта. Настройки, которые вы можете pзадавать в области Параметры приложения:

    • Поле ввода Имя приложения. В поле задается уникальное имя приложения.
    • Исходная папка. Приложение может состоять из дерева каталогов и их содержимого. Вершина этого дерева и есть начальная точка приложения.
    • Разрешен запуск. При помощи этой настройки вы можете задать типы приложений, которые можно запускать в домашнем каталоге. Можно выбрать Ничего, Только сценарии или Сценарии и исполняемые файлы.
    • Группа приложений. Эта настройка позволяет вам выбрать группу приложений, связанных с данной домашней папкой.
    • Кнопка Настройка. Если нажать на эту кнопку, то откроется диалоговое окно Настройка приложения, в котором можно сконфигурировать опции для сопоставления приложения интерпретирующим его машинам скриптов или программам, для копирования приложений ISAPI (с целью повышения производительности); для задания сроков сеансов; для задания используемого по умолчанию языка скриптов ASP, для настроек отладки.

    Если вы зададите для каталога полномочие доступа Запись вместе с настройкой сценарии и исполняемые файлы, то возникнет угроза безопасности: пользователь, которому вы не доверяете, может получить возможность загрузить на сервер враждебную программу в исполняемом файле и произвести повреждения.

    На вкладке Документы окна свойств web-узла можно задать возможные имена файлов для стандартных документов домашнего каталога и порядок доступа к ним для браузера.

    По умолчанию задаются четыре файла в следующем порядке: Default.htm, Default.asp, index.htm и iisstart.htm. Например, если браузер пытается соединиться с Веб-узлом по умолчанию на сервере Win2003s.test.fio.ru при помощи URL http://Win2003s.test.fio.ru, то сервер сначала проверит, имеется ли в домашнем каталоге файл Default.htm. Если там есть такой файл, то он будет возвращен клиенту. Если такого файла нет, то сервер будет искать файл Default.asp. Этот процесс будет продолжаться до тех пор, пока не найдется файл или пока не закончится список документов, используемых по умолчанию. Вы можете задать дополнительные стандартные документы (например, Index.html) или убрать документы, уже имеющиеся в списке. Можно и вовсе отменить обращения к стандартным документам, в этом случае клиенты должны знать и указывать фактическое имя файла, к которому они хотят получить доступ на сервере, задавая, например, такие URL: http://Win2003s.test.fio.ru/NoDefault.htm.

    При помощи этой вкладки можно также задать имя файла нижнего колонтитула (написанного в формате HTML); нижний колонтитул должен добавляться в нижнюю часть каждого из файлов, доставляемых с сайта к клиенту. Колонтитулы позволяют дополнить нижнюю часть каждой страницы заявлением об авторских правах либо заявлением об отказе от авторских прав. Если для создания содержимого применяется FrontPage, то вы можете создавать сложные нижние колонтитулы для отображения такой информации, как дата последнего изменения файла, счетчик популярности и т. д.

    [newpage=Вкладка Безопасность каталога]

    Вкладка Безопасность каталога.

    На вкладке Безопасность каталога вы можете задать способ доступа к содержимому вашего сайта для анонимных пользователей:

    • полный,
    • ограниченный
    • через безопасные соединения HTTP.

    Анонимный доступ и проверка подлинности.

    Чтобы указать, нужна ли анонимным пользователям проверка подлинности (аутентификация) при доступе к вашему сайту, откройте диалоговое окно Методы проверки подлинности, щелкнув кнопку Изменить в области Управление доступом и проверка подлинности на вкладке Безопасность каталога. Это диалоговое окно используется для конфигурирования следующих настроек:

    • Анонимный доступ. Эта настройка определяет, разрешается ли анонимный доступ и какая при этом требуется пользовательская учетная запись. Стандартная анонимная учетная запись, созданная при установке IIS на сервере, имеет имя IUSR_ИмяСервера, где ИмяСервера является NetBIOS-именем сервера. При анонимном доступе пользователи имеют доступ к содержимому сайта при помощи своих web-браузеров и им не нужно предоставлять никаких полномочий для аутентификации. Этот метод аутентификации типичен для публичных web-узлов в Интернете. Другие методы аутентификации тем или иным способом позволяют определять пользовательские полномочия и применяются в основном для интрасетей, экстрасетей и закрытых сайтов Интернета.
    • Встроенная проверка подлинности Windows (или интегрированная аутентификация). Это новое название для настройки, которая раньше называлась Аутентификация вызов/ответ Windows NT (Windows NT Challenge/ Response Authentication), а еще раньше называлась NTLM (NT LAN Manager — Authentication). Для защиты аутентификации используется криптографический обмен без фактической передачи удостоверений через соединение. Пользователю не предлагается ввести свои удостоверения, а используются удостоверения, введенные при его текущем входе в систему. В интегрированной аутентификации Windows может также применяться аутентификация протокола Kerberos, если на сервере установлена Служба каталога Active Directory и если такая аутентификация поддерживается браузером клиента.
    • Краткая проверка для серверов доменов Windows. Этот новый метод аутентификации определен в спецификациях HTTP 1.1. Он поддерживается IIS 6.0 и может работать через брандмауэры и прокси-серверы. При этом методе через соединения передаются не сами удостоверения (credentials) пользователя, а хэш (hash) сообщения. Информация передается в незашифрованном виде, но она перемешана, поэтому ее декодирование существенно затруднено, что и обеспечивает защиту. Однако контроллеру домена, к которому поступает запрос на аутентификацию, требуется копия пользовательского пароля в виде открытого текста, поэтому необходимы дополнительные меры по защите контроллера домена.
    • Обычная. При использовании обычной (базисной) аутентификации клиент вводит свои удостоверения (credentials) в диалоговом окне, после чего удостоверения передаются через сетевое соединение без шифрования. Обычная аутентификация определяется первоначальными спецификациями протокола HTTP 1 и поддерживается почти всеми типами web-браузеров, в том числе самыми старыми. Если пользователи, посещающие ваш сайт, применяют старые браузеры, неспособные аутентифицироваться при помощи других методов, вам придется применять на своем сайте базисную аутентификацию, несмотря на уязвимость, присущую этому методу.
    • Проверка подлинности в системе .NET Passport. Данный метод использует технологию Microsoft Passport для аутентификации пользователей.

    Встроенная проверка подлинности Windows спроектирована для работы в основном в интрасетях и других внутренних сетях. Она не будет работать через прокси-соединения HTTP.

    Комбинирование различных способов проверки подлинности


    Рассмотрим последствия выбора более чем одного способа проверки подлинности (метода аутентификации) в диалоговом окне Методы проверки подлинности. Если вы выбрали сразу Анонимный доступ и какую-либо разновидность доступа с аутентификацией, например, Обычная, то сначала производится попытка анонимного доступа. При неудаче делается попытка доступа с аутентификацией. Неудача анонимного доступа может произойти, например, если полномочия NTFS для доступа к ресурсу явно запрещают доступ анонимных пользователей.

    Если вы выберете две или более разновидности доступа с аутентификацией, то сначала будут применяться наиболее защищенные формы. Например, попытка интегрированной аутентификации Windows будет предприниматься прежде попытки обычной аутентификации.

    Ограничения IP-адресов и имен доменов.

    На вкладке Безопасность каталога вы можете также ограничить доступ клиентов к web-узлу в зависимости от их IP-адреса или доменного DNS-имени.

    Ниже показано диалоговое окно Ограничение IP-адресов и имен доменов, доступ к которому производится из страницы с вкладкой Безопасность каталога.

    При помощи этого диалогового окна можно либо разрешить доступ к сайту всем клиентам, за исключением имеющих заданные в нем IP-адреса или доменные имена, либо запретить доступ всем клиентам, кроме имеющих заданные IP-адреса или доменные имена. Ограничения можно задавать одним из трех способов:

    • задать IP-адрес некоторого клиента;
    • задать идентификатор сети и маску подсети, представляющую диапазон IP-адресов;
    • задать DNS-имя некоторого домена.

    Заметьте, что последний способ существенно ухудшает производительность сервера, т.к. при его использовании для всех клиентов до получения разрешения соединиться необходим обратный поиск DNS.

    На вкладке Безопасность каталога (область Безопасные подключения) вы можете также разрешить использование соединений HTTP, защищенных при помощи протокола SSL, который применяется для шифрования web-трафика между клиентом и сервером. Шифрование при помощи SSL важно, если вы планируете использовать сервер для исполнения web-приложений, связанных с финансовыми операциями, или для хранения важной информации. Web-браузеры осуществляют доступ к защищенным серверам при помощи SSL, применяя URL, начинающиеся с https://, а не с http://.
    Протокол SSL основан на криптографии с открытым ключом, в которой идентификация и доверие к серверам (и клиентам) основываются на парах открытый/личный ключ, используемых для шифрования и расшифровки сообщений, что гарантирует защищенность и целостность передаваемой информации (другими словами, вы можете быть уверены, что сообщения приходят именно от тех, кто говорит, что послал их).
    Если вы хотите организовать работу с защищенными соединениями, нужно сначала установить доступ к сертификационному центру, способному выдать вашему серверу IIS необходимые ему сертификат сервера и пару ключей (открытый и личный). Для этого вы можете:

    • Воспользоваться доверяемым публичным сертификационным центром (например, VeriSign) и получить сертификат и пару ключей. Это решение подходит, если вы собираетесь использовать защищенные соединения для публичного сайта Интернета, размещенного на вашем сервере, или
    • Установить Службу сертификации на одном или нескольких серверах Windows Server 2003 вашего предприятия и завести свой собственный сертификационный центр. Это решение оптимально для организации защищенных соединений с сайтом приватной внутренней сети (интрасети), поддерживаемым вашим сервером.

    Чтобы разрешить применение SSL, нужно сначала сгенерировать файл запроса сертификата и «подать на рассмотрение» этот файл в сертификационный центр. Сертификат сервера содержит связанный с ним открытый ключ и используется для проверки подлинности сервера и для установления защищенных соединений.

    Чтобы получить сертификат сервера, выполните описанные ниже действия. В нашем примере запрашивается сертификат сервера для Веб-узла по умолчанию на сервере Win2003s.test.fio.ru, а Служба сертификации работает на контроллере домена dc1. fio.ru. Сертификационный центр для нашего предприятия fio.ru будет иметь имя Fio.

      В странице окна свойств Веб-узла по умолчанию с вкладкой Безопасность каталога щелкните кнопку Сертификат. Запустится Мастер сертификатов веб-сервера.

    Щелкните кнопку Далее. Выберите Создание нового сертификата.

    Щелкните кнопку Далее. Если вы хотите «подать на рассмотрение» файл запроса публичному сертификационному центру, то выберите Подготовить запрос сейчас, чтобы отправить его позднее. В этом случае позднее вам нужно будет установить или присоединить на вашем сервере сертификат, который вы получите от сертификационного центра. А если вы хотите сразу сделать запрос, получить и присоединить сертификат, подав запрос непосредственно в сертификационный центр своего предприятия, то выберите Немедленно отправить запрос в локальную службу сертификации. Сейчас выберите второй вариант.

    Щелкните кнопку Далее. Задайте понятное имя для сертификата (в нашем примере — Веб-узел по умолчанию) и длину в битах, определяющую силу шифровального ключа (512 или 1024 бит).

    Щелкните кнопку Далее. Задайте в вашем сертификате название организации и имя организационной единицы. Затем щелкните кнопку Далее.

    Задайте обычное имя вашего сайта. Если ваш сайт является публичным сайтом Интернета, то используйте полностью квалифицированное DNS-имя сайта. Если сайт используется внутри офисной сети, достаточно указать NetBIOS-имя компьютера. В нашем примере в качестве обычного имени Веб-узла по умолчанию мы используем Win2003s.

    Щелкните кнопку Далее. Укажите город, штат и страну. Используйте официальные названия и не используйте сокращений (за исключением двухбуквенных кодов стран).

    Щелкните кнопку Далее. Укажите имя файла в котором будет сохранен запрос на сертификацию. Можно оставить имя файла созданное мастером по умолчанию.

    Затем щелкните кнопку Далее.

    Подтвердите введенную информацию и щелкните кнопку Далее.

  • После нажатия кнопки Готово мастер закончит свою работу.
  • Как только сертификат сервера будет установлен на вашем web-узле, вы сможете посмотреть информацию о нем, для чего нужно щелкнуть кнопку Просмотр на вкладке Безопасность каталога.

    Для завершения подключения протокола SSL для сайта Веб-узел по умолчанию на сервере Win2003s.test.fio.ru выполните следующие действия:

    • Перейдите на вкладку Веб-узел окна свойств узла Веб-узел по умолчанию и убедитесь, что в качестве порта SSL задан порт 443 (используемый SSL по умолчанию). (При помощи кнопки Дополнительно вы можете сконфигурировать и другие параметры идентификации SSL для сайта)
    • Снова перейдите к странице с вкладкой Безопасность каталога и щелкните кнопку Изменить, находящуюся в области Безопасные подключения. Откроется диалоговое окно Безопасные подключения.
  • Установите флажок Требуется безопасный канал (SSL) и щелкните кнопку ОК, чтобы завершить конфигурирование SSL для сайта Веб-узел по умолчанию (Другие настройки, имеющиеся в этом диалоговом окне, обсуждаются в разделе «Настройка защищенных соединений»). Для применения настроек снова щелкните кнопку ОК.
  • Проверьте защищенные соединения: в Internet Explorer откройте URL http://Win2003s.test.fio.ru. В дереве консоли IIS выберите Веб-узел по умолчанию, щелкните кнопку Действие и выберите Обзор в раскрывающемся меню.
  • Internet Explorer попытается открыть домашнюю страницу http://Win2003s.test.fio.ru, принятую по умолчанию, но в результате появится сообщение «The page must be viewed over a secure channel» («Эта страница должна просматриваться через защищенный канал»). Введите измененный URL — https://Win2003s.test.fio.ru.
  • Может появиться диалоговое окно, сообщающее, что вы сейчас увидите страницы через защищенное соединение.
  • Если окно появится, то щелкните кнопку ОК. Должна открыться домашняя страница Default.htm.
  • Настройка безопасных подключений

    Безопасные подключения можно использовать не только для того, чтобы включить SSL с использованием сертификата сервера, установленного на компьютере с IIS, но и чтобы:

    • Указать, что соединения SSL будут использовать сильное 128-битное шифрование
    • Указать, каким способом следует обрабатывать сертификаты клиентов. Клиентские сертификаты удостоверяют идентичность клиентов и обычно используются дистанционными пользователями, нуждающимися в защищенном доступе к корпоративной внутренней сети через незащищенные соединения Интернета. Вы можете задать игнорирование, принятие или необходимость клиентских сертификатов для соединений SSL.
    • Включить отображение клиентских сертификатов. Эта возможность позволяет администраторам создать отображение между пользовательскими учетными записями Windows Server 2003 и клиентскими сертификатами, благодаря чему пользователи, имеющие соответствующие клиентские сертификаты, смогут автоматически аутентифицироваться и входить в сеть.
    • Включить список доверенных сертификатов. Список доверенных сертификатов — это принятый список сертификационных центров, которые рассматриваются данным web-узлом как надежные. Списки доверенных сертификатов создаются при помощи Мастера списков доверия сертификатов, для запуска которого нужно щелкнуть кнопку Создать в нижней части диалогового окна Безопасные подключения.

    [newpage=Вкладка Заголовки HTTP]

    Вкладка Заголовки HTTP.

    На вкладке Заголовки HTTP окна свойств web-узла вы можете:

    • задействовать работу с истечением срока годности содержимого (content expiration) для данного сайта;
    • задать нестандартные заголовки HTTP, возвращаемые сервером клиентам в ответ на запросы HTTP;
    • включить и задать рейтинги содержимого Консультативного Совета по развлекательному программному обеспечению (RSAC, Recreational Software Advisory Council);
    • задать дополнительное сопоставление MIME для данного web-узла.

    Истечение срока годности содержимого

    Если вы разрешаете на сайте применение срока годности содержимого, то при запросе клиентом файла с этого сайта сервер возвращает заголовки HTTP с информацией о дате истечения срока годности содержимого. После этого клиент может решить, следует ли ему скачать более новую версию файла или же использовать имеющуюся копию из кэша браузера клиента.

    Если ваш сайт содержит часто меняющуюся информацию (например, ежечасные новости), то вы можете принудить клиента забирать с сервера только свежие копии файлов (и никогда не использовать кэшированные версии файлов) при помощи переключателя Содержимое веб-узла должно: (положение истекает немедленно).

    Специальные заголовки HTTP

    Эта возможность, понятная лишь знатокам, позволяет определять нестандартные заголовки HTTP, возвращаемые сервером в ответ на запросы HTTP клиентов. Это средство можно применять для работы брандмауэров и прокси-серверов; с его помощью можно включать или отключать некоторые функциональные возможности сеансов HTTP.

    Оценка содержимого (рейтинг содержимого) используется, чтобы включить и задать рейтинги содержимого Консультативного Совета по развлекательному программному обеспечению (RSAC). При помощи настроек можно задать рейтинг сайта относительно насилия, секса и словесного содержимого; эти рейтинги используются на сайтах, содержащих материалы, нежелательные для просмотра детьми.

    Глобальное сопоставление MIME для сервера IIS обсуждалось в разделе, посвященном администрированию на уровне сервера. При администрировании на уровне сайта вы можете задать дополнительное сопоставление MIME, относящееся к конкретному web-узлу.

    Вкладка Специальные ошибки.

    Благодаря вкладке Специальные ошибки вы можете задать способ, при помощи которого ваш сервер будет генерировать сообщения об ошибках HTTP при попытках пользователей осуществлять доступ к заданному web-узлу. По спецификации HTTP первая строка заголовка, возвращаемая web-сервером в ответ на запрос клиента, должна содержать число и связанное с ним сообщение, обозначающее статус запроса.

    Эти трехзначные числа называются кодами статуса HTTP и классифицируются на несколько категорий:

    1. от 200 до 299. Произошла успешная транзакция HTTP. (Самый обычный код статуса — 200 ОК).

    2. от 300 до 399. Произошло перенаправление к другому URL.

    3. от 400 до 499. Произошла ошибка. Вот примеры ошибок:

    • 400 Bad Request (Плохой запрос). Сервер не может понять синтаксис запроса.
    • 401 Unauthorized (Нет авторизации). Удостоверения пользователя не позволяют ему войти в систему на сервер.
    • 403 Forbidden (Запрещено). По какой-то причине, отличной от удостоверений для входа, доступ запрещен (например, для данного клиента применено ограничение по IP-адресу или для доступа к этому серверу необходимо использовать SSL).
    • 404 File Not Found (Файл не найден). Файл, к которому производится попытки доступа, не существует на сервере (или перемещен в другое место, или переименован).
    • от 500 до 599. Произошла ошибка сервера или запрашиваемая функциональная возможность не реализована.

    IIS сконфигурирована так, чтобы возвращались не коды статуса HTTP (от 400 до 499) с краткими сообщениями, а созданные заранее страницы HTML, содержащие более подробную информацию. Эти «файлы ошибок» находятся на сервере в папке \%systemroot%\help\iishelp\common и вы, если хотите, можете их изменять. А можно поступить по-другому: выбрать один из этих «файлов ошибок» в странице с вкладкой Специальные ошибки и щелкнуть кнопку Изменить. Теперь вы можете задать, чтобы при возникновении ошибок сервер возвращал либо стандартные коды статуса и сообщения HTTP, либо любой предназначенный для этого файл, расположенный или в локальной папке, или в сетевом разделяемом ресурсе. В файлы с сообщениями об ошибках можно, например, поместить какие-либо элементы, помогающие клиентам найти нужную им страницу. B IIS применяются более подробные сообщения об ошибках, нежели предусмотренные спецификацией HTTP. Например, код ошибки HTTP 401, означающий в HTTP просто отсутствие авторизации, представлен в IIS группой кодов от 401.1 до 401.5, соответствующих различным причинам отказа сервера принять удостоверения клиента.

    Вкладка Server Extensions 2002.

    Вкладка Server Extensions 2002 позволяет перейти к настройке серверных расширений FrontPage, о которых говорилось ранее. Что бы открыть окно установок FrontPage Server Extensions, нажмите кнопку Settings.

    [newpage=Основные свойства FTP]

    Работа с FTP-узлами.

    Четыре уровня администрирования IIS, применяемые к Службе веб-публикаций, используются также во второй основной службе в составе IIS — Службе FTP-публикаций. Поскольку администрирование серверов, сайтов, каталогов и файлов у этих служб сходно.

    Основные свойства FTP.

    Помимо обычных задач уровня сервера (при которых происходит соединение с сервером IIS и администрирование его служб, резервное копирование и восстановление конфигурации сервера и ограничение суммарной пропускной способности, используемой всеми действиями IIS на компьютере) IIS позволяет также производить глобальное конфигурирование главных свойств для всех FTP-узлов, уже имеющихся на вашем сервере, и новых FTP-узлов, которые могут быть созданы в будущем.
    Чтобы сконфигурировать главные свойства службы FTP для какого-либо сервера, выберите в дереве консоли IIS узел, представляющий сервер, щелкните кнопку Действие в панели инструментов и в меню выберите Свойства.

    Это окно свойств имеет пять вкладок, применяемых для конфигурирования используемых по умолчанию глобальных настроек существующих FTP-узлов. Все новые FTP-узлы, создаваемые на данном компьютере, будут наследовать эти настройки. Обратите внимание, что на данном уровне некоторые настройки недоступны, потому что они могут применяться не ко всем FTP-узлам сразу, а лишь к отдельным FTP-узлам. Например, IP-адрес на вкладке FTP-узел не может настраиваться глобально, потому что оно специфичен для каждого из FTP-узлов.

    Из этих шести вкладок окна свойств FTP для уровня сервера уникальна лишь вкладка Служба. Эта вкладка выполняет задачи, аналогичные задачам вкладки Служба окна основных свойств службы WWW: она позволяет задать на вашем компьютере IIS отдельный FTP-узел, с которым можно работать при помощи Диспетчера служб Интернета, входящего в состав IIS 3 в Windows NT. Остальные четыре вкладки одинаковы для уровня сервера и уровня сайта.

    Настройка свойств FTP-узла.

    Свойства конкретного FTP-узла на уровне узла идентичны свойствам на уровне сервера.

    В данном разделе мы рассмотрим различные настройки, которые вы можете конфигурировать для отдельного FTP-узла при помощи окна свойств. Помните, что настройки уровня узла для вновь создаваемых FTP-узлов наследуются из заданных ранее главных свойств (для уровня сервера), тогда как изменение настроек на уровне узла «затаптывает» аналогичные настройки, сконфигурированные на уровне сервера. В наших примерах мы будем использовать свойства FTP-узла по умолчанию.

    Как и свойства web-узлов для администрирования на уровне сайта, свойства FTP-узла позволяют задавать идентификацию FTP-узла, конфигурировать соединения и включать регистрацию событий. Настройки для соединений и регистрации работают так же, как настройки свойств web-узлов, поэтому мы не будем их рассматривать. Мы изучим настройку идентификации сайта и кнопку для просмотра текущих сеансов.

    Подобно web-узлам, каждый FTP-узел, размещенный на компьютере с IIS, должен иметь уникальную идентификацию, чтобы клиенты FTP могли соединяться с ним и скачивать или закачивать файлы. Однако, в отличие от web-узлов, в FTP используются два (а не три) параметра для идентификации FTP-узла, а именно, IP-адрес и номер порта TCP.
    Идентификация FTP-узла задается в странице окна свойств заданного FTP-узла с вкладкой FTP-узел. Чтобы FTP-узлы на одном и том же компьютере имели бы уникальные идентификации, они должны отличаться друг от друга хотя бы одним параметром идентификации. Другими словами, чтобы иметь на одном сервере несколько FTP-узлов, вы можете воспользоваться одним из следующих методов:

    • Сконфигурируйте несколько IP-адресов для сетевой платы сервера и выберите разные IP-адреса для каждого из FTP-узлов, не меняя в каждом сайте установку порта TCP на 21 (21 — стандартный порт TCP для протокола FTP). Клиенты смогут соединяться с нужными сайтами, используя либо IP-адрес сайта, либо его полностью квалифицированное DNS-имя (если в сети доступен сервер DNS или если на клиенте сконфигурирован файл локальных хостов). Этот метод предпочтителен для публичных FTP-узлов, поскольку он наиболее прост для соединения со стороны пользователей;
    • Сконфигурируйте только один IP-адрес для сетевой платы сервера и применяйте этот IP-адрес для каждого из FTP-узлов, задав им разные порты TCP (с номерами, большими 1023). В этом случае пользователи, чтобы иметь возможность соединяться с сайтами, должны знать их порты TCP. Этот метод применяется иногда, чтобы скрыть от просмотра приватные FTP-узлы (хотя, как вы вскоре увидите, характерным свойством протокола FTP является его низкая защищенность).

    При помощи кнопки Текущие сеансы на странице с вкладкой FTP-узел вы можете открыть диалоговое окно FTP-сеансы для данного узла. В этом окне можно посмотреть, какие пользователи в данный момент имеют соединение с сайтом, IP-адреса их клиентов (или вашего прокси-сервера, если они действуют из пределов вне вашего брандмауэра) и время, прошедшее с момента их подключения. Вы можете выбрать любого из пользователей и отсоединить его от вашего сайта, а можно нажать на Отключить всех и завершить все сеансы на вашем сайте.

    На рисунке показано соединение с анонимными пользователями, соединившимися с сайтом FTP-узел по умолчанию при разрешенном анонимном доступе. Пользователь IEUser@ осуществляет доступ к сайту, открыв в Internet Explorer URL ftp://Win2003s.test.fio.ru, тогда как пользователь mtulloch@fio.ru применил утилиту командной строки Windows для FTP и вошел в систему с пользовательским именем anonymous и произвольным (но необязательным) паролем, что равнозначно пользовательскому адресу электронной почты mtulloch@fio.ru. С другой стороны, если пользователь входит в систему с помощью базисной идентификации, которая будет описана ниже, диалоговое окно FTP-сеансы покажет имя этого пользователя в колонке Подключено пользователей.

    Вкладка Безопасные учетные записи.

    Вкладка Безопасные учетные записи окна свойств FTP-узла похожа на вкладку Безопасность каталога окна свойств web-узла. Операторы FTP-узлов имеют ограниченные права на администрирование, аналогичные обсуждавшимся ранее правам операторов на администрирование web-узлов. Однако для службы FTP контроль аутентификации организован гораздо проще. В то время как служба WWW поддерживает четыре уровня аутентификации (анонимную, обычную, дайджестную и интегрированную Windows) и возможность применения SSL для шифрования передачи данных, FTP поддерживает лишь два метода аутентификации: анонимную и обычную.

    На вкладке Безопасные учетные записи присутствуют два флажка — Разрешить анонимные подключения и Разрешить только анонимные подключения.

    В таблице ниже показано, как различные варианты установки флажков влияют на возможности анонимного доступа и базисной аутентификации. Если вы разрешаете анонимный доступ, то для IIS необходима пользовательская учетная запись, при помощи которой будет производиться такой доступ. По умолчанию задается учетная запись IUSR_ИмяСервера, но вы, если хотите, можете задать и другую учетную запись. (Убедитесь, что пользователь имеет право входить в систему локально на консоли сервера, т.к. это необходимо для работы базисной аутентификации.) Затем вы можете задать либо ручной ввод пароля, либо разрешить IIS синхронизировать пароль с паролем, установленным в Windows.

    Флажок Разрешить анонимные подключения

    Флажок Разрешить только анонимные подключения

    Iis администрирование с нижнего уровня

    Опубликовано: Февраль 2012 г.

    Обновлено: Февраль 2012 г.

    Назначение: Windows Server 2012, Windows Server 2012 R2

    Можно настроить ведение журналов на веб-сервере или веб-сайте, записывающем информацию о HTTP-запросах и ошибках. Сведения в журнале могут помочь провести диагностику или оптимизацию веб-сайта.

    Выберите одну или несколько из следующих процедур, чтобы настроить ведение журнала согласно вашим нуждам.

    Это руководство было составлено и протестировано для следующих операционных систем:

      Windows Server® 2012 R2

    Windows Server® 2012

    Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

    Откройте диспетчер IIS.

      Для Windows Server 2012 на странице Запуск щелкните плитку Диспетчер серверов и нажмите кнопку ОК. В Диспетчере серверов откройте меню Сервис и выберите пункт Диспетчер служб Internet Information Services (IIS).

    Для Windows 8 на странице Запуск введите панель управления и щелкните значок Панель управления в области результатов поиска. На экране Панель управления щелкните Система и безопасность, щелкните значок Администрирование, а затем выберите Диспетчер Internet Information Services (IIS).

    В древовидном представлении Подключения выберите ваш веб-сайт.

    В представлении Просмотр возможностей дважды щелкните Ведение журнала.

    На странице Ведение журнала в пункте Файл журнала раздела Формат выберите один из следующих форматов файлов журналов:

      IIS: использовать файл журнала в формате Microsoft IIS для записи сведений о сайте. Этот формат обрабатывается HTTP.sys и имеет фиксированный текстовый формат ASCII, что означает, что нельзя настраивать поля, которые записываются в журнал. Поля разделены запятыми, и время регистрируется по местному времени. Дополнительные сведения о формате файла журнала IIS см. в разделе Формат файла журнала IIS (IIS 6.0).

    NCSA: использование файлов журнала общего формата Национального центра сверхмощных вычислений (NCSA) для регистрации сведений об узле. Этот формат обрабатывается HTTP.sys и имеет фиксированный текстовый формат ASCII, что означает, что нельзя настраивать поля, которые записываются в журнал. Поля разделяются пробелами, и время регистрируется по местному времени с указанием смещения относительно времени UTC. Дополнительные сведения о формате файла журнала NCSA см. в разделе Формат файла журнала NCSA (IIS 6.0).

    W3C: использование централизованного формата файла журнала W3C для записи сведений обо всех сайтах на сервере. Этот формат обрабатывается HTTP.sys и имеет настраиваемый текстовый формат ASCII, что означает, что можно указать поля, которые записываются в журнал. Укажите поля, которые записываются в журнал, в диалоговом окне Поля ведения журнала W3C, нажав кнопку Выбрать поля на странице Ведение журнала. Поля разделяются пробелами, и время регистрируется по времени UTC. Дополнительные сведения о формате файла журнала W3C см. в разделе Формат файла журнала W3C (IIS 6.0).

    Примечание
    В Windows Server 2012 R2 и более поздней версии можно записывать данные журнала в файл журнала, данные трассировки событий для Windows (ETW) или сведения обоих типов. Дополнительные сведения о ETW см. в разделе Трассировка событий.

    Настраиваемые: использование настраиваемого формата для пользовательского модуля ведения журнала. При выборе этого варианта страница Ведение журнала становится недоступной, так как настраиваемое ведение журнала нельзя настроить в Диспетчер IIS. Дополнительные сведения о том, как использовать настраиваемые форматы файлов журнала, см. в разделе Пользовательские модули ведения журнала (IIS 6.0).

    В разделе Каталог укажите путь для хранения файла журнала. Путь по умолчанию — %SystemDrive%\inetpub\logs\LogFiles

    Примечание
    Рекомендуется хранить файлы журнала, например журналы трассировки неудачных запросов, в каталоге, не являющемся системным корневым каталогом systemroot.

    В разделе Смена файлов журнала выберите один из следующих вариантов.

      Расписание: создание нового файла журнала на основании одного из следующих значений.

    Каждый час: новый файл журнала создается каждый час.

    Ежедневно: новый файл журнала создается каждый день.

    Еженедельно: новый файл журнала создается каждую неделю.

    Ежемесячно: новый файл журнала создается ежемесячно.

    Максимальный размер файла (в байтах): новый файл журнала создается при достижении файлом определенного размера (в байтах). Минимальный размер файла — 1048576 байт. Если для этого атрибута задано значение меньше, чем 1048576 байт, по умолчанию подразумевается значение, равное 1048576 байтам.

    Не создавать новый файл журнала: имеется один файл журнала, размер которого продолжает увеличиваться по мере записи новых данных.

    Выберите Использовать местное время в имени файла , чтобы при смене файла журнала назначать новому файлу имя и время в соответствии с временем на локальном сервере. Если этот параметр не выбран, используется время в формате UTC.

    Примечание
    Независимо от этого параметра в метках времени текущего файла журнала будет использоваться формат времени, соответствующий выбранному в списке Формат формату журнала. Например, в форматах файлов журнала NCSA и W3C для меток времени используется формат времени UTC.

    Щелкните Применить в области Действия.

    Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

    В дереве представления Подключения диспетчера IIS выберите веб-сервер.

    В представлении Просмотр возможностей дважды щелкните Ведение журнала.

    На странице Ведение журнала в разделе Один файл журнала для каждого узла выберите Узел в раскрывающемся списке. По умолчанию выбран параметр Узел.

    Выполните эту процедуру, следуя инструкциям для уровня узла и начав с шага 4.

    Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

    В дереве представления Подключения диспетчера IIS выберите веб-сервер.

    В представлении Просмотр возможностей дважды щелкните Ведение журнала.

    На странице Ведение журнала в разделе Один файл журнала для каждого узла выберите Сервер в раскрывающемся списке. По умолчанию выбран параметр Узел.

    Выполните эту процедуру, следуя инструкциям для уровня узла и начав с шага 4.

    Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

    В представлении Просмотр возможностей диспетчера IIS дважды щелкните Ведение журнала.

    На странице Ведение журнала в разделе Файл журнала области Формат щелкните Выбрать поля.

    В диалоговом окне Поля ведения журнала W3C выберите один или несколько из следующих вариантов:

      Дата (date): дата запроса.

    Время (time): время запроса в формате UTC.


    IP-адреса клиента (c-ip): IP-адрес клиента, выполнившего запрос.

    Имя пользователя (cs-username): имя пользователя, прошедшего проверку подлинности и осуществившего доступ к серверу. Анонимные пользователи обозначаются дефисом.

    Имя службы (s-sitename): номер экземпляра сайта, который выполнил запрос.

    Имя сервера (s-computername): имя сервера, на котором была создана запись файла журнала.

    IP-адрес сервера (s-ip): IP-адрес сервера, на котором была создана запись файла журнала.

    Порт сервера (s-port): номер порта сервера, настроенный для службы.

    Метод (cs-method): запрошенное действие, например метод GET.

    Ресурс URI (cs-uri-stem): универсальный идентификатор ресурса (или целевой объект) действия.

    Запрос URI (cs-uri-query): запрос (если таковой имеется), который пытался выполнить клиент. Запрос универсального кода ресурса (URI) требуется только для динамических страниц.

    Состояние протокола (sc-status): код состояния HTTP или FTP.

    Подчиненное состояние протокола (sc-substatus): код подчиненного состояния HTTP или FTP.

    Состояние Win32 (sc-win32-status): код состояния Windows.

    Отправлено байт (sc-bytes): количество байт, отправленных сервером.

    Получено байт (cs-bytes): количество байт, полученных сервером.

    Затраченное время (time-taken): количество времени, затраченное на выполнение действия (в миллисекундах).

    Версия протокола (cs-version): версия протокола HTTP или FTP, используемая клиентом.

    Узел (cs-host): имя узла, если оно существует.

    Агент пользователя (cs(UserAgent)): тип браузера, используемый клиентом.

    Файл cookie (cs(Cookie)): содержимое отправленного или полученного файла cookie, если таковое имеется.

    Сайт последнего посещения (cs(Referer)): последний сайт, который был посещен пользователем. Этот сайт содержит ссылку на текущий сайт.

    Примечание
    В Windows Server 2012 R2 и более поздних версиях можно указать дополнительные настраиваемые поля для записи в журнал из заголовков запроса и ответа HTTP, а также из переменных сервера. Чтобы добавить настраиваемые поля, выберите Добавить поле в диалоговом окне Поля ведения журнала W3C. Расширенное ведение журнала доступно только для ведения журнала на уровне узла. Если выбрано ведение журнала на уровне сервера, команда Добавить поле отключена. Обратите внимание, что если общий размер заданных настраиваемых полей превышает 64 КБ, регистрируемое содержимое обрезается до размера 64 КБ.

    Щелкните Применить в области Действия.

    Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

    В представлении Просмотр возможностей диспетчера IIS дважды щелкните Ведение журнала.

    На странице Ведение журнала в разделе Смена файла журнала выберите один из следующих вариантов.

      Расписание: создание нового файла журнала на основании одного из следующих значений.

    Каждый час: новый файл журнала создается каждый час.

    Ежедневно: новый файл журнала создается каждый день.

    Еженедельно: новый файл журнала создается каждую неделю.

    Ежемесячно: новый файл журнала создается ежемесячно.

    Максимальный размер файла (в байтах): новый файл журнала создается при достижении файлом определенного размера (в байтах). Минимальный размер файла — 1048576 байт. Если для этого атрибута задано значение меньше, чем 1048576 байт, по умолчанию подразумевается значение, равное 1048576 байтам.

    Не создавать новый файл журнала. Этот параметр означает, что имеется один файл журнала, размер которого продолжает увеличиваться по мере записи новых данных. Если для узла используется один файл журнала, это упрощает работу со средствами анализа журналов, однако большой размер файла журнала может снизить производительность сервера.

    Выберите Использовать местное время в имени файла , чтобы при смене файла журнала назначать новому файлу имя и время в соответствии с временем на локальном сервере. Если этот параметр не выбран, используется время в формате UTC.

    Примечание
    Независимо от этого параметра в метках времени текущего файла журнала будет использоваться формат времени, соответствующий выбранному в списке Формат формату журнала. Например, в форматах файлов журнала NCSA и W3C для меток времени используется формат времени UTC.

    Щелкните Применить в области Действия.

    Курс 10972В: Администрирование веб — сервера Microsoft IIS

    Курсы Windows Server 2020

    Этот курс в нашем Центре
    успешно закончили
    5752 человек!

    10972B: Administering the Web Server (IIS) Role of Windows Server

    Internet Information Services (IIS) – серверная служба в Windows Server, решающая весь спектр задач, связанных с работой веб-сайтов и веб-приложений.

    Курс полностью охватывает весь спектр задач, связанных с эксплуатацией сервера IIS в Windows Server 2012 R2. Особое внимание уделяется защите веб-коммуникаций и управлению инфраструктурой веб-сайтов и серверов.

    Курс предназначен для разработчиков веб-приложений на платформе Windows и администраторов Windows-серверов и сетей.

    Скидка до 60% всем слушателями и выпускникам Центра «Специалист» на курсы английского языка.

    Скидка не суммируется с программой «Резерв» и другими скидками Центра «Специалист».

    По окончании курса Вы будете уметь:

    • Установка, настройка и эксплуатация сервера IIS
    • Защита веб-приложений и сайтов
    • Управление фермой веб-серверов

    Специалисты, обладающие этими знаниями и навыками, в настоящее время крайне востребованы. Большинство выпускников наших курсов делают успешную карьеру и пользуются уважением работодателей.

    Продолжительность курса — 40 ак. ч.

    Преподаватели курса

    Отзывы о курсе

    Cлушатель: Самошкин Дмитрий Анатольевич

    Cлушатель: Щукина Ольга Вячеславовна

    Предварительная подготовка

    Требуемая подготовка: Знакомство с Windows Server.

    Рекомендуемая подготовка (необязательная): Успешное окончание курса Курс 20411D: Администрирование Windows Server 2012 R2 или эквивалентная подготовка.

    Требуемая подготовка: «Английский язык. Уровень 2. Elementary, часть 2», или эквивалентная подготовка. Определить уровень владения языком Вам поможет тест: http://www.specialist.ru/test/599

    Получить консультацию о необходимой предварительной подготовке по курсу Вы можете у наших менеджеров: +7 (495) 232-32-16.

    Наличие предварительной подготовки является залогом Вашего успешного обучения. Предварительная подготовка указывается в виде названия других курсов Центра (Обязательная предварительная подготовка). Вам следует прочитать программу указанного курса и самостоятельно оценить, есть ли у Вас знания и опыт, эквивалентные данной программе. Если Вы обладаете знаниями менее 85-90% рекомендуемого курса, то Вы обязательно должны получить предварительную подготовку. Только после этого Вы сможете качественно обучиться на выбранном курсе.

    Рекомендуемые курсы по специальности

    Чтобы стать профессионалом, мы рекомендуем Вам вместе с этим курсом изучить:

    Программа курса

    Тема Ак. часов
    Модуль 1. Обзор и установка IIS
    • Инфраструктура веб-сервера
    • Установка сервера IIS
    4 Модуль 2. Настройка веб-сайта по умолчанию
    • Веб-сайт по умолчанию
    • Файловая структура веб-сервера
    • Настройка DNS-записей для веб-сайтов
    • Создание виртуальных каталогов
    3 Модуль 3. Настройка и обслуживание пулов приложений
    • Архитектура пулов приложений
    • Создание и управление пулами приложений
    • Настройка перезапуска пула приложений
    3 Модуль 4. Создание дополнительных веб-сайтов
    • Работа нескольких сайтов на одном веб-сервере
    • Проверка и настройка привязки веб-сайтов
    • Создание новых веб-сайтов
    3 Модуль 5. Настройка веб-сайтов и поддержка веб-приложений
    • Настройка базовой функциональности
    • Добавление поддержки веб-приложений
    3 Модуль 6. Защита веб-сайтов и приложений
    • Настройка доступа к веб-серверам, сайтам и приложениям
    • Настройка аутентификации и разрешений
    • Правила URL-авторизации
    3 Модуль 7. Защита передачи данных
    • Сертификаты и SSL
    • Создание сертификатов для веб-сервера
    • Добавление сертификатов к сайту
    3 Модуль 8. Управление сертификатами в централизованном хранилище
    • Преимущества централизованного хранения сертификатов
    • Установка и настройка хранилища сертификатов
    3 Модуль 9. Настройка удалённого администрирования
    • Установка и настройка управляющей службы
    • Подключение к удалённым серверам и веб-сайтам
    • Делегирование доступа
    3 Модуль 10. Настройка FTP
    • Развёртывание FTP-сайтов
    • Настройка FTP-сайтов
    3 Модуль 11. Наблюдение за IIS
    • Мониторинг журналов при помощи утилиты Log Parser
    3 Модуль 12. Резервное копирование и восстановление
    • Механизмы резервного копирования и восстановления
    • Создание резервной копии веб-сайта
    • Восстановление веб-сайта
    3 Модуль 13. Построение фермы с балансировкой нагрузки
    • Механизм балансировки нагрузки
    • Построение балансирующей фермы при помощи ARR
    • Организация доступа к содержимому веб-фермы с использованием сетевой папки
    • Организация доступа к содержимому веб-фермы с использованием репликации DFS-R
    • Хранение конфигурации IIS в ферме
    3 Аудиторная нагрузка в классе с преподавателем 40 +20
    бесплатно
    По окончании обучения на курсе проводится итоговая аттестация. Аттестация проводится в виде теста на последнем занятии или на основании оценок практических работ, выполняемых во время обучения на курсе.

    По данному курсу бесплатно предоставляются дополнительные часы для самостоятельной работы в компьютерных классах Центра, где проводятся занятия. Вы можете закрепить полученные знания, выполнить домашние задания, проконсультироваться у специалистов Центра. Дополнительные часы предоставляются в дни занятий по предварительному согласованию с администратором комплекса.

    • утренним группам с 8:30 до 10:00
    • дневным группам — по 1 ак.ч. до и после занятий (13.15-14.00, 17.10-17.55)

    Ближайшие группы

    Данный курс вы можете пройти как в очном формате, так и дистанционно в режиме онлайн. Чтобы записаться на онлайн-обучение, в корзине измените тип обучения на «онлайн» и выберите удобную для вас группу.
    Чем онлайн-обучение отличается от других видов обучения?

    Iis администрирование с нижнего уровня

    Цель работы: установить службу IIS и настроить новый Web-узел и виртуальный каталог.

    Упражнение 1. Установка IIS

    1. Откройте приложение Добавление и удаление программ (Add Or Remove Programs) в Панели управления и щелкните Установка компонентовWindows(Add/RemoveWindowsComponents).
    2. Щелкните Сервер приложений (ApplicationServer), а затем Состав (Details).
    3. Отметьте СлужбыIIS [Internet Information Services (IIS)] и щелкните Состав(Details).
    4. Убедитесь, что (как минимум) установлены флажки Общиефайлы(Common Files) СлужбаFTP [File Transfer Protocol (FTP) Service], СлужбаWWW (World Wide WebService) и ДиспетчерслужбIIS (Internet Information Services Manager).
    5. Завершите установку.

    Упражнение 2. Подготовка образца содержимого Webузла

    1. Создайте папку ContosoCorp на диске С:.
    2. Откройте Блокнот (Notepad) и создайте файл с текстом «Welcome to Contoso». Сохраните этот файл под именем «C:\ContosoCorp\Default.htm», не забыв заключив имя файла в кавычки.
    3. Создайте второй файл с текстом «This is the site for Project 101». Сохраните этот файл под именем «C:\Docs\Project 101\Default.htm», не забыв заключить имя файла в кавычки.

    Упражнение 3. Создание Webузла

    1. Откройте консоль Диспетчер служб IIS [Internet Information Services (IIS) Manager] из группы программ Администрирование (AdministrativeTools).
    2. Щелкните узел Веб-узел по умолчанию (DefaultWebSite) правой кнопкой и выберите Остановить (Stop).
    3. Щелкните узел Веб-узлы (WebSites) правой кнопкой и выберите Создать (New)\Beб-узел (WebSite).
    4. Присвойте узлу имя Contoso и укажите путь C:\ContosoCorp. Остальные стандартные параметры можно не менять.

    Упражнение 4. Создание защищенного виртуального каталога

    Настройка веб-сервера IIS, часть 1

    Internet Information Services (IIS) это набор интернет-серверов от компании Microsoft. Основным компонентом IIS является веб-сервер, хотя этим дело не ограничивается. Последняя восьмая версия IIS поставляется со всеми редакциями Windows Server 2012 R2.

    Несмотря на проприетарность IIS, доля этого набора сервисов на рынке постепенно увеличивается. В интернете можно отыскать множество сакральных споров, что же всё таки лучше — IIS, Apache или, скажем, Nginx. Не будем им уподобляться, просто скажем в каких случаях в основном используется IIS.

    Самый удобный вариант использования IIS — когда всё ваше рабочее окружение (и серверная его часть тоже) работает на Windows. В таком случае Вы можете получить от IIS ряд удобных «плюшек» для работы в домене. В конце концов, ведь IIS это еще и FTP-сервер, и почтовый сервер. Интерфейс IIS довольно нагляден, что вообще свойственно Windows-среде. Ну и, конечно, IIS пригодится вам, если вы используете MS SQL.

    Для включения IIS в Windows Server 2012 R2 зайдите в Диспетчер серверов.

    В Диспетчере серверов найдите пункт «Добавить роли и компоненты».

    Далее запустится небольшой мастер, где вам нужно будет выбрать сервер (скорее всего текущий) и его роли. В данном случае веб-сервер.

    Убедитесь, что у Вас включен CGI.

    После этого в разделе Администрирование у Вас появится Диспетчер служб IIS.

    Вы можете так же включить IIS в Windows 7 Профессиональная и Максимальная, а также в Windows 8. Для этого перейдите в Панель управления → Программы → Включение или отключение компонентов Windows.

    Диспетчер служб представляет собой графический интерфейс управления Вашими серверами.

    Справа перечислены сервера и сайты. По умолчанию на системном разделе создается папка inetpub, в которой находятся папки ftproot и wwwroot для FTP-серверов и веб-сайтов соответственно.

    Установка PHP на IIS

    Для установки PHP перейдите по ссылке и скачайте ZIP-архив с версией Non Thread Safe. Обозначение VC11 возле версии обозначает, что для её компиляции необходим Visual C++ Redistributable for Visual Studio 2012. Для старых версий, маркированных как VC9, требуется Visual C++ Redistributable for Visual Studio 2008 SP1.

    Директорию для распаковки ZIP-архива можно выбрать по своему усмотрению. После извлечения архива создайте копию файла php.ini-production под именем php.ini в той же папке.

    Файл php.ini содержит правила исполнения PHP и работы с окружением, в котором он исполняется. Есть ряд обязательных параметров, которые должны быть прописаны. Ниже список этих параметров.

    extension_dir = [путь к директории расширений] — этот параметр отвечает за расположение расширений PHP. Например, C:\php\ext.

    extension = xxxxx.dll — для каждого подключаемого расширения необходимо прописать такую директиву. Такие расширения будут подгружаться при старте PHP.

    log_errors = On — включение лога ошибок.

    error_log = [путь к файлу лога ошибок] — собственно, тут всё понятно.

    cgi.force_redirect = 0 — отключение механизма защиты директорий, под IIS данный параметр должен принимать именно такое значение во избежание ошибок ядра PHP в Windows.

    cgi.fix_pathinfo = 1 — включение поддержки PATH_INFO согласно спецификации CGI. IIS FastCGI использует эту настройку.

    fastcgi.impersonate = 1 — включение идентификации маркеров безопасности вызывающего клиента.

    fastcgi.logging = 0 — логи FastCGI в IIS необходимо отключить.

    Далее в свойствах системы необходимо откорректировать переменные среды. В Windows Server 2012 R2 необходимо зайти в Панель управления, выбрать пункт Система, там Дополнительные параметры системы. На вкладке Дополнительно внизу находится кнопка Переменные среды.

    Среди системных переменных находим переменную Path и в поле Значение переменной дописываем путь к каталогу PHP. В моем примере это C:\php.

    Теперь нам необходимо указать в IIS как же обрабатывать php-файлы. Для этого заходим в пункт сопоставление обработчиков.

    На панели действия щелкните по пункту Добавить сопоставление модуля и заполните в соответствии с тем, что видите на рисунке.

    В поле исполняемого файла прописываете тот путь, куда был разархивирован PHP.

    Проверим работу PHP. Для этого создаем файл index.php со следующим содержимым:

    Если всё сделано правильно, то, набрав в адресной строке браузера http://localhost/index.php, Вы увидите следующую милую картинку:

    Во второй части статьи поговорим о MySQL и phpMyAdmin.

    Илон Маск рекомендует:  Что такое код java
    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL