Iis глобальные записи реестра


Содержание

Iis глобальные записи реестра

Опубликовано: Февраль 2012 г.

Обновлено: Февраль 2012 г.

Назначение: Windows Server 2012, Windows Server 2012 R2

Можно настроить ведение журналов на веб-сервере или веб-сайте, записывающем информацию о HTTP-запросах и ошибках. Сведения в журнале могут помочь провести диагностику или оптимизацию веб-сайта.

Выберите одну или несколько из следующих процедур, чтобы настроить ведение журнала согласно вашим нуждам.

Это руководство было составлено и протестировано для следующих операционных систем:

    Windows Server® 2012 R2

Windows Server® 2012

Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

Откройте диспетчер IIS.

    Для Windows Server 2012 на странице Запуск щелкните плитку Диспетчер серверов и нажмите кнопку ОК. В Диспетчере серверов откройте меню Сервис и выберите пункт Диспетчер служб Internet Information Services (IIS).

Для Windows 8 на странице Запуск введите панель управления и щелкните значок Панель управления в области результатов поиска. На экране Панель управления щелкните Система и безопасность, щелкните значок Администрирование, а затем выберите Диспетчер Internet Information Services (IIS).

В древовидном представлении Подключения выберите ваш веб-сайт.

В представлении Просмотр возможностей дважды щелкните Ведение журнала.

На странице Ведение журнала в пункте Файл журнала раздела Формат выберите один из следующих форматов файлов журналов:

    IIS: использовать файл журнала в формате Microsoft IIS для записи сведений о сайте. Этот формат обрабатывается HTTP.sys и имеет фиксированный текстовый формат ASCII, что означает, что нельзя настраивать поля, которые записываются в журнал. Поля разделены запятыми, и время регистрируется по местному времени. Дополнительные сведения о формате файла журнала IIS см. в разделе Формат файла журнала IIS (IIS 6.0).

NCSA: использование файлов журнала общего формата Национального центра сверхмощных вычислений (NCSA) для регистрации сведений об узле. Этот формат обрабатывается HTTP.sys и имеет фиксированный текстовый формат ASCII, что означает, что нельзя настраивать поля, которые записываются в журнал. Поля разделяются пробелами, и время регистрируется по местному времени с указанием смещения относительно времени UTC. Дополнительные сведения о формате файла журнала NCSA см. в разделе Формат файла журнала NCSA (IIS 6.0).

W3C: использование централизованного формата файла журнала W3C для записи сведений обо всех сайтах на сервере. Этот формат обрабатывается HTTP.sys и имеет настраиваемый текстовый формат ASCII, что означает, что можно указать поля, которые записываются в журнал. Укажите поля, которые записываются в журнал, в диалоговом окне Поля ведения журнала W3C, нажав кнопку Выбрать поля на странице Ведение журнала. Поля разделяются пробелами, и время регистрируется по времени UTC. Дополнительные сведения о формате файла журнала W3C см. в разделе Формат файла журнала W3C (IIS 6.0).

Примечание
В Windows Server 2012 R2 и более поздней версии можно записывать данные журнала в файл журнала, данные трассировки событий для Windows (ETW) или сведения обоих типов. Дополнительные сведения о ETW см. в разделе Трассировка событий.

Настраиваемые: использование настраиваемого формата для пользовательского модуля ведения журнала. При выборе этого варианта страница Ведение журнала становится недоступной, так как настраиваемое ведение журнала нельзя настроить в Диспетчер IIS. Дополнительные сведения о том, как использовать настраиваемые форматы файлов журнала, см. в разделе Пользовательские модули ведения журнала (IIS 6.0).

В разделе Каталог укажите путь для хранения файла журнала. Путь по умолчанию — %SystemDrive%\inetpub\logs\LogFiles

Примечание
Рекомендуется хранить файлы журнала, например журналы трассировки неудачных запросов, в каталоге, не являющемся системным корневым каталогом systemroot.

В разделе Смена файлов журнала выберите один из следующих вариантов.

    Расписание: создание нового файла журнала на основании одного из следующих значений.

Каждый час: новый файл журнала создается каждый час.

Ежедневно: новый файл журнала создается каждый день.

Еженедельно: новый файл журнала создается каждую неделю.

Ежемесячно: новый файл журнала создается ежемесячно.

Максимальный размер файла (в байтах): новый файл журнала создается при достижении файлом определенного размера (в байтах). Минимальный размер файла — 1048576 байт. Если для этого атрибута задано значение меньше, чем 1048576 байт, по умолчанию подразумевается значение, равное 1048576 байтам.

Не создавать новый файл журнала: имеется один файл журнала, размер которого продолжает увеличиваться по мере записи новых данных.

Выберите Использовать местное время в имени файла , чтобы при смене файла журнала назначать новому файлу имя и время в соответствии с временем на локальном сервере. Если этот параметр не выбран, используется время в формате UTC.

Примечание
Независимо от этого параметра в метках времени текущего файла журнала будет использоваться формат времени, соответствующий выбранному в списке Формат формату журнала. Например, в форматах файлов журнала NCSA и W3C для меток времени используется формат времени UTC.

Щелкните Применить в области Действия.

Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

В дереве представления Подключения диспетчера IIS выберите веб-сервер.

В представлении Просмотр возможностей дважды щелкните Ведение журнала.

На странице Ведение журнала в разделе Один файл журнала для каждого узла выберите Узел в раскрывающемся списке. По умолчанию выбран параметр Узел.

Выполните эту процедуру, следуя инструкциям для уровня узла и начав с шага 4.

Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

В дереве представления Подключения диспетчера IIS выберите веб-сервер.

В представлении Просмотр возможностей дважды щелкните Ведение журнала.

На странице Ведение журнала в разделе Один файл журнала для каждого узла выберите Сервер в раскрывающемся списке. По умолчанию выбран параметр Узел.

Выполните эту процедуру, следуя инструкциям для уровня узла и начав с шага 4.

Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

В представлении Просмотр возможностей диспетчера IIS дважды щелкните Ведение журнала.

На странице Ведение журнала в разделе Файл журнала области Формат щелкните Выбрать поля.

В диалоговом окне Поля ведения журнала W3C выберите один или несколько из следующих вариантов:

    Дата (date): дата запроса.

Время (time): время запроса в формате UTC.

IP-адреса клиента (c-ip): IP-адрес клиента, выполнившего запрос.

Имя пользователя (cs-username): имя пользователя, прошедшего проверку подлинности и осуществившего доступ к серверу. Анонимные пользователи обозначаются дефисом.

Имя службы (s-sitename): номер экземпляра сайта, который выполнил запрос.

Имя сервера (s-computername): имя сервера, на котором была создана запись файла журнала.

IP-адрес сервера (s-ip): IP-адрес сервера, на котором была создана запись файла журнала.

Порт сервера (s-port): номер порта сервера, настроенный для службы.

Метод (cs-method): запрошенное действие, например метод GET.

Ресурс URI (cs-uri-stem): универсальный идентификатор ресурса (или целевой объект) действия.

Запрос URI (cs-uri-query): запрос (если таковой имеется), который пытался выполнить клиент. Запрос универсального кода ресурса (URI) требуется только для динамических страниц.

Состояние протокола (sc-status): код состояния HTTP или FTP.

Подчиненное состояние протокола (sc-substatus): код подчиненного состояния HTTP или FTP.

Состояние Win32 (sc-win32-status): код состояния Windows.

Отправлено байт (sc-bytes): количество байт, отправленных сервером.

Получено байт (cs-bytes): количество байт, полученных сервером.


Затраченное время (time-taken): количество времени, затраченное на выполнение действия (в миллисекундах).

Версия протокола (cs-version): версия протокола HTTP или FTP, используемая клиентом.

Узел (cs-host): имя узла, если оно существует.

Агент пользователя (cs(UserAgent)): тип браузера, используемый клиентом.

Файл cookie (cs(Cookie)): содержимое отправленного или полученного файла cookie, если таковое имеется.

Сайт последнего посещения (cs(Referer)): последний сайт, который был посещен пользователем. Этот сайт содержит ссылку на текущий сайт.

Примечание
В Windows Server 2012 R2 и более поздних версиях можно указать дополнительные настраиваемые поля для записи в журнал из заголовков запроса и ответа HTTP, а также из переменных сервера. Чтобы добавить настраиваемые поля, выберите Добавить поле в диалоговом окне Поля ведения журнала W3C. Расширенное ведение журнала доступно только для ведения журнала на уровне узла. Если выбрано ведение журнала на уровне сервера, команда Добавить поле отключена. Обратите внимание, что если общий размер заданных настраиваемых полей превышает 64 КБ, регистрируемое содержимое обрезается до размера 64 КБ.

Щелкните Применить в области Действия.

Эту процедуру можно выполнить с помощью пользовательского интерфейса или путем непосредственного изменения файлов конфигурации.

В представлении Просмотр возможностей диспетчера IIS дважды щелкните Ведение журнала.

На странице Ведение журнала в разделе Смена файла журнала выберите один из следующих вариантов.

    Расписание: создание нового файла журнала на основании одного из следующих значений.

Каждый час: новый файл журнала создается каждый час.

Ежедневно: новый файл журнала создается каждый день.

Еженедельно: новый файл журнала создается каждую неделю.

Ежемесячно: новый файл журнала создается ежемесячно.

Максимальный размер файла (в байтах): новый файл журнала создается при достижении файлом определенного размера (в байтах). Минимальный размер файла — 1048576 байт. Если для этого атрибута задано значение меньше, чем 1048576 байт, по умолчанию подразумевается значение, равное 1048576 байтам.

Не создавать новый файл журнала. Этот параметр означает, что имеется один файл журнала, размер которого продолжает увеличиваться по мере записи новых данных. Если для узла используется один файл журнала, это упрощает работу со средствами анализа журналов, однако большой размер файла журнала может снизить производительность сервера.

Выберите Использовать местное время в имени файла , чтобы при смене файла журнала назначать новому файлу имя и время в соответствии с временем на локальном сервере. Если этот параметр не выбран, используется время в формате UTC.

Примечание
Независимо от этого параметра в метках времени текущего файла журнала будет использоваться формат времени, соответствующий выбранному в списке Формат формату журнала. Например, в форматах файлов журнала NCSA и W3C для меток времени используется формат времени UTC.

Щелкните Применить в области Действия.

Удалённое подключение к серверу IIS с помощью консоли управления IIS Manager

Управление серверами IIS через RDP может быть крайне утомительным, особенно, если приходится администрировать десятки таких серверов, поэтому возникает желание управлять ими через стандартную консоль управления сервером IIS. В случае использования Server Core другого выбора просто нет. В данной статье я опишу процесс настройки клиентской (Windows 10) и серверной (Windows Server 2020 Server Core) части для удалённого управления.
Настройка управления серверами IIS 8.0 (Windows Server 2012, Windows 8), 8.5 (Windows Server 2012 R2, Windows 8.1) делается так же.

Устанавливаем IIS Management Service на сервере IIS

Management Service необходим для удалённого управления сервером IIS — устанавливаем на стороне сервера IIS:

В Server Manager этот компонент называется так:

Включение удалённого управления

Если сервер IIS установлен на Windows Server c графическим интерфейсом, то включение удалённого управления можно настроить в консоли IIS Manager:

Меняем тип запуска службы WMSVC (Web Management Service) на автоматический:

Если сервер IIS установлен на Server Core, то включаем удалённое управление сначала в реестре, а потом запускаем службу WMSVC и переводим её в режим запуска авто:

Запускаем редактор реестра и переходим в раздел HKLM\SOFTWARE\Microsoft\WebManagement\Server
Меняем параметр EnableRemoteManagement c 0 на 1

Настраиваем службу Web Management Service:

Удалённое подключение

При подключении к серверу IIS с другого сервера проблем возникнуть не должно. А если необходимо подключаться с клиентской ОС, например Windows 10, то требуется дополнительная настройка.
Сначала необходимо установить саму консоль управления IIS:

Разница консолей управления в серверной ОС и клиентской ОС выглядит так:

В клиентской ОС отсутствует диалог удалённого подключения к серверу.
Для того, чтобы соответствующие диалоги появились, необходимо на Windows 10 установить IIS Manager for Remote Administration:

После установки перезапускаем консоль IIS и проверяем, появился ли диалог подключения:

Если версии консоли и сервера к которому выполняется подключение отличаются, то будет выведен диалог, в котором необходимо установить требуемые компоненты соответствующих версий. Это происходит как при подключении консолью версии выше к серверу версией ниже, так и наоборот:

На этом всё. После установки сервер готов к администрированию.

Национальная библиотека им. Н. Э. Баумана
Bauman National Library

Персональные инструменты

IIS (Internet Information Services)

Internet Information Services
Разработчики: Microsoft
Постоянный выпуск: 10 / 29 July 2015 года ; 4 years ago ( 2015-07-29 )
Состояние разработки: Active
Написана на: C++ (язык программирования) [1]
Операционная система: Windows NT
Локализация: Same languages as Windows
Тип ПО: Web server
Лицензия: Part of Windows NT (same license)
Веб-сайт iis .net

IIS (англ. Internet Information Services ) является Visual Basic приложением, которое располагается на веб-сервере и отвечает на запросы браузера. Приложение IIS использует HTML для представления своего пользовательского интерфейса и использует скомпилированый код Visual Basic для обработки запросов и реагирования на события в браузере. Для пользователя приложение IIS представляется рядом страниц HTML. Для разработчика приложение IIS состоит из особого типа объекта, называемого WebClass, который в свою очередь, содержит ряд ресурсов, называемых webitems. WebClass выступает в качестве центрального функционального блока приложения, обрабатывающего данные из браузера и отправляющего информацию пользователям. Разработчик описывает ряд процедур, которые определяют, каким образом WebClass отвечает на эти запросы. webitems являются HTML-страницами и другими данными, которые WebClass может отправить в браузер в ответ на запрос.

Содержание

Архитектура

Internet Information Services (IIS) 7 и выше обеспечивает архитектуру обработки запросов, которая включает в себя:

  • Служба активации процесса Windows (WAS), который позволяет сайтам использовать отличающиеся от HTTP и HTTPS протоколы.
  • Веб-движок сервера, который может быть изменен путем добавления или удаления модулей.
  • Интегрированные конвейеры обработки запросов от IIS и ASP.NET.

Компоненты

IIS содержит несколько компонентов, которые выполняют важные функции для приложений и ролей веб-сервера в Windows Server® 2008 (IIS 7.0) и Windows Server 2008 R2 (IIS 7.5). Каждый компонент имеет функции, такие как прослушивание запросов к серверу, управление процессами и чтение файлов конфигурации. Эти компоненты включают в себя обработчики протокола, такие как HTTP.sys и службы, такие как World Wide Web Publishing (служба WWW) и службы активации процесса Windows (WAS).

Internet Information Server (IIS) имеет свой собственный ASP.NET Process Engine для обработки запроса ASP.NET. Способ настройки приложения ASP.NET зависит от того, какая версия IIS приложения используется.

Internet Information Server (IIS) включает в себя набор программ для создания и администрирования веб-приложений, поисковых систем, а также поддержку для написания веб-приложений, обеспечивающих доступ к базам данных, таким как SQL Server. IIS позволяет настроить компьютер в качестве веб-сервера и предоставляет функциональные возможности для разработки и развертывания веб-приложений ASP.NET на сервере. Кроме того, возможно установить параметры безопасности для конкретного веб-сайта для конкретных пользователей и компьютера для того, чтобы защитить его от несанкционированного доступа.

По заявлениям разработчиков, IIS повышает доступность веб-сайтов и приложений при одновременном снижении системного администрирования и стоимости развертывания. IIS 7.5 поддерживает HTTP, HTTPS, FTP, FTPS, SMTP и NNTP.

Ключевые особенности

  • Встроенные расширения
    • WebDAV и FTP
    • Фильтрация запросов
    • Модули администрирования
  • Усовершенствования управления
    • Анализатор соответствия рекомендациям
    • Windows PowerShell провайдер и cmdlets
    • Ведение журнала конфигурации и трассировки
  • Улучшения хостинга приложений
    • Управляемые учетные записи служб
    • Hostable веб-ядро
    • Трассировка неудачных запросов для FastCGI
  • Улучшения .NET поддержки для Server Core

Установка

  • Нажмите кнопку Пуск и выберите Панель управления.
  • На панели управления выберите Программы, а затем Включение и отключение компонентов Windows.
  • В диалоговом окне «Компоненты Windows» нажмите Службы IIS, а затем кнопку ОК.

Конфигурирование

Настройка веб-узла по умолчанию: При установке IIS настроен для использования в качестве веб-узла по умолчанию; тем не менее может потребоваться изменить некоторые настройки. Чтобы изменить основные параметры для веб-узла и имитировать действия, которые требуются для настройки Apache в первый раз с помощью файла конфигурации:

  1. Войдите в систему на компьютере веб-сервера с правами администратора.
  2. Нажмите кнопку Пуск, выберите Настройка и щелкните Панель управления.
  3. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Диспетчер служб Интернета.
  4. Щелкните правой кнопкой мыши веб-узел, который необходимо настроить, на левой панели и выберите команду Свойства.
  5. Перейдите на вкладку веб-узел .
  6. В поле Описание введите описание веб-узла.
  7. Введите адрес Internet Protocol (IP) для веб-узла или оставьте значение по умолчанию все (не назначено) .
  8. Измените порт протокола управления передачей (TCP), соответствующим образом.
  9. Перейдите на вкладку Домашний каталог.
  10. Чтобы использовать папку на локальном компьютере, выберите каталог на данном компьютере и нажмите кнопку Обзор, чтобы найти папку, которую требуется использовать.
  11. Чтобы использовать папку, общий ресурс с другого компьютера в сети, выберите параметр Общая папка другого компьютера и затем введите путь или нажмите кнопку Обзор, чтобы выбрать общую папку.
  12. Нажмите кнопку Чтение предоставить доступ на чтение к папке (обязательно).
  13. Нажмите кнопку ОК, чтобы принять свойства веб-сайта.

Создание нового веб-узла:

Чтобы создать новый веб-узел на сервере Apache, необходимо настроить виртуальный узел и настроить отдельные параметры для узла. Если используются службы IIS, можно создать новый веб-узел путем перевода следующих терминов в эквивалентные термины IIS:

Apache термин Термин IIS
Корень документа Каталог домашней страницы веб-узла IIS
Имя_сервера Заголовок узла IIS
Прослушивание IIS IP-адрес и TCP-порт

Чтобы создать новый веб-узел в IIS, выполните следующие действия:

  1. Войдите в систему на компьютере веб-сервера с правами администратора.
  2. Нажмите кнопку Пуск, выберите Настройка и щелкните Панель управления.
  3. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Диспетчер служб Интернета.
  4. Щелкните Действие, выберите пункт Создать и выберите веб-узел.
  5. После запуска мастера создания веб-узла, нажмите кнопку Далее.
  6. Введите описание веб-узла. Это описание используется для идентификации веб-узла в диспетчере служб Интернета только для внутренних целей.
  7. Выберите IP-адрес для веб-узла. Если выбрать все (без значения), веб-узел будет доступен для всех интерфейсов и всех настроенных IP-адресов.
  8. Введите номер порта TCP, чтобы опубликовать на нем сайт.
  9. Введите имя заголовка узла (реальные имя, которое используется для доступа к этому узлу).
  10. Нажмите кнопку Далее.
  11. Введите путь к папке, которая содержит документы веб-узла, или нажмите кнопку Обзор, выберите папку и нажмите кнопку Далее.
  12. Укажите права доступа для веб-узла и нажмите кнопку Далее.
  13. Нажмите кнопку Готово.


Application Pool Identities в IIS

Каждый пул приложений в IIS использует свой собственный рабочий процесс (IIS Worker Process). Удостоверение пула приложений (Application Pool Identities) представляет из себя имя учетной записи, под которой выполняется рабочий процесс этого пула.

В IIS 6.0 и IIS 7.0 пул приложений по умолчанию работал под встроенной системной учетной записью NetworkService. Эта запись не требует пароля и имеет на локальном компьютере ограниченные права, что является хорошей практикой с точки зрения безопасности. Однако под этой учетной записью могут одновременно работать разные системные службы Windows, и при использовании одного и того же идентификатора одни службы могут воздействовать на работу других.

Начиная с Windows Server 2008 SP2 для того, чтобы изолировать рабочие процессы IIS от других системных служб, можно использовать виртуальные учетные записи (Virtual Accounts). Они позволяют запускать рабочий процесс для каждого пула приложений под собственной уникальной учетной записью ApplicationPoolIdentity. Эта учетная запись не требует управления и создается автоматически при создании каждого нового пула. Также она не имеет практически никаких привилегий в системе и не использует профиль пользователя, что повышает безопасность веб-сервера.

Для примера возьмем Application Pool с именем PubSite1. Открываем Task Manager и находим рабочий процесс IIS (w3wp.exe), выполняющийся от имени PubSite1. Как видите, имя учетной записи совпадает с именем пула приложений. Дело в том, что начиная с IIS 7.5 для каждого вновь созданного пула приложений по умолчанию создается виртуальная учетная запись с именем этого пула, и его рабочий процесс запускается из под этой записи.

Настройка типа удостоверения пула приложений

При необходимости тип идентификации пула приложений можно изменить. Для этого запускаем IIS Manager, переходим в раздел Application Pools, выбираем нужный пул и открываем его свойства (Advanced Settings).

В свойствах выбираем пункт Identity.

Здесь мы указываем учетную запись, от имени которой будет работать данный пул приложений:

• ApplicationPoolIdentity — учетная запись удостоверения пула приложений. Создается автоматически при запуске пула приложений и имеет самые минимальные права на локальном компьютере. Это наиболее безопасный вариант, начиная с IIS 7.5 используется по умолчанию;
• LocalService – встроенная учетная запись, которая имеет ограниченные права на локальном компьютере. Примерно то же самое, что и NetworkService, но ограничена только локальным компьютером;
• LocalSystem – системная учетная запись, имеющая неограниченные права на локальном компьютере. Наименее безопасный вариант, по возможности не рекомендуется ее использовать;
• NetworkService — учетная запись, которая имеет ограниченные права на локальном компьютере, а также может использоваться для доступа к ресурсам в сети Active Directory на основании учетной записи компьютера.

Кроме того, в качестве удостоверения можно использовать и обычную учетную запись пользователя. Для этого надо выбрать Custom Account, нажать кнопку Set и ввести имя пользователя и пароль. Можно указать любого доменного или локального пользователя.

Примечание. При использовании учетной записи пользователя надо отслеживать срок действия пароля и своевременно менять его.

То же самое можно сделать с помощью утилиты командной строки appcmd. Чтобы указать учетную запись, которая будет использоваться для пула приложений, используется следующий синтаксис:

appcmd set config /section:applicationpools /[name=″имя пула приложений″].processModel.identityType:SpecificUser|NetworkService|LocalService|LocalSystem

Для примера изменим тип удостоверения для пула приложений PubSite1 на NetworkService:

appcmd set config /section:applicationpools
/[name=″PubSite1″].processModel.identityType:NetworkService

Профиль пользователя

По умолчанию IIS не использует профиль пользователя, но некоторые приложения могут потребовать использование профиля, например для хранения временных файлов. Профиль для учетной записи NetworkService создается системой и всегда доступен. Стандартные пулы приложений (DefaultAppPool, Classic .NET AppPool и т.п.) также имеют профиль пользователя на диске, однако при использовании ApplicationPoolIdentity профиль не создается автоматически.

Если вы хотите настроить ApplicationPoolIdentity на использование пользовательского профиля, то надо зайти в расширенные свойства пула и перевести параметр Load User Profile в состояние True.

Настройка доступа к ресурсам

Иногда веб-приложению может потребоваться доступ к определенной папке или файлу на диске. Чтобы добавить ApplicationPoolIdentity в Access Control List (ACL):

• Запускаем Windows Explorer;
• Выбираем нужный файл или директорию, кликаем по ней правой клавишей мыши и выбираем пункт Свойства (Properties);
• Переходим на вкладку Безопасность (Security),
• Кликаем по кнопке Изменить (Edit), затем Добавить (Add);
• В поле Размещение (Locations) выбираем локальную машину;
• Вводим имя пользователя в виде ″IIS AppPool\имя пула приложений″. Так для пула приложений PubSite1 имя пользователя будет выглядеть ″IIS AppPool\PubSite1″;
• Проверяем имя клавишей Проверить имена (Check Names) и жмем ОК.

Также при желании можно воспользоваться утилитой командной строки ICACLS. Для примера дадим права на изменение для PubSite1:

ICACLS C:\Web\Pubsite1 /grant ″IIS AppPool\PubSite1″:M

Список разрешений выглядит следующим образом:

D – удаление;
F – полный доступ;
M – изменение;
RX – чтение и выполнение;
R – чтение;
W – запись.

Если ресурс находится в сети, то для доступа к нему лучше всего использовать учетную запись NetworkService. Рабочий процесс, запущенный под этим аккаунтом, для доступа к ресурсам использует учетные данные компьютера, сгенерированные при добавлении компьютера в домен. Для того, чтобы дать процессу доступ к сетевому ресурсу, в качестве пользователя указываем компьютер:

• Выбираем тип объекта (Object Type) Computers;
• В поле Размещение (Locations) выбираем домен;
• Вводим имя пользователя в виде domainname\machinename$, например contoso\SRV12$;
• Проверяем имя и жмем ОК.

Очень удобный способ предоставлять доступ к сетевым ресурсам типа файловых шар или баз данных SQL Server. Однако работает он только при наличии домена AD.

Iis глобальные записи реестра

&nbsp &nbsp Реестр Windows (системный реестр) — это иерархическая (древовидная) база данных, содержащая записи, определяющие параметры и настройки операционных систем Microsoft Windows. Реестр в том виде, как он выглядит при просмотре редактором реестра, формируется из данных, источниками которых являются файлы реестра и информация об оборудовании, собираемая в процессе загрузки. В описании файлов реестра на английском языке используется термин «Hive». В некоторых работах его переводят на русский язык как «Улей». В документации от Microsoft этот термин переводится как «Куст».

Файлы реестра создаются в процессе установки операционной системы и хранятся в папке %SystemRoot%\system32\config (обычно C:\windows\system32\config). Для операционных систем Windows это файлы с именами

default
sam
security
software
system
.
В операционных системах Windows Vista/Windows 7/8/10, файлы реестра располагаются также в каталоге \Windows\system32\config и имеют такие же имена, однако в этих ОС добавился новый раздел реестра для хранения данных конфигурации загрузки (Boot Configuration Data) с именем BCD00000000 . Файл с данными этого раздела имеет имя bcd и находится в скрытой папке Boot активного раздела ( раздела, с которого выполняется загрузка системы). Обычно, при стандартной установке Windows 7, создается активный раздел небольшого размера ( около 100 мегабайт), который скрыт от пользователя и содержит только служебные данные для загрузки системы – загрузочные записи, менеджер загрузки bootmgr , хранилище конфигурации загрузки BCD, файлы локализации и программы тестирования памяти . Расположение куста bcd зависит от того, как сконфигурирован загрузчик системы при ее установке, и может находиться на том же разделе, где и каталог Windows.

Место расположения файлов реестра в любой версии Windows можно просмотреть с помощью редактора реестра. В разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist хранится информация о всех кустах, включая пользовательские профили, со ссылками на их расположение в файловой системе Windows.

&nbsp &nbsp В процессе загрузки система получает монопольный доступ к файлам реестра и, поэтому, их невозможно открыть для просмотра, скопировать, удалить или переименовать обычным образом. Для работы с содержимым системного реестра используется специальное программное обеспечение — редакторы реестра (REGEDIT.EXE, REGEDT32.EXE), являющиеся стандартными компонентами операционной системы. Для запуска редактора реестра можно использовать меню кнопки «Пуск»- «Выполнить» — regedit.exe

&nbsp &nbsp После старта редактора, в левой части основного окна вы видите список корневых разделов (root keys) реестра. Каждый корневой раздел может включать в себя вложенные разделы (subkeys) и параметры (value entries) или ключи реестра.
Основное назначение корневых разделов:
HKEY_CLASSES_ROOT ( Общепринятое сокращенное обозначение HKCR ) — Ассоциации между приложениями и расширениями файлов и информацию о зарегистрированных объектах COM и ActiveX.
HKEY_CURRENT_USER (HKCU) — Настройки для текущего пользователя (рабочий стол, личные папки, настройки приложений). Этот раздел представляет собой ссылку на раздел HKEY_USERS\Идентификатор пользователя (SID) в виде S-1-5-21-854245398-1035525444-.
SID — это уникальный номер, идентифицирующий учетную запись пользователя, группы или компьютера. Он присваивается учетной записи при создании каждого нового пользователя системы. Внутренние процессы Windows обращаются к учетным записям по их кодам SID, а не по именам пользователей или групп. Если удалить, а затем снова создать учетную запись с тем же самым именем пользователя, то предоставленные прежней учетной записи права и разрешения не сохранятся для новой учетной записи, так как их коды безопасности будут разными. Аббревиатура SID образована от Security ID.

Идентификатор SID представляет собой числовое значение переменной длины, формируемое из номера версии структуры SID, 48-битного кода агента идентификатора и переменного количества 32-битных кодов субагентов и/или относительных идентификаторов (Relative IDentifiers, RID). Код агента идентификатора определяет агент, выдавший SID, и обычно таким агентом является локальная операционная система или домен под управлением Windows. Коды субагентов идентифицируют попечителей, уполномоченных агентом, который выдал SID, а RID — дополнительный код для создания уникальных SID на основе общего базового SID.
Для идентификатора S-1-5-21-854245398-1035525444: 1000, номер версии равен 1, код агента идентификатора — 5, а далее следуют коды четырех субагентов. В Windows NT и старше, при установке системы, создается один фиксированный (код 21) и три генерируемых случайным образом (числа после «S-1-5-21») кода субагентов. Также в процессе установки создаются некоторые (одинаковые для всех систем) учетные записи, как например, учетная запись администратора, которая всегда имеет RID равный 500

Для просмотра соответствия SID и имени пользователя можно воспользоваться утилитой PsGetSID.exe из пакета PSTools

HKEY_LOCAL_MACHINE (HKLM) — в данном разделе реестра хранятся глобальные аппаратные и программные настройки системы — записи для системных служб, драйверов, наборов управляющих параметров, общие настройки программного обеспечения, применимые ко всем пользователям . Это самая большая и самая важная часть реестра. Здесь сосредоточены основные параметры операционной системы, оборудования, программного обеспечения.

HKEY_USERS ( HKU) — индивидуальные настройки среды для каждого пользователя системы (пользовательские профили) и профиль по умолчанию для вновь создаваемых пользователей.

HKEY_CURRENT_CONFIG (HKCC) — конфигурация для текущего аппаратного профиля. Обычно профиль один единственный, но имеется возможность создания нескольких с использованием «Панель управления» — «Система» — «Оборудование»- «Профили оборудования». На самом деле HKCC не является полноценным разделом реестра, а всего лишь ссылкой на подраздел из HKLM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current

Параметры или ключи реестра имеют имена , представленные в обычном текстовом виде и значения , которые хранятся в виде стандартизированных записей определенного типа. Допустимые типы данных реестра:

REG_BINARY — двоичный параметр. Большинство сведений об аппаратных компонентах хранится в виде двоичных данных и выводится в редакторе реестра в шестнадцатеричном формате.

REG_DWORD — двойное слово. Данные представлены в виде значения, длина которого составляет 4 байта (32-разрядное целое). Этот тип данных используется для хранения параметров драйверов устройств и служб. Значение отображается в окне редактора реестра в двоичном, шестнадцатеричном или десятичном формате. Эквивалентами типа DWORD являются DWORD_LITTLE_ENDIAN (самый младший байт хранится в памяти в первом числе) и REG_DWORD_BIG_ENDIAN (самый младший байт хранится в памяти в последнем числе).

REG_QWORD — Данные, представленные в виде 64-разрядного целого. Начиная с Windows 2000, такие данные отображаются в окне редактора реестра в виде двоичного параметра.

REG_SZ — строковый параметр.

REG_EXPAND_SZ — Расширяемая строка данных. Многострочный параметр. Многострочный текст. Этот тип, как правило, имеют списки и другие записи в формате, удобном для чтения. Записи разделяются пробелами, запятыми или другими символами.

REG_RESOURCE_LIST — Двоичный параметр. Последовательность вложенных массивов. Служит для хранения списка ресурсов, которые используются драйвером устройства или управляемым им физическим устройством. Обнаруженные данные система сохраняет в разделе \ResourceMap. В окне редактора реестра эти данные отображаются в виде двоичного параметра в шестнадцатеричном формате.

REG_RESOURCE_REQUIREMENTS_LIST — двоичный параметр. Последовательность вложенных массивов. Служит для хранения списка драйверов аппаратных ресурсов, которые могут быть использованы определенным драйвером устройства или управляемым им физическим устройством. Часть этого списка система записывает в раздел \ResourceMap. Данные определяются системой. В окне редактора реестра они отображаются в виде двоичного параметра в шестнадцатеричном формате.

REG_FULL_RESOURCE_DESCRIPTOR — двоичный параметр. Последовательность вложенных массивов. Служит для хранения списка ресурсов, которые используются физическим устройством. Обнаруженные данные система сохраняет в разделе \HardwareDescription. В окне редактора реестра эти данные отображаются в виде двоичного параметра в шестнадцатеричном формате.

REG_NONE — Данные, не имеющие определенного типа. Такие данные записываются в реестр системой или приложением. В окне редактора реестра отображаются в виде двоичного параметра в шестнадцатеричном формате.

REG_LINK — Символическая ссылка в формате Юникод.

При добавлении новых параметров в реестр, необходимо задавать не только имя и значение, а также правильный тип данных.

&nbsp &nbsp Возможности конкретного пользователя при работе с данными реестра определяются правами его учетной записи. Далее по тексту, предполагается, если это не оговорено особо, что пользователь имеет права администратора системы.

&nbsp &nbsp При просмотре данных реестра в среде Windows XP, 2 подраздела с именами SAM и SECURITY, не отображаются, и доступ к ним разрешен только для локальной системной учетной записью (Local System Account), под которой обычно выполняются системные службы (system services). Обычно, учетные записи пользователей и даже администраторов, таких прав не имеют, и редактор реестра, запущенный от их имени, не отображает содержимое разделов SAM и SECURITY. Для доступа к ним нужно, чтобы regedit был запущен от имени учетной записи с правами Local System, для чего можно воспользоваться утилитой PSExec

psexec.exe -i -s regedit.exe

Можно также воспользоваться стандартными средствами операционной системы, например, планировщиком заданий. С помощью команды at создаем задание на запуск regedit.exe в интерактивном режиме через 2-3 минуты от текущего времени (например- в 16час 14 мин.)

at 16:14 /interactive regedit.exe

Поскольку сам планировщик работает как системная служба, то порожденная им задача также будет выполняться с наследуемыми правами, а ключ /interactive позволит текущему пользователю взаимодействовать с запущенным заданием, т.е. с редактором реестра, выполняющимся с правами локальной системной учетной записи.

В Windows 7 разделы реестра SAM и SECURITY отображаются , однако не отображается их содержимое, для просмотра которого можно воспользоваться аналогичным приемом.

&nbsp &nbsp В процессе загрузки и функционирования операционной системы выполняется постоянное обращение к данным реестра, как для чтения, так и для записи. Файлы реестра постоянно изменяются, поскольку не только система, но и отдельные приложения могут использовать реестр для хранения собственных данных, параметров и настроек. Другими словами, обращение к реестру — это одна из наиболее распространенных операций. Даже если пользователь не работает за компьютером, обращения к реестру все равно выполняются системными службами, драйверами и приложениями.

Нарушение целостности файлов реестра (нарушение структуры данных) или неверное значение отдельных критических параметров может привести к краху системы . Поэтому, прежде чем экспериментировать с реестром, позаботьтесь о возможности его сохранения и восстановления.


Особенности реестра Windows Vista и последующих версий ОС семейства Windows

&nbsp &nbsp Главным отличием реестра операционных систем Windows Vista / Windows 7 / Windows Server 2008 и более поздних выпусков — появление нового раздела с данными конфигурации загрузки системы HKEY_LOCAL_MACHINE\BCD00000000 .

Этот раздел содержит объекты и элементы конфигурации, используемые новым диспетчером загрузки BOOTMGR пришедшим на смену традиционному загрузчику NTLDR . Раздел HKEY_LOCAL_MACHINE\BCD00000000 является системным хранилищем данных конфигурации загрузки ( BCD — Boot Configuration Data ) и физически, представляет собой файл реестра c именем bcd , находящийся в каталоге \BOOT активного раздела ( раздела диска с загрузочной записью и файлом диспетчера BOOTMGR) . При стандартной установке Windows 7 на новый жесткий диск, в качестве активного раздела создается небольшой ( размером около 100Мб) раздел, который содержит файлы и каталоги, необходимые для работы диспетчера загрузки. Обычно, этот раздел скрыт от пользователя, поскольку ему не присваивается буква логического диска и к его содержимому невозможно получить доступ стандартными средствами, такими, как например «Проводник» Windows (Explorer) . При просмотре с использованием Диспетчера логических дисков, данный раздел отображается под названием «Зарезервировано системой» и имеет признак «Активный».

Загрузочный сектор данного раздела (Partition Boot Sector или PBR) выполняет загрузку файла диспетчера bootmgr , который должен находиться в его корне. В свою очередь, диспетчер загрузки bootmgr для своих целей использует системное хранилище конфигурации, которое должно находиться в папке с именем BOOT .

Подразделы и ключи раздела HKLM\BCD00000000 имеют определенные имена, типы данных, и связи, которые обрабатываются диспетчером загрузки BOOTMGR и задают весь ход процесса дальнейшей загрузки — вид меню выбора загружаемых систем, таймаут выбора, систему, загружаемую по умолчанию, используемые устройства и приложения загрузки, и другие параметры. Иерархическая структура данных хранилища конфигурации загрузки не предназначена для редактирования с использованием редактора реестра и по умолчанию подраздел HKLM\BCD00000000 имеет разрешение только на чтение. Разрешение можно изменить с использованием контекстного меню, вызываемого правой кнопкой мыши, однако нужно учитывать то, что неквалифицированное изменение отдельных параметров данной ветви реестра может нарушить конфигурацию и системная загрузка станет невозможной. Тем не менее, экспорт данных ветви реестра HKLM\BCD00000000 иногда полезен, как дополнительная возможность анализа конфигурации загрузки в удобном для просмотра виде, а импорт — как восстановление ранее сохраненных данных BCD.

Для работы с данными конфигурации загрузки используется специальная утилита командной строки BCDEDIT.EXE , позволяющая сохранять конфигурацию, восстанавливать из ранее сохраненной копии, просматривать содержимое хранилища, редактировать отдельные объекты конфигурации и их элементы . Новый механизм загрузки операционных систем семейства Windows довольно сложен для понимания и не имеет прямого отношения к работе с реестром, поэтому привожу ссылки на дополнительные материалы:


Сохранение и восстановление реестра

1. Использование точек восстановления (Restore Points)

&nbsp &nbsp В операционных системах Windows, начиная с Windows XP, существует механизм ,с помощью которого, при возникновении проблем, можно восстановить предыдущее состояние компьютера без потери личных файлов (документов Microsoft Word, рисунков, Избранного, Рабочего стола) с использованием точек восстановления (Restore Points) , которые при стандартных настройках, создаются системой автоматически во время простоя компьютера или во время существенных системных событий, таких, как установка нового приложения или драйвера. Кроме того, имеется возможность в любое время создать точку восстановления принудительно, с помощью «Панель управления» – «Система» – «Дополнительные параметры» – «Защита системы» – «Создать»

Точки восстановления представляют собой набор файлов операционной системы и реестра, скомпонованный по определенным правилам и сохраняемый в виде подкаталога в скрытой системной папке System Volume Information . Сохраненные в точке восстановления данные позволяют, практически гарантировано, вернуть операционную систему к состоянию на момент их создания. При изучении реестра (и отсутствии практического опыта работы с ним) принудительное создание точки восстановления перед началом работы позволит восстановить работоспособность Windows даже в случае краха системы. Стандартное средство восстановления системы работает только в среде самой Windows, однако существуют способы, которые позволяют вернуть систему к жизни даже при возникновении «синего экрана смерти» по причине неудачного редактирования реестра. Об этом чуть позже.

&nbsp &nbsp Для восстановления системы используется точками восстановления используется приложение «Восстановление системы» — \windows\system32\restore\rstrui.exe для Windows XP и \windows\system32\rstrui.exe

Можно также воспользоваться меню «Панель управления» – «Система» – «Дополнительные параметры» – «Защита системы» – «Восстановление»

&nbsp &nbsp Данные точек восстановления хранятся в каталоге System Volume Information системного диска. Это скрытый системный каталог, доступ к которому разрешен только локальной системной учетной записи (Local System), или, другими словами, не пользователям, а «Службе восстановления системы». Поэтому, если вы хотите получить доступ к его содержимому, вам придется добавить права вашей учетной записи с использованием вкладки «Безопасность» в свойствах каталога «System Volume Information».

В случае Windows XP в папке System Volume Information есть подкаталог с именем, начинающемся с _restore. и внутри него — подкаталоги RP0, RP1. : — это и есть данные контрольных точек восстановления (Restore Point — RPn) для Windows XP. Внутри папок RPn имеется каталог с именем snapshot , содержащий копии файлов реестра на момент создания контрольной точки. При выполнении операции восстановления системы восстанавливаются основные системные файлы и файлы реестра. Соответственно, например, если крах системы вызван установкой нового драйвера, то после отката на точку восстановления, даже при наличии в каталоге Windows исполняемого файла драйвера, записи в реестре, обеспечивающие его загрузку, исчезнут, и система вернется в рабочее состояние. Подобным же образом можно избавиться от вирусного заражения, когда выполняется откат системы на тот момент, когда в реестре еще не было записей, обеспечивающих запуск вредоносного ПО.

Структура данных точек восстановления для Windows 7 отличается от той, что используется в Windows XP. Начиная с ОС Windows Vista, используется не только копирование файлов реестра и важнейших системных файлов, но и создаются снимки файловой системы (snapshot) службой теневого копирования томов. Снимки файловой системы также хранятся в каталоге System Volume Information и представляют собой сжатые файлы, в имени которых содержится глобальный идентификатор:

Количество снимков зависит от настроек системы и наличия свободного места на диске. Однако порядок отката системы на состояние сохраненной точки восстановления такой же, как и для Windows XP.

&nbsp &nbsp Откат системы на точку восстановления является простым и эффективным способом восстановления работоспособности без потери пользовательских данных не только в случаях неудачного редактирования реестра, установки некорректно работающего системного программного обеспечения, но и, например, при вирусном заражении компьютера, когда имеется точка восстановления на момент времени, когда вируса еще не было в системе. Именно поэтому многие вредоносные программы пытаются уничтожить данные точек восстановления и отключить средства восстановления системы. В подавляющем большинстве случаев, запуск внедрившегося вируса обеспечивается определенными записями в реестре, а после отката эти записи исчезнут, и вирус не сможет получить управление, и тем самым, будет нейтрализован даже без использования антивирусного программного обеспечения. Как видно, механизм точек восстановления довольно эффективен, но воспользоваться им можно только в среде самой Windows — для выполнения отката неработоспособной системы, стандартно, нужно в ней же и загрузиться. А если система повреждена настолько, что загрузка невозможна, задача становится невыполнимой. Тем не менее, выход из данной ситуации ( и даже не один) — есть. Можно, например, воспользоваться загрузочным диском Microsoft Diagnostic and Recovery Toolset (MS DaRT), он же (Winternals) ERD СOMMANDER (ERDC), — инструментом на базе специальной версии Windows PE, загружаемой с компакт диска или другого внешнего носителя. ERD Commander умеет работать с точками восстановления той ОС Windows, которая была подключена к нему при загрузке, и позволяет легко выполнить откат на ее работоспособное состояние через меню «Start — System Tools — System Restore»

С помощью System Restore Wizard восстановление выполняется так же, как это можно было бы выполнить в среде рухнувшей системы.

Если же ERDC нет под рукой, или полный откат системы не нужен, можно воспользоваться ручным восстановлением отдельных файлов реестра, копии которых можно взять из данных точки восстановления для Windows XP, или из автоматически создаваемых копий файлов реестра в Windows 7. Для этого достаточно получить доступ к файловой системе жесткого диска с поврежденной Windows. Можно загрузиться в другой системе (Windows PE, Live CD, даже DOS с поддержкой файловых систем FAT32 / NTFS), получить доступ к данным системного диска проблемной Windows и просто заменить испорченный файл (ы) раздела реестра на файл (ы) из каталога точки восстановления .

Восстановление файлов реестра для Windows XP

В папке, где хранятся данные точек восстановления, System Volume Information на системном диске, находим подкаталог с именем, начинающемся с _restore. и внутри него — подкаталоги RP0, RP1 : — это и есть искомые контрольные точки (Restore Point — RPx). Внутри папки RPx открываем каталог SNAPSHOT , содержащий копии файлов реестра, на момент создания контрольной точки.

Файл REGISTRY_MACHINE_SYSTEM — это и есть копия файла SYSTEM , он же — раздел реестра HKEY_LOCAL_MACHINE\SYSTEM . Остается лишь перетащить этот файл в каталог \WINDOWS\SYSTEM32\CONFIG\ и переименовать его. Запорченный файл system можно, на всякий случай, переименовать в system.bad или удалить.

Обычно, для восстановления работоспособности поврежденной операционной системы, достаточно копирования только файла SYSTEM, поскольку именно в нем хранятся наиболее важные параметры, необходимые для загрузки и функционирования ОС. Копирование файла SOFTWARE влияет на изменение состава установленного программного обеспечения для всех пользователей. При необходимости восстановления настроек пользователя нужно взять соответствующий ему файл _REGISTRY_USER_NTUSER_S-1-5-21: и скопировать его в каталог профиля (для Windows XP — обычно это «:\Documents and Settings\Имя пользователя») под именем ntuser.dat

Если при таком способе восстановления реестра будет использоваться ERD Commander, в режиме работы с выбранной Windows, то могут возникнуть проблемы с занятостью файлов. Чтобы этого не случилось, лучше в процессе загрузки не подключаться к проблемной операционной системе и выбрать None :

Восстановление файлов реестра для Windows 7 и более поздних ОС Windows

Для восстановления работоспособности Windows 7 и более поздних версий, удобнее всего воспользоваться средством Microsoft Diagnostic and Recovery Tools ( MS DaRT ), версии соответствующей версии и разрядности операционной системы. Для 32-разрядных и 64-разрядных ОС используются свои загрузочные диски. Наборы инструментов и их функциональные возможности, практически не отличаются от использовавшихся в ERD Commander, однако немного изменился их внешний вид и добавилась официальная поддержка русского языка. Описание работы с ERDC и MS DaRT 7.0 / 8.0 приводится в отдельной статье. В тех случаях, когда невозможно выполнить загрузку Windows, и запустить средство восстановления системы, инструменты MS DaRT позволяют выполнить ее откат на работоспособное состояние, практически так же, как и в случае с применением классического ERD Commander для Windows XP. Однако, описанный выше способ с частичной или полной заменой файлов реестра из данных точек восстановления применить не получится, поскольку возникает проблема извлечения их них отдельных кустов реестра. Тем не менее, в современных ОС семейства Windows существует более простая методика восстановления реестра, основанная на использовании автоматически создаваемых копий кустов (файлов реестра), создаваемых периодически специальной, задачей «Планировщика заданий». Задача RegIdleBackup создается в библиотеке планировщика заданий и выполняется скрытно, вне зависимости от регистрации пользователя, по умолчанию, один раз в 10 дней. Параметры задачи и сведения о ее выполнении можно посмотреть с помощью оснастки «Панель управления»- «Администрирование» — «Планировщик заданий». Открыть дерево «Библиотека планировщика» – Microsoft – Windows – Registry .

Хотя задано время выполнения 00:00, в параметрах задачи установлен режим немедленного запуска, если просрочен плановый запуск. Таким образом, задача будет выполнена, даже если компьютер на момент планового запуска был выключен, и в случае успешного завершения, каталоге \windows\system32\config\RegBack будет создана резервная копия файлов реестра default, sam, security, software и system. Следовательно, в тех случаях, когда восстановление системы стандартными средствами невозможно ( например, нет данных точек восстановления ), можно воспользоваться ручным копированием файлов реестра из каталога windows\system32\config\RegBack в каталог windows\system32\config так же, как и для случая описанного выше.


Кроме того, как уже упоминалось выше, в операционных системах Windows Vista и старше, при создании точки восстановления системы, создается и теневая копия тома, представляющая собой полный снимок файловой системы (snapshot, снапшот ), который тоже может помочь в восстановлении не только файлов реестра, но и любых других, существовавших на момент создания снимка. Для получения информации о существующих теневых копиях файловой системы можно воспользоваться командой:

vssadmin list shadows

Для доступа к данным теневых копий можно использовать , например, создание символической ссылки на корневой каталог теневой копии тома, командой:

mklink /D C:\shadow1 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Командная строка должна быть запущена от имени администратора. После выполнения команды, на диске C: появится папка shadow1 , содержимое которой представляет собой копию диска C: на момент создания точки восстановления. Более подробно о теневом копировании и использовании снимков файловой системы – в статье Восстановление данных с использованием теневых копий томов

Для доступа к файлам и папкам из снимка файловой системы, можно использовать и сторонние программы, умеющие работать с томами теневых копий, как, например, популярная программа восстановления данных Recuva . Более подробно об использовании данных теневых копий рассказывается в отдельной статье по применению Recuva для эффективного восстановления файлов.

2. Использование утилиты для работы с реестром из командной строки REG.EXE

&nbsp &nbsp В ОС Windows 2000 утилита REG.EXE входила в состав пакета Support tools, в Windows XP , windows 7 /8 — входит в стандартный набор программ, устанавливаемых в процессе инсталляции системы. На практике, можно для Windows 2000 использовать REG.EXE из комплекта Windows XP — просто скопируйте ее в каталог \winnt\system32). Запускается из командной строки. При запуске без параметров выдает краткую справку по использованию:

Программа редактирования системного реестра из командной строки, версия 3.0
(C) Корпорация Майкрософт, 1981-2001. Все права защищены

REG [Список параметров]

== [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]

Код возврата: (за исключением REG COMPARE)
0 — Успешно
1 — С ошибкой

Для получения справки по определенной операции введите:
REG /?

REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /?

Для резервного копирования реестра используется REG.EXE SAVE, для восстановления — REG.EXE RESTORE

Для получения справки

REG.EXE SAVE /?
REG SAVE

Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел
Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ].
Полный путь к разделу реестра в выбранном корневом разделе.
Имя сохраняемого файла на диске. Если путь не указан, файл
создается вызывающим процессом в текущей папке.

Примеры:
REG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv
Сохраняет раздел MyApp в файле AppBkUp.hiv в текущей папке

&nbsp &nbsp Синтаксис REG SAVE и REG RESTORE одинаков и вполне понятен из справки. Есть, правда некоторые моменты. В версии утилиты из ОС Windows 2000 нельзя было указывать путь в имени файла для сохранения раздела реестра и сохранение выполнялось только в текущий каталог. Справка самой утилиты и примеры ее использования для сохранения (REG SAVE) вполне можно использовать для сохранения любых разделов реестра, в т.ч. HKLM\software, HKLM\system и т.п. однако, если вы попробуете восстановить, например, HKLM\system, то получите сообщение об ошибке доступа, по причине занятости данного раздела реестра, а поскольку он занят всегда, восстановление с помощью REG RESTORE выполнить не удастся.

Для сохранения куста SYSTEM:
REG SAVE HKLM\SYSTEM system.hiv
Для сохранения куста SOFTWARE:
REG SAVE HKLM\SOFTWARE software.hiv
Для сохранения куста DEFAULT:
reg save HKU\.Default default.hiv

Если файл существует, то REG.EXE выдаст ошибку и завершится. В Windows 7, при наличии существующего файла, выдается стандартный запрос на разрешение его перезаписи.

&nbsp &nbsp Сохраненные файлы можно использовать для восстановления реестра с использованием ручного копированием в папку %SystemRoot%\system32\config.

3. Ручное копирование файлов реестра.

&nbsp &nbsp Этот способ возможен, если имеется копия файлов реестра, созданная на момент работоспособного состояния. Как уже упоминалось выше, если загрузиться в другой ОС с возможностью доступа к файловой системе проблемной Windows, то с файлами из папки реестра можно делать все, что угодно. В случае повреждения файла system, можно воспользоваться, например, сохраненным с помощью команды REG SAVE файлом system.hiv, скопировав его в папку реестра и переименовав в system. Для Windows 7 – скопировать файл system из папки \windows\system32\config\RegBack в папку \windows\system32\config

4. Использование режима экспорта-импорта реестра.

Данный способ не является в полном смысле слова способом полного восстановления реестра и более подходит для случаев, когда нужно сохранить и затем восстановить определенную его часть. Редактор реестра позволяет делать экспорт как всего реестра, так и отдельных разделов в файл с расширением reg Импорт полученного при экспорте reg-файла, позволяет восстановить реестр. Щелкаете на «Реестр» «Экспорт (Импорт) файла реестра». Импорт также можно выполнить двойным щелчком по ярлыку reg-файла.

Вполне понятно, что наличие резервных копий реестра делает систему почти «не убиваемой», однако, нередко случается так, что при возникновении необходимости восстановления реестра актуальной копии просто нет. Например, вирус отключил систему восстановления и удалил контрольные точки, а резервное копирование вручную просто не выполнялось. И если в Windows 7 существует задание планировщика для копирования файлов реестра, созданное при установке системы, то в Windows XP, такого задания нет, и, при нарушении целостности реестра, шансов на восстановление становится меньше. Что бы исключить подобную ситуацию, было бы неплохо, позаботиться об автоматическом резервирования файлов реестра без участия человека. Например, с помощью командного файла, выполняемого планировщиком или в процессе регистрации пользователя.

Для создания полной копии реестра Windows XP в командной строке удобно использовать бесплатную консольную утилиту regsaver.exe Скачать, 380кб

Утилита сохраняет файлы реестра в каталог, указываемый в качестве параметра командной строки:
regsaver.exe D:\regbackup
После выполнения программы в каталоге D:\regbackup будет создан подкаталог с уникальным именем, состоящим из года, месяца, числа и времени создания резервной копии файлов реестра («yyyymmddhhmmss»). После выполнения резервирования программа может выключить компьютер или перевести его в спящий режим:

regsaver.exe D:\regbackup /off /ask — Выключить компьютер. Ключ /ask требует подтверждения пользователя на выполнение выключения питания.
regsaver.exe D:\regbackup /standby — Перевести в спящий режим без подтверждения (нет /ask)
regsaver.exe D:\regbackup /hibernate /ask — Перевести в режим Hibernate

Вместо стандартного выключения компьютера можно использовать резервное копирование реестра с выключением по его завершению.

Важным преимуществом консольной версии является то, что можно создать командный файл и выполнять его с помощью планировщика заданий для автоматического создания резервных копий файлов реестра.

Я неоднократно использовал regsaver в сценариях регистрации пользователей при входе в домен для периодического ( например, 1 раз в неделю) копирования файлов реестра, и наличие резервной копии нередко выручало в критической ситуации. Для периодического создания резервных копий файлов реестра можно воспользоваться запуском утилиты от имени администратора с сохранением полномочий.

runas /savecred administrator «regsaver.exe D:\regbackup»

Параметр /savecred используется для запоминания полномочий (credentials) пользователя с именем administrator при выполнении от его имени задания regsaver.exe D:\regbackup . При первом запуске runas , будет выдан запрос на ввод пароля указанного пользователя, который будет запомнен и не будет запрашиваться при последующих запусках.

Утилита regsaver выполняется без ошибок в среде Windows 7, однако, копии файлов реестра будут не полными, и использовать их в полной мере невозможно, да и нет необходимости, поскольку автоматическое резервирование файлов реестра выполняется заданием RegIdleBackup, автоматически выполняемым «Планировщиком заданий» Windows. Копии файлов реестра Windows 7/8 хранятся в каталоге C:\Windows\System32\config\RegBack\. Состояние задачи планировщика, в том числе, запланированное время выполнения резервного копирования файлов реестра можно посмотреть при выполнении команды

schtasks /query /tn \Microsoft\Windows\Registry\RegIdleBackup

Пример отображаемой информации:

6. Восстановление реестра, при отсутствии резервных копий в Windows XP.

&nbsp &nbsp Иметь актуальные резервные копии реестра — это практически, всегда выход из ситуации когда работа Windows завершается критической ошибкой или, например, при загрузке системы, вы видите сообщение о нарушении целостности куста реестра SYSTEM:

Windows XP could not start because the following file is missing or corrupt: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

Если есть резервная копия, выполняем за 5-10 минут восстановление файла SYSTEM, как описывалось выше, и система продолжает работать, как ни в чем не бывало. Я, конечно, не рассматриваю здесь случай, когда некондиционность файла реестра вызвана сбоями оборудования компьютера.

Если же, резервирование данных реестра никогда не выполнялось, был отключен механизм создания контрольных точек восстановления, или вы использовали Win2K, где этого механизма просто отсутствует, то все равно, некоторые шансы оживить систему, есть.

Возможно, поможет восстановить систему:

— использование резервных файлов реестра, автоматически созданных каким-либо программным обеспечением. Откройте папку \Windows\system32\config и проверьте, нет ли в ней файла system.bak (возможно другое расширение, отличное от .alt и .log). Поврежденный файл system переименуйте или сохраните в каком-либо ином месте). Найденный файл- копию system. . . переименуйте в system и попробуйте загрузиться.

— в Windows XP возможно использование, сохраненного после начальной установки, файла (файлов) из каталога \WINDOWS\REPAIR. Такой вариант, не самый оптимальный, на крайний случай. После завершения установки Windows, копии файлов реестра сохраняются в упомянутом каталоге и файл system будет соответствовать состоянию ОС сразу после завершения установки.

— использование функции восстановления редактора реестра Windows XP при загрузке поврежденного куста.

Редактор реестра позволяет открывать файлы не только «своего» реестра, но и файлы, являющиеся реестром другой операционной системы. И имеется возможность восстановления поврежденного куста при загрузке в редакторе реестра. Для этого

— Загрузитесь в другой операционной системе Windows с возможностью загрузки проблемного куста реестра .
— Запустите редактор реестра.
— В левой части дерева реестра выберите один из разделов:
HKEY_USERS или HKEY_LOCAL_MACHINE.
— В меню Реестр (Registry) (В других версиях редактора реестра этот пункт меню может называться » Файл «) выберите команду «Загрузить куст(Load Hive)» .
— Найдите испорченный куст ( в нашем случае — system).
— Нажмите кнопку Открыть .
— В поле Раздел введите имя, которое будет присвоено загружаемому кусту. Например BadSystem.
После нажатия OK появится сообщение:

В левом окне редактора реестра выберите подключенный куст (BadSystem) и выполните команду «Выгрузить куст» . Поврежденный system будет восстановлен. При чем, редактор реестра Windows XP вполне успешно восстановит реестр и более старой ОС Windows 2000. Даже если содержимое восстановленного таким образом файла будет не совсем актуальным, система, с большой долей вероятности, останется работоспособной. Возможно, придется переустановить некоторые программные продукты, или обновить драйверы.


Мониторинг реестра. Как определить, какие программы обращаются к реестру.

&nbsp &nbsp Одной из лучших программ для мониторинга реестра, является утилита Process Monitor , которую можно загрузить с сайта Microsoft, по ссылке на странице программы:

Программа Process Monitor является усовершенствованным инструментом отслеживания активности приложений и системных служб , который в режиме реального времени отображает активность файловой системы, реестра, сети, процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ. Недостатком программы можно считать вероятность зависания при большом количестве отслеживаемых событий.

Методике использования утилиты Process Monitor для анализа активности процессов в Windows посвящена отдельная статья:

Не смотря на появление Process Monitor , в среде Windows XP удобнее использовать хотя и устаревшую, но по прежнему эффективную, утилиту Regmon , поддержка которой прекращена автором. Фактически, Regmon , является частью утилиты Process Monitor , и выполняет только мониторинг обращений к реестру. Параметры программы, панель инструментов, принципы фильтрации и выделения отслеживаемых событий, а также результатов мониторинга в обеих программах практически одинаковы.

Информация выдается в удобном виде, который можно настроить под свои нужды — исключить из результатов мониторинга данные о работе с реестром неинтересных вам приложений, подчеркнуть выбранным цветом то, что считаете особо важным, включить в результаты мониторинга только выбранные процессы. Программа позволяет быстро и легко выполнить запуск редактора реестра с переходом к указанному разделу или параметру. Имеется возможность выполнять мониторинг в процессе загрузки операционной системы с записью результатов в специальный журнал %SystemRoot\Regmon.log.
&nbsp &nbsp После старта RegMon, можно определить критерии фильтрации результатов мониторинга реестра:

По умолчанию протоколируются все события обращения к реестру. Фильтр задается значениями полей:

Include — Если * — выполнять мониторинг для всех процессов. Имена процессов разделяются символом «;» . Например — FAR.EXE;Winlogon.exe — будут фиксироваться обращения к реестру только для процессов far.exe и winlogon.exe.
Exclude
— какие процессы исключить из результатов мониторинга.
Highlight — какие процессы выделить выбранным цветом (по умолчанию — красным).

&nbsp &nbsp Значения полей фильтра запоминаются и выдаются при следующем старте Regmon. При нажатии кнопки Defaults выполняется сброс фильтра в установки по умолчанию — фиксировать все обращения к реестру. Значения полей фильтра удобнее формировать не при старте RegMon, а в процессе мониторинга, используя меню правой кнопки мыши для выбранного процесса

— Include process — включить данный процесс в мониторинг
— Exclude process — исключить данный процесс из мониторинга.

После старта Regmon с фильтрами по умолчанию, вы увидите большое количество записей об обращении к реестру и, используя Include/Exclude process, можете настроить вывод результатов только нужного вам процесса (процессов).

# — номер по порядку
Time — Время. Формат времени можно изменить с помощью вкладки Options
Process — имя процесса: идентификатор процесса (PID)
Request — тип запроса. OpenKey — открытие ключа (подраздела) реестра, CloseKey — закрытие, CreateKey — создание, QueryKey — проверка наличия ключа и получение количества вложенных ключей (подразделов, subkeys), EnumerateKey — получить список имен подразделов указанного раздела, QueryValue — прочитать значение параметра, SetValue — записать значение.
Path — путь в реестре.
Result — результат выполнения операции. SUCCESS — успешно, NOT FOUND — ключ (параметр) не найден. ACCESS DENIED — доступ запрещен (недостаточно прав). Иногда бывает BUFFER OVERFLOW — переполнение буфера — результат операции не помещается в буфере программы.
Other — дополнительная информация, результат выполненного запроса.

&nbsp &nbsp Программа очень проста в использовании. После старта, лучше выбрать фильтр по умолчанию, т.е. фиксировать все обращения к реестру, а затем, в основном окне программы, выбрать ненужный процесс и с помощью правой кнопки мыши вызвать контекстное меню — Exclude process — информация об обращении к реестру данного процесса выводиться не будет. И таким же образом отфильтровать другие, не интересующие вас процессы. Небольшим недостатком программы является ограниченное количество возможных фильтров.

&nbsp &nbsp При работе с программой можно использовать меню File, Edit, Options или сочетание клавиш:

CTRL-S — сохранить результаты
CTRL-P — свойства выбранного процесса
CTRL-E — включить/выключить мониторинг
CTRL-F — поиск по контексту
CTRL-C — копировать выбранную строку в буфер обмена
CTRL-T — изменить формат времени
CTRL-X — очистить окно результатов мониторинга
CTRL-J — запустить редактор реестра и открыть ветвь, указанную в колонке Path. Это же действие выполняется при двойном щелчке левой кнопки мыши. Очень полезная возможность, позволяет значительно экономить время.
CTRL-A — включить/выключить автоматическую прокрутку
CTRL-H — позволяет задать число строк результатов мониторинга

&nbsp &nbsp Еще одна очень полезная возможность — получить журнал обращений к реестру в процессе загрузки операционной системы.
Для этого выбираете меню Options-Log Boot . Программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в ходе следующей перезагрузки ОС:

&nbsp &nbsp После перезагрузки ОС, в корневом каталоге системы (C:\Windows) будет находиться файл Regmon.log с журналом результатов мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки системы. Конечно же, содержимое журнала не будет полностью отображать абсолютно все обращения к реестру. Поскольку Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, все обращения к реестру, произошедшие до его старта, в журнале не зафиксируются. Однако большая часть все же туда попадет, и вы увидите, что таких обращений будет несколько сотен тысяч.

Поскольку утилита Regmon больше не поддерживается Microsoft, скачать ее с официального сайта невозможно.


Автозапуск программ.

В операционных системах семейства Windows предусмотрена возможность автоматического запуска программ для создания определенной пользовательской среды. Простейшим способом автоматического запуска является размещение ярлыков приложений или файлов сценариев в специальной папке Автозагрузка . Автоматический запуск по ссылкам в данной папке возможен как для отдельного пользователя, так и для всех пользователей, регистрирующихся в системе. Кроме папки «Автозагрузка», для запуска программ могут использоваться и разделы реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Последние 2 раздела (. Once) отличаются тем, что программы, прописанные в них запускаются только 1 раз и после выполнения параметры ключа удаляются.

Записи в HKLM относятся ко всем пользователям компьютера. Для текущего пользователя запуск определяется ключами в разделе HKU:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Пример раздела HKLM\. \RUN:

&nbsp &nbsp В правом окне вы видите список параметров , значениями которых является строка, ссылающаяся на программу. При входе пользователя в систему, все перечисленные программы будут выполнены. Удалите параметр — программа не запустится. В связи с тем, что автозапуск программ через реестр используется очень многими программными продуктами, причем, как правило, не в интересах пользователя, большинство автоматически запускаемых программ для работы не нужны, и их запуск можно отключить, удалив соответствующие записи из данного раздела реестра. Если у вас недостаточно знаний для выбора претендентов на удаление из автозапуска, попробуйте поэкспериментировать, меняя расширение exe на ex_. В случае необходимости можно вернуть автозапуск, изменив расширение исполняемого файла.

Для просмотра и отключения автоматически запускаемых программ можно воспользоваться системной утилитой настройки системы от Microsoft — msconfig.exe

&nbsp &nbsp Кроме программ, запускающихся при регистрации пользователя в системе, запускается еще огромное количество других, не всегда очевидных, — это и системные службы (сервисы), различные драйверы, программы оболочки (Shell) и т.п. Кроме полезных ( а иногда и бесполезных) программ могут выполняться, используя автоматический запуск и внедрившиеся в систему вирусы. Более подробно о вирусах здесь. Точек возможного автоматического запуска исполняемых модулей огромное множество, и для их поиска в реестре удобнее использовать специальные программы — мониторы автозапуска, наиболее популярной из которых, является Autoruns.exe , обладающей более широким спектром возможностей, чем служебная программа MSConfig, входящая в состав Windows.

Инсталляция не требуется. Просто скачайте Autoruns, разархивируйте его и запустите файл Autoruns.exe (в пакет включена утилита autorunsc.exe — консольная версия). Программа покажет, какие приложения настроены на автоматический запуск, а также представит полный список разделов реестра и каталогов файловой системы, которые могут использоваться для задания автоматического запуска. Элементы, которые показывает программа Autoruns, принадлежат к нескольким категориям: объекты, автоматически запускаемые при входе в систему, дополнительные компоненты проводника, дополнительные компоненты обозревателя Internet Explorer (включая объекты модулей поддержки обозревателя (Browser Helper Objects или сокращенно — BHO), библиотеки DLL инициализации приложений, подмены элементов, объекты, исполняемые на ранних стадиях загрузки, библиотеки DLL уведомлений Winlogon, службы Windows и многоуровневые поставщики услуг Winsock.
Чтобы просмотреть автоматически запускаемые объекты требуемой категории, достаточно выбрать нужную вкладку.

&nbsp &nbsp Поскольку Autoruns разрабатывалась тем же автором, что и рассмотренная выше утилита Regmon.exe, у них много общего. Для поиска записей в реестре, относящихся к выбранному объекту достаточно использовать пункт «Jump to» контекстного меню, вызываемого правой кнопкой мыши. Произойдет запуск редактора реестра и откроется ключ, обеспечивающий его запуск.


Драйверы и службы.

Информация о драйверах и системных службах (сервисах) находится в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Каждому драйверу или сервису соответствует свой раздел. Например, «atapi» — для драйвера стандартного IDE контроллера жестких дисков, «DNScache» — для службы «DNS клиент». Назначение основных ключей:
DisplayName — выводимое имя — то что вы видите в качестве осмысленного названия при использовании, например, элементов панели управления.

ErrorControl — режим обработки ошибок.
0 — игнорировать (Ignore) при ошибке загрузки или инициализации драйвера не выдается сообщение об ошибке и система продолжает работу.
1 — нормальный (Normal) режим обработки ошибки. Работа системы продолжается после вывода сообщения об ошибке. Параметры ErrorControl для большинства драйверов устройств и системных служб равна 1.
2 — особый (Severe) режим. Используется для обеспечения загрузки последней удачной конфигурации (LastKnownGood).
3 — критическая (Critical) ошибка. Процесс загрузки останавливается, и выводится сообщение о сбое.

Group — название группы, к которой относится драйвер, например — «Видеоадаптеры»

ImagePath путь и имя исполняемого драйвера. Файлы драйверов обычно имеют расширение .sys и располагаются в папке \Windows\System32\DRIVERS\. Файлы сервисов — обычно .exe и располагаются в \Windows\System32\.

Start управление загрузкой и инициализацией. Определяет, на каком этапе загрузки системы производится загрузка и инициализация данного драйвера или службы. Значения Start:
0 — BOOT — драйвер загружается загрузчиком системы.
1 — SYSTEM — драйвер загружается в процессе инициализации ядра.
2 — AUTO — служба запускается автоматически при загрузке системы.
3 — MANUAL — служба запускается вручную.
4 — DISABLE — драйвер или сервис отключен.
Загрузка драйверов и запуск служб с параметрами Start от 0 до 2 выполняются до регистрации пользователя в системе. Для отключения драйвера или службы достаточно установить значение параметра Start равным 4 . Отключение драйверов и служб через редактирование этого ключа реестра — довольно опасная операция. Если вы случайно или по незнанию отключите драйвер или сервис, без запуска которых невозможна загрузка или функционирование операционной системы, то получите ее аварийное завершение (чаще всего — синий экран смерти Blue Screen Of Death или сокращенно — BSOD).

Во многих случаях, раздел драйвера содержит параметр типа DWORD с именем Tag . Основное его назначение — определение порядка загрузки драйвера или службы внутри группы. Сначала загружаются драйверы и службы в соответствии со значением параметра Start , затем — в соответствии с номером группы, определяемым разделом реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList
и затем — по номерам тегов отдельных драйверов или служб внутри группы. Если поле тега отсутствует, то загрузка драйвера выполняется только после того, как будут загружены драйверы с установленными значениями Tag .

Неверный порядок загрузки драйверов и служб может быть вызван ошибками их установки, недоработками разработчиков и, в редких случаях, — приводить к проблемам функционирования системы (захват ресурсов, необходимых другим драйверам, загрузка раньше другого драйвера, который необходим для работы, и т.п.). Чем меньше значение Tag , тем выше приоритет загрузки драйвера в группе.
Для получения информации о порядке загрузки драйверов, можно воспользоваться специальной утилитой от Sysinternals LoadOrder

Информация, выдаваемая программой не полностью отсортирована в соответствии с реальным порядком загрузки драйверов и служб, но собрана в компактном виде и значение поля Tag присутствует. Иногда этой информации вполне достаточно для анализа ситуации, связанной с проблемой функционирования конкретного устройства. При нажатии кнопки Copy выходные данные LoadOrder копируются в буфер обмена, после чего их можно сохранить в текстовый файл. Текст можно открыть в Excel, что позволит сортировать, фильтровать и отбирать результаты.
Из приведенного снимка экрана видно, что в самом начале загрузки Windows, загружаются драйверы группы Boot Bus Extender . Первым, в соответствии со значением Tag = 1, будет загружен Драйвер Microsoft ACPI , затем — Драйвер шины PCI , затем — Драйвер шины PnP ISA/EISA и т.д.


Утилита LoadOrd входит в стандартный пакет утилит Sysinternals Suite , не требует установки и работает во всех версиях Windows.


Драйверы и службы для безопасного режима.

При загрузке операционной системы для инициализации драйверов и служб используется набор управляющих параметров из раздела текущей конфигурации
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
Практически, этот раздел определяет набор драйверов, которые известны системе, их параметры, системные службы и дополнительные наборы, которые используются в различных вариантах загрузки ОС. Для загрузки системы в безопасном режиме (Safe Mode) используется минимально необходимая конфигурация драйверов и системных служб, перечень которых задается разделом:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Там имеются подразделы:
Minimal — список драйверов и служб, запускаемых в безопасном режиме (Safe Mode)
Network — то же, но с поддержкой сети.

Кроме раздела HKLM\SYSTEM\CurrentControlSet, в реестре присутствуют и
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002
По своей структуре они идентичны HKLM\SYSTEM\CurrentControlSet, и предназначены для дополнительной возможности восстановления работоспособности системы с использованием загрузки последней удачной конфигурации системы (Last Known Good Configuration). Возможные варианты загрузки управляющих наборов определяются содержимым раздела :
HKEY_LOCAL_MACHINE\SYSTEM\Select

Current — управляющий набор, который был использован для текущей загрузки.
Default — управляющий набор, который будет использоваться при следующей загрузке.
LastKnownGood — управляющий набор, который будет использоваться, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
Failed — сбойный управляющий набор, который будет создан, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
&nbsp &nbsp После успешной загрузки и входа пользователя в систему, данные из CurrentControlSet и ControlSet001 копируются в ControlSet002. При изменении конфигурации, данные записываются в CurrentControlSet и ControlSet001. Если изменение настроек привело к краху системы, имеется возможность ее восстановления при использовании варианта последней успешной загрузки, берущей данные из ControlSet002. После удачной загрузки в этом режиме, появится новый подраздел с управляющим набором, ControlSet003, — на тот случай, если вам снова понадобится использовать Last Known Good Configuration. При каждом использовании загрузки последней удачной конфигурации значение ControlSet00x будет увеличиваться, поэтому в реестре некоторых ОС имеются разделы ControlSet003, ControlSet004 и т.д.

Использование загрузки с параметрами последней удачной конфигурации позволяют восстановить работоспособное состояние системы в тех случаях, когда ошибка не позволяет войти пользователю в систему и загрузка завершается синим экраном смерти или зависанием до момента регистрации.

Список установленных приложений в реестре Windows.

&nbsp &nbsp Подавляющее большинство программ, установленных в системе стандартным образом, выполняют запись в раздел реестра:

Каждый подраздел раздела \Uninstall\ содержит подразделы с именами в виде уникальных глобальных идентификаторов (GUID) в виде:

Также, возможны имена в виде обычных строк символов, например Recuva . Каждый подраздел содержит информацию об отдельном установленном в системе программном продукте:

Наиболее интересные параметры ключей из раздела \Uninstall :

DisplayName — имя программы.

InstallDate — дата установки.

InstallLocation — каталог, в который установлена программа. Publisher — автор.

UninstallString — строка для запуска процесса удаления программы. VersionMajor — старшая часть версии.

VersionMinor — младшая часть версии.

Для получения текстового файла со списком установленных программ и некоторых их характеристик, можно использовать сценарий .vbs , работающий с данными раздела \Uninstall реестра: Готовый файл сценария в виде ZIP-архива pkg_info.zip – скачать, менее 1кб. . При выполнении сценария, в текущем каталоге будет создан текстовый файл, содержащий список установленных программ с датой установки и номером версии. Имя текстового файла с результатами выполнения сценария — Имя компьютера.progs.txt

Пароли приложений в реестре Windows.

&nbsp &nbsp Единого места хранения паролей для прикладных программ в реестре Windows не предусмотрено, однако, имеется несколько разделов, которые стандартно используются популярными приложениями.

Сразу добавлю, практически нет никаких шансов получить какой-либо пароль с помощью простого просмотра данных реестра. Пароли, в подавляющем большинстве случаев, хранятся в зашифрованном виде, и для их дешифрации потребуется специальное программное обеспечение.

Для доступа к некоторым разделам реестра, где хранятся данные о паролях, потребуется запуск редактора реестра с правами локальной системной учетной записи (Local System).

В качестве места хранения паролей обозревателя Internet Explorer (до версии 7.0) для доступа к сайтам, паролей для почтовых учетных записей и паролей FTP-доступа используется Защищенное хранилище ( Protected Storage ) . Информация запоминается в специальном разделе реестра

HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider

Новые версии Internet Explorer (7.0 и старше) хранят пароли и информацию для автозаполнения форм в двух разных местах — в защищенном хранилище, определяемом разделом реестра

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2 и в специальном файле ( credentials ) в каталоге пользователя Windows XP

Documents and Settings\имя пользователя\Application Data\Microsoft\Credentials

Для Windows 7 используются скрытые папки Credentials в каталогах профилей пользователя, например «C:\Users\Имя пользователя\Local Settings\Microsoft\Credentials\»

Данные об учетных записях почтовых клиентов и некоторых других сетевых приложений можно найти в разделе

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts

Но информация о паролях также зашифрована.

Учетные записи для dialup (VPN) — подключений и данные об учетных записях некоторых других типов можно найти в разделе

Для доступа к разделу нужны права локальной системной учетной записи. Информацию о паролях в открытом виде найти не удастся.

Есть очень редко встречающиеся приложения, хранящие пароли доступа в ключах реестра в открытом виде, но это не правило, а исключение из правила, поэтому, если вам нужно восстановить забытый пароль, редактор реестра вам не поможет. Пользуйтесь например, программами для восстановления забытых паролей от Nirsoft

Ассоциации расширений файлов и приложений.

&nbsp &nbsp Как я уже упоминал выше, корневой раздел реестра HKEY_CLASSES_ROOT ( сокращенное обозначение HKCR ) — используется для ассоциации между приложениями и расширениями файлов. Другими словами, содержимое данного раздела, определяет, какие приложения, и каким образом, обрабатывают файлы с определенными расширениями. Например, при установленном пакете Microsoft Office, файлы с расширением .doc отображаются в проводнике с иконкой ассоциированного с данным типом файлов приложения Microsoft Word, а двойной щелчок на ярлыке такого файла вызовет его открытие для редактирования в Word’е.
Для просмотра и изменения ассоциаций файлов и приложений можно воспользоваться меню
Панель управления — Свойства папки — Типы файлов
При создании ассоциаций выполняется запись определенных данных в раздел HKCR, что позволяет сопоставить определенному типу файла нужное для его обработки приложение и соответствующую ему иконку. В качестве примера я взял записи в HKCR, относящиеся к файлам с расширением .3gp
Отрываем раздел HKEY_CLASSES_ROOT\.3gp

Первый строковый параметр (Параметр по умолчанию) определяет имя раздела в HKCR, данные которого, описывают приложение, сопоставленное расширению файла .3gp. Остальные параметры не обязательны, и описывают тип содержимого для файлов .3gp.
В данном случае, раздел реестра для ассоциации приложения с типом файлов .3gp — HKEY_CLASSES_ROOT\mplayerc.3gp

Количество и содержание подразделов и отдельных ключей определяется особенностями конкретных типов файлов и ассоциируемых с ними приложений, однако практически всегда присутствуют

DefaultIcon — параметр по умолчанию указывает на файл, содержащий иконку, сопоставленную файлам с данным расширением. В данном примере для открытия файлов с расширением .3gp используется приложение Media Player Classic , набор иконок которого хранится в библиотеке mpciconlib.dll в каталоге программы. Значение строкового параметра
«C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpciconlib.dll»,28
Где 28 — порядковый номер иконки. Одно и то же приложение может быть ассоциировано с несколькими типами файлов, и иметь несколько разных вариантов отображаемых иконок.

Shell — раздел определяет набор возможных действий над файлом данного типа.

Подраздел Open раздела Shell определяет действие при открытии файла .3gp
Подраздел Command раздела Open задает команду, выполняемую при открытии файлов .3gp. В данном случае:
«C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe» «%1»
Т.о. при открытии файла с расширением .3gp, например, двойным щелчком мышки, будет запущен проигрыватель Media Player Classic, и в качестве входного параметра ему будет передано имя проигрываемого файла («%1» в строке команды).

В ветви HKEY_CLASSES_ROOT есть раздел с именем «*» . Параметры, задаваемые в данном разделе определяют действия, выполняемые по отношению ко всем расширениям файлов, в том числе и не зарегитрированным. Действия по отношению к папкам определяются содержимым раздела HKEY_CLASSES_ROOT\ Folder .

Ограничение доступа пользователя к ресурсам.


Скрываем логические диски


Изменяем меню кнопки «ПУСК»

NoRun =dword:00000001 нет кнопки «Выполнить»
NoLogOff=hex:01 00 00 00 ( не dword а hex) нет «Завершение сеанса »
NoFind =dword:00000001 — нет пункта «Найти»
NoFavoritesMenu =dword:00000001 нет «Избранное»
NoRecentDocsMenu =dword:00000001 нет «Документы»
NoSetFolders =dword:00000001 нет «Панели управления» в подменю «Настройка»
NoSetTaskbar =dword:00000001 нет «Панель задач» там же
NoPrinters =dword:00000001 нет «Принтеры» в Панели управления
NoAddPrinter =dword:00000001 нет «Добавить принтер»
NoDeletePrinter=dword:00000001 нет «Удалить принтер»
NoDesktop=dword:00000001 Пустой рабочий стол
NoNetHood =dword:00000001 нет «Сетевое окружение»
NoInternetIcon =dword:00000001 нет значка «Интернет» на Рабочем столе Windows
NoTrayContextMenu =hex:01,00,00,00 -Отключить меню, вызываемое правой кнопкой мыши на панели задач
NoViewContextMenu =hex:01,00,00,00 — Отключить меню, вызываемое правой кнопкой мыши на Рабочем столе: Чтобы включить обратно, надо 01 заменить на 00.
NoFileMenu
=hex:01,00,00,00 скрыть » File » в верхней строке меню Проводника
ClearRecentDocsOnExit =hex:01,00,00,00 не сохранять список последних открываемых документов по выходу из системы.

Параметры, изменяющие системные настройки среды пользователей Windows XP хранятся в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ System

NoSecCPL =dword:00000001 отключает доступ к значку «Пароли» в Панели управления
NoAdminPage=dword:00000001 скрывает вкладку «Удаленное управление»
NoProfilePage
=dword:00000001 скрывает вкладку «Профили пользователей»
NoPwdPage«=dword:00000001 скрывает вкладку «Смена паролей»
NoDispCPL=dword:00000001 отключает доступ к значку «Экран» в Панели управления
NoDispAppearancePage=dword:00000001 скрывает «Оформление» в окне свойств экрана
NoDispBackgroundPage=dword:00000001 скрывает «Фон» в окне свойств экрана
NoDispScrSavPage скрывает «Заставка» в окне свойств экрана
NoDispSettingsPage=dword:00000001 скрывает «Настройка» в окне свойств экрана
NoConfigPage=dword:00000001 скрывает «Профили оборудования» в окне свойств системы
NoDevMgrPage=dword:00000001 скрывает вкладку «Устройства» в окне свойств системы
NoFileSysPage=dword:00000001 скрывает кнопку «Файловая система. » на вкладке «Быстродействие» в окне свойств системы
NoVirtMemPage=dword:00000001 скрывает кнопку «Виртуальная память. » на вкладке «Быстродействие» в окне свойств системы
DisableRegistryTools=dword:00000001 запрет Regedit.exe или Regedt32.exe

&nbsp &nbsp Некоторые из перечисленных запретов на действия пользователя используют не только системные администраторы, но и внедрившиеся в систему вирусы. Обычно выполняется запись в реестр данных, блокирующих возможность поиска и удаления внедрившегося вредоносного программного обеспечения и, в качестве завершающего аккорда — запрет на запуск редактора реестра (DisableRegistryTools). Как следствие, даже обладая правами администратора, пользователь не имеет возможности что-либо сделать со своим собственным реестром. Попытка запуска редактора завершается подобным сообщением:

Администратор компьютера получает сообщение Редактирование реестра запрещено администратором системы . Иногда вирусное заражение сопровождается еще и блокировкой запуска менеджера программ, блокировкой некоторых пунктов контекстного меню проводника или невозможностью его запуска вообще.

Для управления разрешениями, на практике используются редакторы групповых политик, предоставляющие более удобный пользовательский интерфейс при выполнении задач по разграничению прав пользователей.

Практические примеры и советы


Настройка автозапуска сменных носителей.

Тип дисков, с которых необходимо разрешить или запретить автозапуск определяется значением ключа NoDriveTypeAutoRun в разделе
HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
NoDriveTypeAutoRun — это маска запрета автозапуска — шестнадцатеричное число, биты которого, установленные в единицу, означают запрет, а в ноль — разрешение автозапуска:

Типам дисков соответствуют биты маски (начиная со старшего разряда)

7 разряд — неопределенный (зарезервированный) тип (Unspecified Reserved Type)
6 разряд — виртуальный диск в оперативной памяти (DRIVE_RAMDISK)
5 разряд — CD/DVD диск (DRIVE_CDROM)
4 разряд — сетевой диск (DRIVE_REMOTE)
3 разряд — несъемный жесткий диск (DRIVE_FIXED)
2 разряд — съемный диск (DRIVE_REMOVABLE)
1 разряд — диск без каталога в корне диска (DRIVE_NO_ROOT_DIR)
0 разряд — диск не распознан (DRIVE_UNKNOWN)

Значение маски NoDriveTypeAutoRun по умолчанию — 0x95, т.е. 10010101 в двоичном виде. Таким образом, запрещен автозапуск с устройств, тип которых задан 7,4,2,0 разрядами — с дисков неопределенного типа, сетевых, съемных и нераспознанных. Разрешен автозапуск с дисков, тип которых определяется 6,5,3,1 разрядами, т.е. для ramdisk, CD/DVD, несменных жестких дисков, и дисков без каталога в корне. Для разрешения автозапуска с любых дисков все биты маски NoDriveTypeAutoRun нужно установить в ноль (0x0), для разрешения — в единицу (0xFF). для разрешения автозапуска только с CD/DVD носителей NoDriveTypeAutoRun должен быть равен 0x20.
С появлением вирусов, распространяющихся через съемные USB диски (флешки), автозапуск программ с внешних носителей стал серьезной угрозой безопасности компьютера и практически, как способ запуска программ, не используется. Обновления безопасности Майкрософт полностью блокируют данную возможность не только для маски NoDriveTypeAutoRun, но и настройками запрета обработки самого файла autorun.inf, в котором содержится информация о запускаемом приложении. Например, следующим образом

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=»@SYS:DoesNotExist»

Для полного исключения автозапуска программ с любых носителей можно выполнить импорт в реестр reg-файла следующего содержания:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
«AutoRun»=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=»@SYS:DoesNotExist»
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
«*.*»=»»

В списке установленных программ присутствует программа, которая уже была удалена


Постоянно приходится указывать путь на дистрибутив Windows


Проблемы с русским шрифтом на некоторых программах


Снятие пароля с заставки (ScreenSaver’а)

Параметры рабочего стола текущего пользователя задаются значениями ключей раздела реестра
HKEY_CURRENT_USER\Control Panel\Desktop
Ключи данного раздела реестра определяют не только внешний вид рабочего стола, но и некоторые другие параметры поведения системы, например, при выключении и перезагрузке. Так, ключ WaitToKillAppTimeout определяет время ожидания принудительного завершения приложения в миллисекундах( стандартное значение — 20000 или 20 секунд).
Использование экранной заставки определяется значением параметра ScreenSaveActive
1 — заставка используется
0 — заставка не используется

Параметр ScreenSaveTimeOut определяет время ожидания в секундах для активации заставки.
Параметр SCRNSAVE.EXE указывает на файл с расширением .scr используемый для формирования заставки.
Для снятия пароля с заставки для рабочего стола нужно установить значение ключа ScreenSaverIsSecure равным нулю.

Очистка имени пользователя в окне регистрации при входе в систему

Запрет /разрешение запуска редактора реестра и диспетчера задач.

Для запрета запуска редактора реестра любым пользователем используется раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools =dword:00000001 запрещено запускать
DisableRegistryTools =dword:00000000 разрешено запускать
DisableTaskMgr — =dword:00000001 запрещено запускать
DisableTaskMgr — =dword:00000000 разрешено запускать
Для ограничения запуска редактора реестра и диспетчера задач текущего пользователя аналогичные значения устанавливаются в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Изменение языка по умолчанию в окне входа в систему

Выбор языка ввода определяется разделом реестра

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload .
В разделе имеется два строковых параметра — «1» и «2».
Если значения равны:
1=00000409
2=00000419
то раскладка в окне входа в систему станет английской.
Если значения параметрам присвоить наоборот («1″=00000419, «2»= 00000409) — то раскладка станет русской.

Информация о версии Service Pack

При установке Service Pack проверяется ключ реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\CSDVersion .
Значение REG_DWORD = 0x00000100 указывает на Service Pack 1 ( Windows 7 )
Значение REG_DWORD = 0x00000400 указывает на SP4 ( Windows XP )
Если номер версии устанавливаемого обновления ниже, то установка не выполняется. Если вам нужно все же установить более раннюю версию, можно подправить это значение, например на REG_DWORD = 0x00000300 для Service Pack 3

В реестре также имеется ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \CSDVersion
где хранится текстовое значение для версии Service Pack
«CSDVersion»=»Service Pack 1»

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Microsoft Internet Information Server 4.0

Microsoft Internet Information Server (IIS) — базовый компонент для создания серверов Интернета или интрасети на платформе Windows NT Server 4.0. IIS (в настоящее время поставляется версия 4.0) может использоваться сам по себе для создания Web-сервера или, в сочетании с совместимыми технологиями, для создания Web-приложений и развертывания многофункциональных узлов Интернета и интрасети.

IIS тесно интегрирован с Windows NT Server 4.0, что позволяет использовать преимущества встроенных средств защиты Windows NT Server и файловой системы Windows NT (NTFS). Кроме того, интеграция IIS с операционной системой позволяет привлечь к поддержке Web-узла и разработке приложений различные компоненты семейства серверных продуктов Microsoft BackOffice, включая представительский сервер Microsoft Proxy Server, клиент-серверную СУБД Microsoft SQL Server, клиент-серверную систему сообщений Microsoft Exchange Server и другие компоненты.

Internet Information Server поддерживает протокол HTTP 1.1 и службы WWW, FTP, SMTP и NNTP. Помимо естественных для Web-сервера служб WWW и FTP в состав Internet Information Server включена служба Microsoft SMTP, позволяющая развернуть сервер электронной почты, и служба Microsoft NNTP — сервер поддержки групп новостей и конференций.

Internet Information Server 4.0 входит в состав пакета Windows NT 4.0 Option Pack. В этот пакет включены также Microsoft Transaction Server 2.0 (MTS), Microsoft Management Console 1.0 (MMC), Microsoft Index Server 2.0, Microsoft Certificate Server 1.0 и Microsoft Site Server Express 2.0 (SSE).

Требования к платформе и установка

IIS можно устанавливать на компьютеры с процессорами Intel и Alpha. В первом случае будут доступны все функции Internet Information Server, а во втором — отсутствуют компоненты и примеры языка Microsoft Visual Basic, компоненты и примеры языка Microsoft Visual J++ и виртуальная Java-машина.

Минимальные требования к аппаратуре и рекомендуемые компанией Microsoft конфигурации в случае стандартной установки IIS для каждой из двух поддерживаемых платформ перечислены в приведенной ниже таблице.

Платформа Intel x86 Alpha
Компонент Минимальные требования Рекомендуемая конфигурация Минимальные требования Рекомендуемая конфигурация
Процессор 486-й 50 МГц Pentium 90 МГц или более быстрая модель 150 МГц 200 МГц
ОЗУ, Мбайт 16 32-64 48 64
Дисковое пространство, Мбайт 50 200 50 200
Монитор VGA SVGA VGA SVGA

Встроенный мастер делает установку Internet Information Server и его компонентов не слишком сложным делом: сначала вы выбираете необходимые компоненты и отвечаете на вопросы о параметрах конфигурации, после чего мастер выполняет установку необходимого программного обеспечения. Мастер предложит вам выбрать один из трех вариантов установки: минимальный, стандартный и выборочный. Как обычно, первый из них экономит дисковое пространство за счет функциональных возможностей; отметим, что поддержка служб SMTP и NNTP, а также сервер сертификатов и Site Server Express устанавливаются только в режиме выборочной установки.

Установка IIS приводит к ряду изменений конфигурации Windows NT Server. Программа установки создает метабазу — компактную, эффективную и доступную базу данных, выполняющую функции реестра Windows NT в отношении параметров конфигурации IIS. В список служб Windows NT Server 4.0 добавляются службы Web-сервера, а в базу учетных данных Windows NT Server — учетная запись пользователя IIS под названием IUSR_имя компьютера (например, если ваш компьютер называется Server1, после установки IIS в списке пользователей появится учетная запись IUSR_Server1). Наличие учетной записи пользователя IIS позволяет защитить сервер IIS от проникновения извне.

Архитектура

Internet Information Server поддерживает все основные протоколы Интернета, включая HTTP, FTP, SMTP, NNTP, POP3 и IMAP. Основными составляющими архитектуры IIS являются процесс Inetinfo, коннекторы, системные службы Microsoft Windows NT, службы Web и прикладные службы.


Процесс Inetinfo, коннекторы и системные службы

Все службы сервера реализованы в одном процессе Inetinfo. Помимо служб Интернета в его состав входят общий пул потоков, кэш, службы протоколирования и поддержка протокола SNMP.

Коннекторы IIS реализованы в виде библиотек динамической загрузки (Dynamic Link Library, DLL) интерфейса ISAPI, образующих канал связи IIS с конкретной службой. В состав Internet Information Server входят следующие коннекторы:

Microsoft BackOffice, включая коннектор Microsoft Exchange Server/Web, поддерживающий интеграцию общих папок Exchange Server с IIS, и ODBC-коннектор, позволяющий взаимодействовать с любыми ODBC-совместимыми СУБД;

CGI-коннектор — интерфейс общего шлюза (Common Gateway Interface, CGI) создавался для UNIX-систем как механизм расширения возможностей серверных Web-приложений. IIS поддерживает CGI-приложения в целях обратной совместимости;

ISAPI-фильтры используются для предварительной обработки пакетов, передаваемых процессу IIS или поступающих от него. Фильтры придают архитектуре IIS дополнительную гибкость. Например, поддержка протокола SSL в IIS реализована ISAPI-фильтром.

Активные страницы сервера (Active Server Pages, ASP) — открытая сценарная платформа для динамического создания Web-страниц.

Системные сервисы Windows NT образуют нижний уровень архитектуры IIS, обеспечивающий взаимодействие с протоколами TCP/IP посредством интерфейса Windows Sockets.

Службы Web

Средний уровень архитектуры IIS составляют службы Web. Здесь — сердцевина функциональных возможностей IIS (рис. 1).

Асинхронная очередь потоков (Asynchronous Thread Queue, ATQ), реализованная в виде библиотеки Isatq.dll, отвечает за поддержку потоков ввода/вывода. Средства ATQ позволяют в случае необходимости ограничить полосу пропускания, занимаемую Web-узлом.

Компонент Infocom.dll отвечает за поддержку кэша дескрипторов файлов, защиту и аутентификацию и решение других служебных задач. Isadmin — административный компонент, который реализует распределенную модель компонентных объектов (Distributed Component Object Model, DCOM) для метабазы, выполняя тем самым функции шлюза для администрирования служб IIS.

Компонент FTP обрабатывает FTP-запросы, а компонент WWW — HTTP-запросы. Компоненты SMTP, POP3 и NNTP поддерживают электронную почту и группы новостей. Каждый из них реализован в виде библиотеки динамической загрузки и может существовать в нескольких экземплярах.

CGI-компонент IIS обеспечивает поддержку интерфейса общего шлюза (Common Gateway Interface, CGI), применяемого для запуска внешних по отношению к Web-серверу приложений. Вместе с CGI поставляется набор интерфейсов, позволяющих Web-серверу взаимодействовать с ПО, установленным на том же компьютере. CGI-приложения расширяют возможности Web-сервера, выполняя несвойственные ему функции.

Интерфейс прикладного программирования Интернет-сервера (Internet Server API, ISAPI) — альтернатива интерфейсу CGI. ISAPI выгодно отличают малый объем служебных данных, быстрая загрузка, масштабируемость и эффективное использование ресурсов. ISAPI-приложения хорошо подходят для обработки запросов.

Еще один тип ISAPI-приложения — ISAPI-фильтр, который применяется для уведомления о различных событиях в ходе обработки HTTP-запросов. При первой загрузке ISAPI-фильтр, представляющий собой библиотеку DLL, извещает сервер о типе HTTP-событий, который он будет обрабатывать. В дальнейшем, получив уведомление о событии, фильтр может выполнить предусмотренные действия (например, запустить CGI-сценарий или ISAPI-приложение). Высокая эффективность ISAPI-фильтров позволяет применять их для решения широкого спектра задач, включая реализацию нестандартных схем аутентификации, сжатие и шифрование данных, специализированное протоколирование, анализ трафика и запросов и т.п.

Прикладные службы

Уровень прикладных служб — вершина архитектуры IIS. На этом уровне реализованы средства расширения IIS, в том числе ASP и Index Server (рис. 2).

Вся информация попадает на прикладной уровень (и покидает его) через диспетчер Web-приложений (Web Application Manager, WAM), реализованный в виде библиотеки Wam.dll. WAM располагается непосредственно над Web-службами и выполняет следующие функции:

предоставляет компоненты для размещения библиотек DLL интерфейса ISAPI;

обеспечивает стыковку ПО независимых поставщиков с базовыми средствами IIS;

обеспечивает поддержку создания экземпляров библиотек DLL интерфейса ISAPI;

обеспечивает восстановление после отказа приложения;

предоставляет средства для изоляции процессов.

ASP-компонент прикладного уровня реализует функциональные возможности активных страниц сервера. Index Server обеспечивает решение задач индексирования и поиска информации в файлах на сервере IIS. Он реализован в виде отдельной библиотеки интерфейса ISAPI. Объекты Index Server доступны и из активных страниц.

Компонент HTTP ODBC поддерживает сценарии коннектора баз данных (Internet Database Connector, IDC). IDC-сценарии применяются для динамического создания Web-страниц на основе информации, хранящейся в ODBC-совместимых базах данных.

Компонент SSI позволяет серверу IIS включать текст, графику и другую информацию в HTML-страницу непосредственно перед ее передачей пользователю. Средствами SSI на страницу можно добавить, например, дату и время создания или сведения об авторских правах. Использование SSI для включения информации в файлы особенно удобно для вставки текста или графики, повторяющихся во множестве файлов — вместо ввода одних и тех же данных в каждый файл вручную нужный файл загружается одной командой SSI.

Средства администрирования

Microsoft Management Console

Интерфейс администрирования IIS 4.0 основан на Microsoft Management Console — среде интегрирования административных инструментов различных приложений. В настоящее время Microsoft Management Console поставляется в составе пакета Microsoft Windows NT 4.0 Option Pack. В будущем компания Microsoft планирует преобразовать административный инструментарий последующих выпусков всех продуктов семейства Microsoft BackOffice, включая ОС Windows NT, в интегрируемые модули Microsoft Management Console.

Сам по себе интерфейс Microsoft Management Console не предоставляет никаких новых функциональных возможностей — это лишь среда для встраивания модулей, которые и реализуют фактические функции администрирования соответствующего продукта. В случае IIS таким модулем является Диспетчер служб Интернета (Internet Service Manager, ISM) — рис. 3.

Левое окно MMC содержит пространство имен, где отображаются все службы, администрируемые посредством Microsoft Management Console. На панели результатов — в правом окне Microsoft Management Console — отображается список всех составляющих выбранного элемента пространства имен. Кроме того, в верхней части окна Microsoft Management Console находятся три небольшие панели, где собраны все инструменты, реализующие конкретные функции управления (например, User Manager или Performance Monitor для IIS).

Управление службами, представленными на консоли Microsoft Management Console, осуществляется посредством выполнения различных действий над объектами пространства имен, а также с помощью команд и значков панели инструментов (ее содержимое автоматически изменяется в соответствии с выбранным объектом). В частности, с большинством объектов (например, с Web-узлами сервера) связаны окна свойств, позволяющие выполнять настройку их параметров. Пример такого окна приведен на рис. 4 — это окно Default Web Site Properties, предназначенное для настройки свойств Web-узла по умолчанию.

Построив консоль, то есть загрузив интегрируемые модули и организовав окна, можно сохранить ее в файле с расширением .MSC. В дальнейшем, загружая этот файл, вы воссоздадите состояние консоли на момент ее сохранения.

Средства удаленного администрирования на базе HTML

HTML-версия Диспетчера служб Интернета (HTML-based Administration, HTMLA) обеспечивает удаленное управление Web-сервером или отдельными Web-узлами из стандартного Web-обозревателя с поддержкой кадров и языка JScript (рис. 5).

HTML-версия Диспетчера служб Интернета поддерживает большинство функций встраиваемого модуля MMC и позволяет администратору заниматься учетными записями, протоколировать события, следить за производительностью, настраивать свойства сервера, управлять ключами и решать прочие задачи по управлению сервером. Тем не менее возможности HTMLA ограничены: эта версия не поддерживает операции, требующие взаимодействия с сервисами Windows NT, — например, отождествление сертификатов с учетными записями пользователей. Заметим, что по соображениям безопасности порт для HTMLA-соединения выбирается случайным образом.

Среда выполнения сценариев

Среда выполнения сценариев (Windows Scripting Host, WSH) обеспечивает поддержку сценариев для 32-разрядных платформ Microsoft Windows. Она позволяет выполнять сценарии непосредственно на рабочем столе Windows (Wscript.exe) или в окне MS-DOS (Cscript.exe) без необходимости встраивания сценария в HTML-документ. WSH идеально подходит для решения рутинных административных задач — например для создания сценариев регистрации.

Метабаза

Метабаза IIS — хранилище параметров конфигурации IIS. Кроме того, ее можно применять для хранения параметров Web-приложений на платформе IIS.

Метабаза разработана специально для IIS. Она эффективнее, гибче и легче расширяема, чем реестр Windows NT. В метабазу перенесена большая часть ключей реестра, связанных с IIS, однако реестр по-прежнему используется для инициализации служб Internet и обеспечения обратной совместимости с предыдущими версиями IIS.

Защита и аутентификация

Безопасность — предмет постоянного беспокойства всех администраторов, и администраторы Web-узлов — не исключение. Средства обеспечения безопасности Internet Information Server помогут администратору чувствовать себя несколько спокойнее.

Использование средств обеспечения безопасности Windows NT

Фундамент, на котором строится защита IIS, — средства обеспечения безопасности Windows NT Server; они значительно уменьшают риск несанкционированного проникновения в систему. Учетные записи пользователей Windows NT и права доступа файловой системы NTFS предоставляют в распоряжение администратора широкий спектр инструментов, позволяющих обеспечить безопасность сервера Интернета или интрасети.

Учетная запись Internet Guest создается при установке Microsoft Internet Information Server (IIS). По умолчанию все клиенты IIS регистрируются на сервере именно по этой учетной записи. При создании учетная запись Internet Guest добавляется в группу Guests, поэтому на нее распространяются все права, присвоенные этой группе. После установки IIS настоятельно рекомендуется проверить права группы Guests и убедиться, допустимы ли они для учетной записи Internet Guest.

На всех дисках, доступных пользователям Интернета или интрасети, рекомендуется установить файловую систему NTFS — она обеспечивает защиту файлов и контроль доступа к ним. В частности, доступ ко всем папкам и файлам, доступным из Интернета, рекомендуется контролировать с помощью списков контроля доступа (Access Control List, ACL).

Аутентификация

Чтобы предотвратить доступ анонимных пользователей к конфиденциальным материалам, можно воспользоваться средствами аутентификации пользователей Web-сервера. При этом пользователю придется ввести уникальные имя и пароль действующей учетной записи пользователя Windows NT. Права доступа аутентифицированного пользователя к файлам и каталогам определяются разрешениями NTFS, присвоенными его учетной записи.

Существует несколько стандартных методов аутентификации, которые позволяют администратору Internet Information Server управлять доступом к серверу и файлам. Среди них анонимный доступ, базовая аутентификация, аутентификация по методу Challenge/Response Windows NT, а также цифровые сертификаты. В дополнение к ним можно разработать специализированные методы, написав соответствующий ISAPI-фильтр.

При аутентификации средствами протокола SSL 3.0 сервер проверяет содержимое цифрового сертификата — удостоверения, предъявленного Web-обозревателем пользователя при регистрации. Пользователи получают эти цифровые удостоверения, или клиентские сертификаты, от сторонней организации, которой доверяют обе стороны. Такой сертификат обычно содержит идентификационную информацию пользователя и организации, выдавшей сертификат.

Получив для своего сервера серверный сертификат во внешней сертифицирующей организации, вы можете воспользоваться услугами сервера сертификатов Microsoft Certificate Server для выдачи, обновления и отзыва сертификатов клиентов без помощи внешних сертификационных органов. Certificate Server позволяет администратору полностью контролировать политику использования сертификатов, а также формат и содержимое самих сертификатов.

Контроль доступа по IP-адресу

Возможности Internet Information Server позволяют разрешать и запрещать доступ к серверу клиентам с определенными IP-адресами. Например, запретив доступ к своему серверу для определенного IP-адреса, можно оградить узел от конкретных пользователей или даже от целых сетей. В большинстве ситуаций защиты по IP-адресу достаточно, однако следует помнить о возможности атак, связанных с подменой IP-адреса в заголовках пакетов.

Ограничения на доступ по IP-адресам и именам доменов задаются при помощи административных средств Internet Information Server. При конфигурировании параметров защиты конкретного Web-узла или папки они автоматически распространяются на все вложенные папки и файлы (если параметры защиты для последних не установлены ранее в индивидуальном порядке). Механизм наследования параметров защиты характерен для всех методов обеспечения безопасности Internet Information Server.

Web-приложения

Internet Information Server позволяет разворачивать масштабируемые серверные приложения для создания самого современного наполнения Web-узлов (рис. 6).

Активные страницы сервера (Active Server Pages, SP) позволяют комбинировать HTML, сценарии и повторно используемые серверные компоненты ActiveX для создания динамических Web-узлов. ASP поддерживает выполнение сценариев на языках Microsoft Visual Basic Scripting Edition (VBScript) и Microsoft JScript на сервере Internet Information Server. Вся обработка ASP осуществляется на сервере. В результате обработки ASP-страницы получается HTML-документ, который и возвращается клиенту.

Основное достоинство ASP в том, что этот подход позволяет разработчику создавать динамическое наполнение узла. В результате Web-узел может предоставлять пользователю материалы, соответствующие его предпочтениям, демографическим данным или другим критериям (например, возможностям его Web-обозревателя).

Объектная модель

Объектная модель ASP предоставляет в распоряжение разработчика набор встроенных объектов, поддерживающих выполнение базовых функций типичного Web-приложения.

Объект Server предоставляет доступ к методам и свойствам сервера.

Объекты Application и Session: поскольку HTTP — протокол без постоянного соединения, стандартный Web-сервер не поддерживает информацию о состоянии клиентов. Однако для создания динамических приложений такая информация необходима, поэтому технология ASP обеспечивает ее поддержку с помощью объектов Application и Session. Состояние приложения доступно как в контексте приложения, так и в контексте сеанса.

Объект Application представляет собой хранилище информации и объектов, доступных всем пользователям приложения; в этом смысле он хранит глобальные объекты и данные. Объект Session содержит информацию о сеансе работы конкретного клиента, для каждого из которых создается отдельная копия объекта Session. Web-сервер автоматически создает объект Session в начале сеанса, когда пользователь запрашивает какую-либо Web-страницу из состава приложения. Сервер уничтожает объект Session по завершении сеанса.

В объектах Session часто хранятся выбранные пользователем значения. Например, приложение может отслеживать элементы каталога продукции, которые выбрал посетитель во время «путешествия» по электронному магазину на вашем узле.

Объект Request содержит информацию, переданную клиентским обозревателем Web-серверу в HTTP-запросе.

Объект Response передает информацию клиенту.

Объект ObjectContext служит для завершения или отмены транзакции, инициированной сценарием ASP. Объект ObjectContext содержит информацию о транзакциях, а также сведения о клиенте и о состоянии клиентского подключения к серверу. Это позволяет, например, отменить ресурсоемкую транзакцию, если пользователь закрыл страницу.

Помимо встроенных объектов разработчику доступен широкий спектр устанавливаемых объектов, таких как Content Linking, реализующий список универсальных указателей ресурсов Web-узла. Он автоматически создает и обновляет «оглавление» узла и список ссылок на предыдущие и последующие Web-страницы, что прекрасно подходит для таких приложений, как электронные газеты и форумы.

Доступ к данным

Доступ к данным — одна из самых важных составляющих современных Web-приложений. Активные объекты данных (Active Data Objects, ADO) обеспечивают возможность доступа к различным источникам данных из ASP-страниц. Если ваш Web-узел предназначен для доступа к базам данных, будь то прайс-листы, инвентаризационная информация или система заказа авиабилетов, с помощью ADO и активных страниц сервера вы сможете реализовать все необходимые функции. В состав Internet Information Server входят драйверы для баз данных Microsoft SQL Server, Microsoft Access и Oracle.

Интерфейс OLE DB расширяет возможности ODBC, обеспечивая доступ ко многим другим источникам данных, включая файлы Microsoft Excel, текстовые файлы, файлы журналов, сообщения Microsoft Exchange Server, файлы индексно-последовательного доступа, виртуальные хранилища и т.д.

Серверные ActiveX-компоненты

Серверные ActiveX-компоненты предназначены для расширения функциональных возможностей ASP и в этом смысле являются логическим развитием сценариев. В случае когда в состав ASP-страницы входит повторяющаяся процедура (например, реализующая бизнес-логику), приложение будет лучше масштабируемым и более целостным, если реализовать его как серверный ActiveX-компонент, а не сценарий.

Серверные ActiveX-компоненты по сути представляют собой ActiveX-компоненты без пользовательского интерфейса. Компоненты можно разрабатывать на любом языке, позволяющем создавать компоненты сервера автоматизации: Microsoft Visual C++, Microsoft Visual Basic или Microsoft Visual J++.

Серверные ActiveX-компоненты устанавливаются и запускаются на Web-сервере. Доступ к ним возможен с помощью любого Web-обозревателя. Сервер на базе компонентов ActiveX расширяем, что позволяет разработчикам создавать серверные ActiveX-компоненты различного назначения, которые можно использовать в Интернете и интрасетях.

Это один из самых распространенных интерфейсов расширения Web-сервера, позволяющий запускать на Web-сервере внешние приложения. Например, если клиент заполняет HTML-форму на Web-узле, CGI позволяет организовать передачу введенной пользователем информации внешнему приложению для обработки, а затем, например, предоставить пользователю результаты работы приложения в виде HTML-страницы.

CGI-приложения часто разрабатываются на сценарных языках, таких как Practical Extraction and Report Language (PERL). Благодаря своей переносимости эти языки получили широкое распространение как способ расширения функциональных возможностей Web-серверов. Любой сценарий на языке PERL можно просто скопировать с Web-сервера под управлением ОС UNIX и запустить его на сервере Internet Information Server. Для переноса двоичных приложений понадобится перекомпиляция. IIS поддерживает версию 5.0 языка PERL.

Несмотря на гибкость и переносимость Web-узлов с интенсивной нагрузкой, CGI-приложения могут создать проблему, так как для каждого CGI-запроса создается новый процесс. После того как CGI обслужит запрос, процесс и вся связанная с ним информация уничтожается. Например, сценарий вычисления значения счетчика числа посещений страницы будет запускаться при каждом обращении к ней. При интенсивном трафике этот подход может значительно замедлить работу узла из-за отсутствия кэширования информации при выполнении CGI-запросов.

ISAPI

Интерфейс прикладного программирования Интернет-сервера (Internet Server API, ISAPI), разработанный компанией Microsoft, представляет собой набор основных процедур, служащих для вызова внешних приложений и для обмена данными между программой-клиентом и сервером. Благодаря выполнению в контексте процесса сервера IIS ISAPI-приложения избавлены от проблем производительности, присущих CGI. Кроме того, ISAPI-фильтры — эффективный метод предварительной и заключительной обработки пакетов.

ISAPI — это открытая спецификация, поддерживаемая Web-серверами сторонних производителей для Windows NT и других операционных систем. В сочетании с Internet Information Server и Windows NT Server ISAPI позволяет создать высокопроизводительную, масштабируемую и эффективную платформу поддержки протокола HTTP.

Коннектор баз данных — еще одно средство расширения возможностей Internet Information Server. IDC представляет собой ISAPI-приложение, которое позволяет связывать Web-страницы с любой базой данных, поддерживающей интерфейс ODBC. Вот некоторые «плюсы» этого подхода:

шаблон HTML, позволяющий публиковать результаты выполнения запроса к базе данных в виде HTML-страницы;

возможность интерактивной разработки приложений с помощью СУБД Microsoft SQL Server (и других ODBC-совместимых источников данных);

отсутствие необходимости программирования — достаточно сформировать запрос и создать шаблон для вывода данных;

высокая производительность — соединитель представляет собой ISAPI-расширение, выполняющееся в контексте процесса IIS.

Microsoft Transaction Server

Microsoft Transaction Server предоставляет программную модель, обеспечивающую поддержку многопользовательских Web-приложений. Он позволяет применить приобретенные разработчиком навыки работы с основными инструментами разработки приложений для настольных систем — Microsoft Visual Basic, Microsoft Visual C++ или Microsoft Visual J++ — для создания надежных и масштабируемых Web-приложений.


Интеграция Internet Information Server с Microsoft Transaction Server позволяет выполнять ASP как компонент среды MTS, обеспечивая изоляцию процессов, поддержку транзакций и присущую приложениям на базе MTS масштабируемость. Приведем простой пример, заимствованный из комплекта примеров приложений IIS 4.0, — набор ASP-страниц и компонентов, имитирующих сеанс работы клиента с банковским Web-узлом.

Это приложение состоит из четырех компонентов (рис. 7):

Account — использует вызовы ODBC для модификации состояния счета в базе данных;

MoveMoney — выполняет операции дебетования, кредитования и перевода с различными банковскими базами данных;

Receipt — порождает уникальный идентификатор для каждой банковской транзакции;

UpdateReceipt — выделяет диапазон уникальных идентификаторов для счетов.

Этот пример показывает, как интеграция ASP и Microsoft Transaction Server позволяет воспользоваться всеми преимуществами передовых серверных технологий: транзакции, независимость от физического местонахождения компонентов, управление потоками и процессами, а также пул подключений к базе данных. Как показано на рис. 7, в рамках приложения выполняется несколько процессов:

1. Клиент инициирует банковскую транзакцию, вызывая компонент MoveMoney.

2. Компонент MoveMoney вызывает компонент Account для каждой базы данных, которую ему нужно модифицировать, а также компонент Receipt для каждой банковской транзакции.

Компоненты Account обращаются к базе данных SQL Server посредством распределителей ресурсов ODBC Microsoft Transaction Server — механизма обеспечения высокопроизводительного доступа к базам данных.

Microsoft Transaction Server гарантирует, что действия всех компонентов будут объединены в единое целое (транзакцию), даже если это разные компоненты, написанные на разных языках. Даже в случае, когда каждый из компонентов является простым однопользовательским компонентом ActiveX, транзакция выполняется как многопользовательская с помощью средств управления потоками и процессами Microsoft Transaction Server.

Предположим, что клиент с помощью Web-обозревателя подключается к Web-узлу банка и регистрируется, вводя свой идентификатор и пароль на соответствующей ASP-странице. В течение нескольких минут после первого запроса еще 100 пользователей точно так же подключаются к Web-узлу банка. В обработке их запросов участвуют следующие компоненты Microsoft Transaction Server: диспетчер запросов, диспетчер очереди, диспетчер соединений, диспетчер контекста и диспетчер защиты.

Диспетчер запросов управляет входящими соединениями. Диспетчер очереди отвечает за очередность обслуживания запросов. Диспетчер соединений отслеживает работу каждого клиента. Диспетчер контекста регистрирует клиентов. Диспетчер защиты предотвращает несанкционированный доступ клиентов к данным и приложениям.

Предположим, например, что клиент переводит деньги с одного счета на другой, так что операция затрагивает несколько баз данных. Для выполнения транзакции Microsoft Transaction Server привлекает пул потоков, процедуры бизнес-логики, диспетчер конфигурации, диспетчер подключения к БД, компоненты диспетчера синхронизации и собственно данные.

Пул потоков организует потоки, необходимые для выполнения клиентской операции. Процедуры бизнес-логики выполняют дебетные, кредитные и трансферные функции. Диспетчер синхронизации координирует транзакции между базами данных. Диспетчер конфигурации управляет потоками пула и другими ресурсами. Диспетчер подключения к БД выполняет необходимые подключения к конкретным базам данных.

Если наступила какая-либо экстренная ситуация — например, подключения к базам данных прерваны до завершения транзакции, диспетчер синхронизации зарегистрирует незавершенную транзакцию и восстановит исходное состояние контекста.

Решения на платформе IIS

Выбор Windows NT Server 4.0 и IIS в качестве платформы Web-сервера обеспечивает возможность расширения функциональных возможностей посредством дополнительных компонентов. Отличный пример продвижения в этом направлении — Microsoft Site Server и Microsoft Site Server Commerce Edition, базирующиеся на IIS-платформе для поддержки узлов корпоративной интрасети и коммерческих Web-узлов. Microsoft Site Server поддерживает широкий спектр средств публикации информации на узле интрасети, ее поиска, персонализации и доведения до пользователей. Microsoft Site Server Commerce Edition предоставляет в распоряжение разработчика узла электронной коммерции средства создания списков товаров/цен и их автоматического обновления, размещения рекламы, обработки заказов, безопасного обмена коммерческой информацией, поддержки платежей с помощью кредитных карточек и другие необходимые компоненты.

Заключение

Microsoft Internet Information Server (IIS) 4.0 — Интернет-сервер для платформы Microsoft Windows NT Server 4.0. IIS поддерживает стандартные протоколы Интернета, тесно интегрирован с операционной системой Windows NT Server 4.0, хорошо масштабируем и обладает широкими возможностями расширения. Internet Information Server представляет собой полнофункциональное серверное решение для поддержки Web-узла или узла интрасети практически любого масштаба — от небольшого офиса до крупной корпорации, мощную платформу для разработки Web-приложений и фундамент для создания решений в области электронной коммерции и Web-хости

Iis глобальные записи реестра

Эту статью не стоит рассматривать как полноценное руководство по безопасности при настройке Internet Information Services версии 7.x — для того уже существует несколько талмудов, которые описывают предмет нашего разговора во всей его красе. Но не у всякого администратора имеется возможность досконально изучить эти книги, а конфигурировать веб-сервер надо уже сейчас. Поэтому хочется опубликовать краткий обзор мер безопасности, которые необходимо иметь в виду, работая с IIS , некий чек- лист что ли, по которому можно быстро пробежаться, сравнить с требованиями своего проекта и корпоративными гайдами по информационной безопасности.

Обозначение 7.x означает, что здесь собран материал для обеих версий продукта: IIS 7 , поставляемый с Windows Server 2008 и Windows Vista , и IIS 7.5 , который Вы можете найти в «коробке» от Windows Server 2008 R2 и Windows 7 .

Все меры, представленные в данной подборке, ни в коем случае не являются ОБЯЗАТЕЛЬНЫМИ. Более того, они могут даже противоречить системным требованиям Ваших веб-приложений. Решение о принятии той или иной меры все таки необходимо выносить в условиях конкретной ситуации. Здесь меры будут носить лишь ОПИСАТЕЛЬНЫЙ характер, чтобы администратор знал — вот здесь еще можно подкрутить ;)

Все ответы

Основы безопасности IIS

Административные меры безопасности IIS

Максимальное усиление безопасности IIS

Кратко об Internet Information Services 7.x

Internet Information Services 7.x — компонент веб-сервиса компании Microsoft для операционной системы Windows Server 2008 (R2) .

На момент написания данного материала IIS 7.5 является последним в длинной линейке версий IIS . Начиная с версии 6.0, Microsoft в цикле разработки данного продукта решила сосредоточить особое внимание на безопасности и непрерывно следует этому подходу до сих пор. В результате IIS 7.x поставляется с большим количеством изменений по сравнению со своим предшественником и имеет огромное количество новых возможностей, которыми только надо умело пользоваться. IIS 7.x был полностью переработан и сейчас базируется на новой модульной архитектуре. Это означает, что вместо монолитного «черного ящика», который устанавливается по умолчанию и имеет лишь пару дополнительных возможностей, IIS 7.x теперь имеет около 40 отдельных компонентов — так называемых модулей. По умолчанию устанавливаются только самые основные модули; дополнительные же могут быть легко добавлены в случае необходимости. Это помогает значительно уменьшить площадь атаки на сервер, просто потому, что ненужные средства отсутствуют в системе. Модульная архитектура имеет множество преимуществ, и в части безопасности, и в администрировании, и в производительности веб-сервера. Кроме того, IIS 7.x не ограничивает Вас набором предразработанных модулей — пишите свои, если хотите заменить существующие, или есть требование расширить функциональность веб-сервера.

Ошибка доступа к реестру при перенастройке приложения ASP.NET в IIS7

Я запускаю Windows 7 64-bit и iis7. Я пытаюсь настроить веб-приложение, ранее существовавшее в iis6 на XP. Это дает мне ошибку ниже. Я добавил пользователя сетевой службы в группу пользователей монитора производительности безрезультатно.

Доступ к разделу реестра «Глобальный» отказано. Описание: необработанный исключение произошло во время выполнение текущего веб-запроса. Просмотрите трассировку стека информацию об ошибке и он возник из кода.

Сведения об исключении: System.UnauthorizedAccessException: Доступ к разделу реестра «Глобальный» отказано.

ASP.NET не имеет права доступа запрошенный ресурс. Рассматривать предоставление прав доступа к ресурсу к идентификатору запроса ASP.NET. ASP.NET имеет базовый идентификатор процесса (обычно \ASPNET на IIS 5 или сетевой службы на IIS 6), используется, если приложение не имитированы. Если приложение выдавать себя за личность будет анонимным пользователем (обычно IUSR_MACHINENAME) или аутентифицированный запросить пользователя.

Чтобы предоставить ASP.NET доступ к файлу, щелкните правой кнопкой мыши файл в проводнике, выберите «Свойства» и выберите Вкладка «Безопасность». Нажмите «Добавить», чтобы добавить соответствующего пользователя или группы. основной момент учетной записи ASP.NET, и проверьте коробки для желаемого доступа.

Проблема в том, что пользователь в Windows известен как DefaultAppPool. Однако он не появляется нигде в диалоговом окне безопасности. Однако он настоящий пользователь. Моя проблема заключалась в том, что мне нужен был этот пользователь, чтобы быть частью группы PerformanceMonitorUsers, потому что мой веб-сервис использовал PerformanceCounters. Оказывается, вам нужно сделать это из командной строки.

net localgroup «Пользователи монитора производительности» DefaultAppPool/add

Иногда это не работает, и это даст вам ошибку: «Нет такого пользователя или группы: DefaultAppPool»

Чтобы добавить пользователя другим способом:

  • Перейдите в меню «Пуск» в Windows 7.
  • В поле поиска введите «Редактировать пользователей».
  • Откройте «Редактировать локальные пользователи и группы».
  • Перейдите в папку групп.
  • Щелкните правой кнопкой мыши группу «Пользователи монитора производительности» и перейдите к свойствам.
  • Нажмите кнопку «Добавить».
  • Введите «IIS APPPool\DefaultAppPool» и нажмите «Проверить имена».
  • Нажмите «ОК», и вам будет хорошо идти.

Iis глобальные записи реестра

В нашем примере будет использоваться 1C с локальной файловой базой

Установка IIS на Windows 7

Пуск — Панель управления — Программы и компоненты — Включение или отключение компонентов Windows

Выбираем необходимые компоненты: Службы IIS, ASP.NET, Консоль управления IIS и нажимаем ОК

Установка IIS на Windows Server

Установка IIS на Windows Server происходит аналогично через Добавление Ролей и компонентов

Настройка IIS под 1С

Добавление пользователя IUSR в группу IIS_IUSRS

Для настройки прав доступа необходимо добавить пользователя IUSR в группу IIS_IUSRS, иначе при попытке публикации 1С на сервер Вы будете получать ошибку

Запускаем оснастку управление компьютером Win+R -> compmgmt.msc или через меню пуск:

В оснастке выбираем: Локальные пользователи и групп -> Группы -> IIS_IUSRS открываем свойства группы двойным щелчком ЛКМ

В эту группу нам необходимо добавить пользователя IUSR, для того чтобы предоставить необходимые права доступа, для этого жмем кнопку Добавить

Набираем имя пользователя IUSR и нажимаем кнопку Проверить имена, если пользователь будет найден, то он станет подчеркнутым, нажимаем ОК. Если пользователь не находится нажмите кнопку Размещение… и смените место поиска.

Проверяем, что наш пользователь появился и жмем ОК

Настройка сайта и приложения в IIS

Запускаем Диспетчер служб IIS удобным для Вас способом, например: Win+R -> InetMgr

В левой части экрана раскрываем ветку с сайтами. Останавливаем сайт по умолчанию Default Web Site или модифицируем его, я предпочитаю делать отдельный.

Жмем ПКМ на сайты и выбираем пункт Добавить веб-сайт

Заполняем параметры сайта

Имя сайта: Любое
Физический путь: Создаем каталог где будет храниться наш сайт (файлы сайта)
Тип: Выбираем протокол HTTP или HTTPS
Порт: Задаем порт, порт может быть любой свободный. Стандартный порт для HTTP — 80, для HTTPS 443
Сертификаты SSL: Сертификаты нужны если Вы используете защищенный протокол HTTPS. Если у Вас нет сертификата для Вашего узла, можно использовать серверный самоподписанный IIS Express Development Certificate.

Проверяем, что наш сайт появился и запустился

Вместе с сайтом так же должен был создаться пул приложений с таким же названием.
Переходим выше по ветке в раздел Пулы и приложений и находим наше приложение, в данном случае 1с

Выбираем наш пул приложений 1с и нажимаем в правой части Дополнительные параметры…

В Дополнительных параметрах находим строки:
Версия среды .NET Framework — выбираем версию v.4.0+
Разрешены 32-разрядные приложения и выбираем значение True
Внимание! Если Вы будете публиковать x64 битную платформу данное значение оставляем False,иначе будете получать ошибку 0x800700c1
(Эта проблема возникает из-за неверного сопоставление сценариев. Убедитесь в том, что сопоставление сценария указывает на ISAPI DLL-файл, который может обработать запрос. Чтобы сделать это, выполните следующие действия.)
Режим управляемого конвейера — выбираем значение Classic

Настройка доступа для группы IIS_IUSRS

Настройка необходимого доступа для группы IIS_IUSRS, для корректной работы нашего сайта (1с) и корректной публикации.

Для начала необходимо дать права группе IIS_IUSRS к каталогу в котором находятся (будут находиться) файлы нашего сайта. В нашем примере файлы сайта находятся в C:\inetpub\www\1c.
Переходим в каталог C:\inetpub\www\ -> нажимаем ПКМ на каталоге 1с -> в меню выбираем пункт Свойства -> переходим на вкладку Безопасность -> жмем кнопку Изменить… -> кнопку Добавить… -> в поле вписываем название группы IIS_IUSRS (при необходимости меняем место Размещения) -> нажимаем кнопку Проверить имена.

Если группа найдена она станет подчеркнутой, жмем ОК.

Далее проставляем галочки необходимых прав:

— Чтение и выполнение
— Список содержимого папки
— Чтение

Тоже самое с правами, мы делаем для каталога куда установлена и каталога куда развернута наша файловая база. Если Вы используете базу SQL, то Вам НЕ нужно задавать права на каталог с базой.
Обращаем внимание, что для каталога с базой так же нужны права на запись!

Расположение файловой базы Вы можете посмотреть запустив 1С Предприятие

Публикация 1с

Запускаем 1с Предприятие -> Конфигуратор -> Администрирование -> Публикация на веб-сервере…

Выбираем каталог где будут файлы сайта и жмем Опубликовать

Коды состояния служб IIS

Аннотация

При обращении пользователей к серверу, на котором запущены информационные службы Интернета (Internet Information Services, IIS), по протоколу HTTP или FTP (File Transfer Protocol), сервер возвращает число, показывающее состояние выполнения запроса. Данное число называется кодом состояния и сохраняется в журнале служб IIS, а также может отображаться веб-обозревателем или клиентом FTP. Код состояния показывает, выполнен ли запрос, а также может сообщать о причинах сбоя при выполнении запроса.

Дополнительная информация

Местонахождение файла журнала
По умолчанию файлы журналов служб IIS находятся в папке %WIN DIR\System32 \Logfiles. Данная папка содержит отдельные подкаталоги для каждого узла WWW (World Wide Web) и FTP. По умолчанию новый файл журнала создается ежедневно. Имя данного файла формируется, исходя из текущей даты (например exГГММДД.log). HTTP

1xx — Информационные коды

Перечисленные ниже коды состояния представляют собой предварительные ответы. Перед получением окончательного ответа клиент может получить один или несколько ответов с кодами состояния 1xx.

  • 100 — Следует продолжать работу.
  • 101 — Смена протоколов.

2xx — Запрос принят


Нижеперечисленные коды показывают, что сервер успешно принял запрос клиента.

  • 200 — ОК. Запрос выполнен успешно.
  • 201 — Создан ресурс.
  • 202 — Запрос принят.
  • 203 — Неавторизованные сведения.
  • 204 — Содержимое отсутствует.
  • 205 — Сброс содержимого.
  • 206 — Частичный ответ.

3xx — Перенаправление

Данные коды показывают, что для выполнения запроса необходимо, чтобы в еб-обозреватель клиента выполнил дополнительные действия. Например, может потребоваться, чтобы веб-обозреватель запросил с сервера другую страницу или повторил запрос, используя прокси-сервер.

  • 302 — Объект перемещен.
  • 304 — Объект не изменялся.
  • 307 — Временное перенаправление.

4xx — Ошибка на стороне клиента

Данные коды показывают, что по вине клиента возникла ошибка. Например, клиент мог запросить отсутствующую страницу или не предоставить сведения для проверки подлинности.

  • 400 — Неверный запрос.
  • 401 — Отсутствуют необходимые права доступа. Если возникает ошибка с кодом 401, то службы IIS возвращают расширенный код, указывающий причину ошибки. Это коды отображаются на экране веб-обозревателя, но не регистрируются в журнале служб IIS.
  • 401.1 — Вход в систему не выполнен.
  • 401.2 — Вход не выполнен из-за настройки сервера.
  • 401.3 — Доступ запрещен таблицей управления доступом (ТУД) к ресурсу.
  • 401.4 — Доступ запрещен фильтром.
  • 401.5 — Доступ запрещен приложением ISAPI/CGI.
  • 401.7 — Доступ запрещен политикой авторизации URL веб-сервера. Данный код поддерживается только службами IIS 6.0.
  • 403 — Запрет доступа. Если возникает ошибка с кодом 403, то службы IIS возвращают расширенный код, указывающий причину ошибки.
  • 403.1 — Нет доступа на выполнение.
  • 403.2 — Нет доступа на чтение.
  • 403.3 — Нет доступа на запись.
  • 403.4 — Требуется протокол SSL.
  • 403.5 — Требуется протокол SSL 128.
  • 403.6 — IP-адрес отклонен.
  • 403.7 — Требуется сертификат для клиента.
  • 403.8 — Отказ в доступе к узлу.
  • 403.9 — Подключено слишком много пользователей.
  • 403.10 — Недопусти мая конфигурация.
  • 403.11 — Необходим другой пароль.
  • 403.12 — Отказ доступа от программы сопоставления.
  • 403.13 — Клиентский сертификат отозван.
  • 403.14 — Просмотр каталога запрещен.
  • 403.15 — Достигнуто максимальное число разрешенных одновременных подключений.
  • 403.16 — Клиентский сертификат недействителен или не вызывает доверия.
  • 403.17 — Срок действия клиентского сертификата уже истек или еще не начался.
  • 403.18 — Не удается выполнить запрошенный адрес URL в текущем пуле приложения. Данный код поддерживается только с лужбами IIS 6.0.
  • 403.19 — Не возможно выполнять прило жения CGI для этого клиента в данном пуле приложений. Данный код поддерживается только службами IIS 6.0.
  • 403,20 — Вход систему с помощью служб Passport не выполнен. Данный код поддерживается только службами IIS 6.0.
  • 404 — Объект не найден.
  • 404.0 — (отсутствует) — Файл или каталог не найден.
  • 404.1 — Веб-узел не доступен по запрошенному порту.
  • 404.2 — Запрос отклонен политикой закрытия расширений веб-служб.
  • 404.3 — Запрос отклонен политикой сопоставления MIME.
  • 405 — Для доступа к странице используется недопустимый метод HTTP (недопустимый метод).
  • 406 — Веб-обозреватель клиента на поддерживает тип MIME запрошенной страницы.
  • 407 — Требуется проверка подлинности через прокси-сервер.
  • 412 — Отказ после проверки предварительного условия.
  • 413 — Размер запроса слишком велик.
  • 414 — Слишком длинный запрос URI.
  • 415 — Неподдерживаемый тип носителя.
  • 416 — Значение за пределами диапазона.
  • 417 — Ошибка при выполнении.
  • 423 — Ошибка блокировки.
  • 5xx — Ошибки сервера

    Данные к оды показывают, что сервер не может выполнить запрос, поскольку при выполнении возникла ошибка.

    • 500 — Внутренняя ошибка сервера.
    • 500.12 — Приложение в процессе перезапуска.
    • 500.13 — Сервер перегружен.
    • 500.15 — Запросы на файл Global.asa недопустимы.
    • 500.16 — Учетные данные не позволяют выполнить проверку подлинности при подключении к адресу UNC. Данный код поддерживается только службами IIS 6.0.
    • 500.18 — Не удается открыть хранилище данных авторизации URL. Данный код поддерживается только службами IIS 6.0.
    • 500.100 — Внутренняя ошибка ASP.
  • 501 — Значения, указанные в заголовке, требуют нереализованную возможность.
  • 502 — Выполняя роль шлюза или прокси, веб-сервер получил ошибочный ответ.
  • 502.1 — Превышен интервал ожидания ответа от приложения CGI.
  • 502.2 — Ошибка в приложении CGI.
  • 503 — Служба недоступна. Данный код поддерживается только службами IIS 6.0.
  • 504 — Превышен интервал ожидания ответа от шлюза.
  • 505 — Неподдерживаемая версия HTTP.
  • Основные коды состояния HTTP и их описание

    • 200 — Запрос выполнен успешно. Данный код показывает, что сервер IIS успешно обработал запрос.
    • 304 — Объект не изменялся. Клиент запросил документ, который имеется в кэше клиента и не изменялся после кэширования. Вместо загрузки документа с сервера клиент использует кэшированную копию данно го документ а.
    • 401.1 — Вход в систему не выполнен. При входе в системе произошел сбой (как правило, вследствие указания ошибочного имени пользователя или пароля).
    • 401.3 — Доступ запрещен списком управления доступом (ACL) к ресурсу. Появление данного кода свидетельствует о проблеме с разрешениями NTFS. Эта ошибка может возникать, даже если для запрашиваемого файла разрешения установлены правильно. Например, данная ошибка появляется, если для учетной записи IUSR отсутствуют права доступа к папке C:\Winnt\System32\Inetsrv. Дополнительные сведения об устранении данной ошибки см. в следующей статье базы знаний Майкрософт: 187506 (http://support.microsoft.com/kb/187506/) Разрешения NTFS и права пользователей, необходимые для работы сервера IIS 4.0
    • 403.1 — Нет доступа на выполнение. Как правило, данная ошибка возникает по следующим причинам.
    • Отсутствует право на выполнение. Например, данная ошибка может возникать при обращении к странице ASP, находящейся в папке, для которой отсутствуют разрешения на выполнение, или при запуске сценария CGI из папки, для которой установлены разрешения «Только сценарии». Чтобы добавить право выполнения, в соответствующей консоли MMC щелкните нужную папку правой кнопкой мыши, выберите пункт Свойства, перейдите на вкладку Каталог и убедитесь, что для требуемых объектов разрешения Разрешен запуск установлены должным образом.
      Используемый метод (например GET или POST) отсутствует в сопоставлении сценариев для требуемого типа файлов. Чтобы проверить, присутствует ли требуемый метод, в соответствующей консоли MMC щелкните нужную папку правой кнопкой мыши, выберите пункт Свойства, перейдите на вкладку Каталог, щелкните команду Конфигурация и убедитесь, ч то в сопоставлении сценариев для требуемого типа файлов разрешено использование соответствующего метода.
    • 403.2 — Нет доступа на чтение. Убедитесь, что в конфигурации служб IIS разрешено чтение из данной папки. Кроме того, если используется документ по умолчанию, убедитесь, что данный документ существует. Дополнительные сведения об устранении данной проблемы см. в следующей статье базы знаний Майкрософт: 247677 (http://support.microsoft.com/kb/247677/) Появление сообщения об ошибке «403.2 Запрет доступа. Нет доступа на чтение.»
    • 403.3 — Нет доступа на запись. Убедитесь, что существующие разрешения IIS и разрешения NTFS позволяют выполнять запись в нужную папку.Дополнительные сведения об устранении данной проблемы см. в следующей статье базы знаний Ма й крософт: 248072 (http://support.microsoft.com/kb/248072/) Появление сообщения об ошибке «403.3 Запрет доступа. Нет доступа на запись.»
    • 403.4 — Требуется протокол SSL. Отключите параметр Требует ся безопасный канал или используйте для доступа к данной странице протокол HTTPS, а не HTTP. Если эта ошибка появляется при обращении к веб-узлу, для которого не установлен сертификат, обратитесь к следующей статье базы знаний Майкрософт: 224389 (http://support.microsoft.com/kb/224389/) Появление сообщений об ошибках 403, 403.4, 403.5 «Запрет доступа. Требуется протокол SSL.»
    • 403.5 — Требуется протокол SSL 128. Отключите параметр Требуется 12 8 -и разрядное шифрование или используйте для просмотра данной страницы веб-обозреватель, поддерживающий 128-разрядное шифрование. Если эта ошибка появляется при обращении к веб-узлу, для которого не установлен сертификат, обратитесь к следующей статье базы знаний Майкрософт: 224389 (http://support.microsoft.com/kb/224389/) Появление сообщений об ошибках 403, 403.4, 403.5 «Запрет доступа. Требуется протокол SSL.»
    • 403.6 — IP-адрес отклонен. Конфигурация веб-сервера запрещает доступ с да нн ого IP-адреса. Дополните льные сведения об устранении данной проблемы см. в следующей статье базы знаний Майкрософт: 248043 (http://support.microsoft.com/kb/248043/) При подключении к веб-серверу появляется сообщение об ошибке: «Ошибка HTTP 403.6 — Запрет доступа: IP-адрес отклонен»
    • 403.7 — Требуется сертификат для клиента. Конфигурация веб-сервера требует наличие сертификата для выполнения проверки подлинности клиента, однако серт ификат для клиента не установлен. Дополнительные сведения см. в следующих статьях базы знаний Майкрософт. 190004 (http://support.microsoft.com/kb/190004/) Появление сообщения об ошибках 403.7 или «Не удается установить соединение с сервером» 186812 (http://support.microsoft.com/kb/186812/) PRB: Появление сообщения об ошибке «403.7 Запрет доступа. Требуется сертификат для клиента.»
    • 403.8 — Отказ в доступе к узлу. Существующие ограничения на доменное имя запрещают доступ к веб-узлу из текущего домена.Дополнительные сведения об устранении данной проблемы см. в следующей статье базы знаний Майкрософт: 248032 (http://support.microsoft.c om/kb/248032/) Появление сообщения об ошибке «403.8 Запрет доступа. Отказ в доступе к узлу.»
    • 403.9 — Подключено слишком много пользователей. Число пользователей, подключенных к веб-узлу, превысило максимально допустимое число подключений, указанное в конфигурации. Дополнительные сведения об изменении данного значения см. в следующей с тать е базы знаний Майк ро софт: 248074 (http://support.microsoft.com/kb/248074/) Ошибка HTTP 403.9 — Запрет доступа: подключено слишком много пользователей Примечание. Microsoft Windows 2000 Professional и Microsoft Windows XP Professional допускают одновременное подключение к службам IIS десяти пользователей. Это значение изменить нельзя.
    • 403.12 — Отказ доступа от программы сопоставления. Для доступа к запрошенной странице необходим сертификат клиента, однако пользователь, сопоставленный используемому клиентскому сертификату, не имеет прав доступа к данному файлу. Дополнительные сведения см. в следующей статье базы знаний Майкрософт: 248075 (http://support.microsoft.com/kb/248075/) Появление сообщения об ошибке «403.12 Запрет доступа. Отказ до с тупа от программы сопоставления.»
    • 404 — Объект не найден. Данная ошибка может возникать, если запрошенный файл был удален или перемещен. Кроме того, указанное сообщение об ошибке появляется, если после установки средства URLScan был ограничен доступ к файлам с запрошенным расширением. В этом случае в файле журнала для данного запроса будет добавлена строка «Rejected by URLScan».
    • 500 — Внутренняя ошибка сервера. Данное сообщение об ошибке может появляться вследствие различных причин. Дополнительные сведения о причинах подобных ошибок могут помещаться в журнал событий. Кроме того, для получения полного описания ошибки можно отключить вывод подробных сообщений об ошибках HTTP. Дополнительные сведения об отключении вывода подробных сообщений об ошибках HTTP см. в следующей статье базы знаний Майкрософт: 294 807 (http://support.microsoft.com/kb/294807/) Отключение параметра «Выводить подробные сообщения об ошибках http» в обозревателях Internet Explorer 5.x и 6.x на стороне сервера
    • 500.12 — Приложение в процессе перезапуска. Данное сообщение появляется при попытке загрузить страницу ASP в то время, когда сервер IIS перезапускает приложение. После обновления страницы данное сообщение должно исчезнуть. Если после обновления страницы указа нно е сообщение остается, то это может быть вызвано работой антивирусной программы, которая проверяет файл Global.asa. Дополнительные сведения см. в следующей статье базы знаний Майкрософт: 248013 (http://support.microsoft.com/kb/248013/) Сообщение «Ошибка HTTP 500-12 Перезапуск приложения» при подключении к Microsoft Internet Information Services 5. 0
    • 500-100.ASP — Внутренняя ошибка ASP. Данное сообщение об ошибке появляется при загрузке страницы ASP, содержащей ошибки. Чтобы получить более полную информацию о данной ошибке, отключите вывод подробных сообщений об ошибках HTTP. По умолчанию данная ошибка может появляться только на веб-узле по умолчанию.Дополнительные сведения о том, как увидеть данную ошибку на веб-узлах, не являющихся узлами по умолчанию, см. в следующей статье базы знаний Майкрософт: 261200 (http://support.microsoft .com/kb/261200/) Вместо сообщения об ошибке из файла 500-100.asp отображается сообщение об ошибке HTTP с кодом 500
    • 502 — Неправильный шлюз. Данное сообщение об ошибке появляется при запуске сценария CGI, не возвращающего соответствующий набор заголовков HTTP.

    1xx — Положительный предварительный ответ

    Данный код состояния говорит о том, что выполнение действия началось успешно, но перед переходом к новой команде клиент должен дождаться следующего ответа.

    • 110 Значение маркера повторного запуска.
    • 120 Служба будет готова через ххх минут.
    • 125 Соединение для передачи данных уже уст ановл ено; передача данных начата.
    • 150 Состояние файла проверено. Сервер готов к установке соединения для передачи данных.

    2xx — Оповещение о выполнении команды

    Действие завершилось успешно. Клиент может выполнять следующую команду.

    • 200 Команда выполнена успешно.
    • 202 Команда не реализована. На данном узле к о манда не тре буется.
    • 211 Состояние системы или справка по системе.
    • 212 Состояние каталога.
    • 213 Состояние файла.
    • 214 Справочное сообщение.
    • 215 ИМЯ тип системы, где ИМЯ — официальное имя системы в соответствии с документом о присвое нии номеров.
    • 220 Система готова обслуживать нового пользователя.
    • 221 Служба разрывает управляющее соединение. Если необходимо, будет произведен выход из системы.
    • 225 Соединение для передачи данных установлено; передача не выполняется.
    • 226 Соединение для передачи данных разрывается. Требуемое действие выполнено (например пере да ча или прекращение переда чи файла).
    • 227 Выполняется вход в пассивный режим (h1,h2,h3,h4,p1,p2).
    • 230 Пользователь вошел в систему. Производится обработка.
    • 250 Требуемое действие завершено успешно.
    • 257 Создана папка «ПУТЬ».

    3xx — Положительные промежуточные ответы

    Данные коды состояния говорят о том, что команда выполнена успешно, но для завершения выполнения запроса клиент должен передать серверу дополнительные сведения.

    • 331 Имя пользователя получено. Необходимо ввести пароль.
    • 332 Необходима учетная запись для входа в систему.
    • 350 Для выполнения запрашиваемого действия требуются дополнительные данные.

    4xx — Промежуто ч ные отрицательные ответы

    При выполнении команды возникла временная ошибка. Если клиент повторит команду, она может выполниться успешно.

    • 421 Служба недоступна. Управляющее соединение разрывается. Данное сообщение может отправляться в ответ на какую-либо команду, если служба должна завершить работу.
    • 425 Не удается установить соединение для передачи данных.
    • 426 Соединение разорвано; передача прекращена.
    • 450 Требуемое действие не выполнено. Файл недоступен (например, файл может быть занят).
    • 451 Выполнение требуемого действия прервано: при выполнении возникла ошибка.
    • 452 Требуемое действие не выполнено. Системе не хватает места на диске.

    5xx — Окончательные отрицательные ответы

    При выполнении команды возникла ошибка. Данная ошибка носит постоянный характер. Если клиент повто рит команду, при ее выполнении возникнет такая же ошибка.

    • 500 Синтаксическая ошибка. Команда не распознана. Одной из причин возникновения этой ошибки является использование слишком длинных команд.
    • 501 Синтаксическая ошибка в аргументах или параметрах.
    • 502 Команда не реализована.
    • 503 Ошибочная последовательность команд.
    • 504 Для данного параметра команда не реализована.
    • 530 Не выполнен вход в систему.
    • 532 Необходима учетная запись для сохранения файлов.
    • 550 Требуемое действие не вы п олнено. Файл недоступен (например, файл не найден или нет доступа к файлу).
    • 551 Выпо лнение требуемого действия прервано. Неизвестный тип страницы.
    • 552 Выполнение требуемого действия прервано. Превышен максимально допустимый объем места на диске (в текущей папке или в наборе данных).
    • 553 Требуемое действие не выполнено. Недопустимое имя файла.

    Основные коды состояния FTP и их описание

    • 150 — Протокол FTP использует два порта: порт 21 для передачи команд и порт 20 для передачи данных. Код состояния 150 показывает, что сервер собирается установить новое соединение на порту 20 для передачи данных.
    • 226 — Команда устанавливает подключение к порту 20, чтобы выполнить какие-либо действия (например передать файл). Данное действие было завершено успешно. Соединени е разорвано.
    • 230 — Сообщение с этим кодом появляется после отправки клиентом правильного пароля. Данный код состояния показывает, что пользователь вошел в систему.
    • 331 — Сообщение с этим кодом появляется после отправки клиентом имени пользователя. Это сообщение появляется независимо от того, присутствует ли в системе указанное имя пользователя.
    • 426 — Команда устанавливает подключение к порту 20, чтобы выполнить какие-либо действия, однако выполнение действия было отменено и соединение было разорвано.
    • 530 — Данный код состояния показывает, что пользователь не может войти в систему, поскольку введена ошибочная комбинация имени пользователя и пароля. Если для входа в систему используется учетная запись пользователя, то данное сообщение может появляться, если имя пользо вателя или пароль введены н еправильно или если в систем у могут входить только анонимные пользователи. Если для входа в систему используется анонимная учетная запись, то данное сообщение может появляться, если сервер IIS не поддерживает вход анонимных пользователей.
    • 550 — Команда не выполнена, поскольку требуемый файл недоступен. Данное сообщение может появляться при попытке получить отсутствующий файл с помощью команды GET, при использовании команды PUT для сохранения файла в папке, для которой отсутствует право записи, а также в некоторых других случаях.
    Илон Маск рекомендует:  word-spacing в CSS
    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL