Установка и администрирование Microsoft Internet Information Services, IIS 6.0. [Занятие 15]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Friday 29 December 2006 - 00:00:00
[newpage=Новые возможности IIS 6.0]
Установка и администрирование Microsoft Internet Information Services, IIS 6.0.
В составе Microsoft Windows Server 2003 имеются службы, обеспечивающие поддержку со стороны сервера наиболее употребительных протоколов Интернета прикладного уровня, благодаря чему сервер Windows Server 2003 может выполнять следующие роли:
Все эти функции реализуются компонентом Internet Information Services (IIS), являющимся преемником компонента Internet Information Server, входившего в состав NT Option Pack для Windows NT 4.0.
Новые возможности IIS 6.0.
В IIS 6.0 включены новые возможности, разработанные чтобы помочь организациям, техническим специалистам и веб-администраторам достигнуть производительности, надежности, масштабируемости и безопасности для тысяч потенциальных веб-узлов — на единственном сервере IIS или на нескольких серверах.
В следующей таблице перечислены преимущества и возможности этой версии IIS:
Планирование установки IIS 6.0.
Перед установкой службы Internet Information Services выполните следующие рекомендации:
Безопасность служб IIS 6.0.
Службы IIS по умолчанию не устанавливаются на компьютеры под управлением операционных систем Windows Server 2003. Это гарантирует, что администраторы не установят их непреднамеренно. В операционные системы из семейства Windows Server 2003 включена новая политика, Запрет установки IIS, которая позволяет администраторам домена указывать, каким серверам, работающим под управлением Windows Server 2003, запрещено устанавливать IIS.
Чтобы защитить сервер от атак злонамеренных пользователей, во время обновления операционной системы на компьютере под управлением Windows 2000 служба веб-публикации выключена. Можно включить ее, используя оснастку Службы.
При установке IIS службы устанавливаются в режиме наивысшей безопасности и в заблокированном режиме. По умолчанию они обслуживают только статическое содержимое. Это означает, что такие средства, как страницы ASP, ASP.NET, служба индексирования, включая сторону сервера (SSI), протокол WebDAV и расширения сервера FrontPage не работают, если не включить их. Если не включить эти средства после установки служб IIS, они возвращают ошибку 404. Чтобы работать с динамическим содержимым и разблокировать эти средства, их следует включить из диспетчера IIS. Администраторы могут включить или выключить функциональность IIS, в зависимости от потребностей организации. Также IIS возвращает ошибку 404, если для расширения приложения не существует сопоставления.
Службы IIS 6.0 предлагают множество средств для защиты сервера приложений, в том числе:
[newpage=Поддерживаемые протоколы]
Поддерживаемые протоколы.
Internet Information Services обеспечивает поддержку следующих протоколов:
Протокол HTTP
Протокол HTTP (HyperText Transfer Protocol) лежит в основе WWW, которому мы обязаны стремительным ростом популярности и развитию Интернета. Этот протокол используется для доступа клиентов к статическому и динамическому содержимому web-узлов. HTTP клиент-серверный протокол, описывающий взаимодействие между HTTP-серверами (также называемыми web-серверами) и HTTP-клиентами (также называемыми web-браузерами). Протокол HTTP использует для своей работы протокол транспортного уровня TCP. Для работы web-серверов зарезервирован 80 TCP-порт.
Обслуживание протокола HTTP осуществляет Служба веб-публикаций. Внутреннее имя службы W3SVC.
Протокол HTTPS
Протокол HTTPS (HyperText Transfer Protocol Security) является расширением протокола HTTP. В отличие от HTTP, передающего данные в незашифрованном виде, HTTPS осуществляет шифрование данных на основе несимметричных алгоритмов шифрования. Протокол позволяет осуществлять не только шифрование данных, но и проверку подлинности обоих сторон соединения. Именно по этому этот протокол обычно используется в работе сайтов, требующих повышенного уровня защищенности при взаимодействии с пользователем. К таким сайтам можно отнести различные сайты, манипулирующие финансовой информацией, например, сайты электронных магазинов.
Протокол HTTPS также использует протокол TCP, однако для его работы зарезервирован другой TCP-порт - 443. Обслуживание протокола также осуществляет Служба веб-публикаций.
Протокол FTP
Протокол FTP (File Transfer Protocol) предназначен для передачи отдельных файлов и появился гораздо раньше HTTP. FTP - клиент-серверный протокол, обеспечивающий взаимодействие между FTP-серверами и FTP-клиентами. В настоящее время большинство web-браузеров также поддерживают работу по протоколу FTP. Протокол FTP использует для своей работы протокол транспортного уровня TCP и для его работы зарезервированы порты 20 и 21.
Обслуживание протокола FTP осуществляет Служба FTP-публикаций. Внутреннее имя службы MSFTPSVC.
Протокол SMTP
Протокол SMTP (Simple Mail Transfer Protocol) является основой системы электронной почты Интернета. Этот протокол используется для передачи сообщений электронной почты от клиентов к серверам, а также между серверами. Протокол SMTP не предназначен для загрузки электронной почты - его задача обеспечить доставку электронного сообщения до сервера получателя. Протокол SMTP использует для своей работы протокол транспортного уровня TCP и для его работы зарезервирован порт 25.
Обслуживание протокола SMTP осуществляет служба Протокол Simple Mail Transport Protocol. Внутреннее имя службы SMTPSVC.
Протокол SMTP первоначально был разработан для передачи сообщений электронной почты от одного SMTP-сервера к другому, и в нем не предусмотрены средства для хранения сообщений для получателей. Поэтому SMTP-клиенты, чтобы получать электронную почту, должны быть постоянно подключены к SMTP-серверу. В противном случае сервер возвращает сообщение обратно, информируя отправителя о недостижимости получателя. Для решения этой проблемы, были разработаны другие протоколы электронной почты, допускающие хранение сообщений электронной почты до того момента, пока пользователь не подключится и не загрузит сообщения на свой компьютер.
Из таких протоколов наиболее распространены протоколы POP3 (Post Office Protocol, версия 3) и IMAP4 (Internet Message Access Protocol, версия 4). Однако службы IIS 6.0 в Windows Server 2003 не поддерживают эти протоколы, поэтому служба SMTP-сервера предназначена в первую очередь для использования сценариями и активными компонентами web-сервера, и не предназначена для работы в качестве корпоративного сервера электронной почты. Если вы хотите иметь полноценный почтовый сервер, поддерживающий протоколы SMTP/POP3/IMAP4 - установите Microsoft Exchange Server.
Протокол NNTP
Протокол NNTP (Network News Transfer Protocol) является основой для используемой в Интернете системы телеконференций, или, как ее еще называют, групп новостей. Этот протокол используется как для взаимодействия между серверами телеконференций, так и между серверами и клиентами. Протокол NNTP использует для своей работы протокол транспортного уровня TCP и для него зарезервирован порт 119.
Обслуживание протокола NNTP осуществляется службой Протокол Network News Transport Protocol. Внутреннее имя службы NNTPSVC.
Другие протоколы
Помимо перечисленных выше протоколов прикладного уровня, службы IIS 6.0 поддерживают ряд дополнительных протоколов, использующихся для решения специфических задач или совместно с перечисленными:
[newpage=Установка Internet Information Services, IIS 6.0.]
Установка Internet Information Services, IIS 6.0.
Для обеспечения безопасной работы сервера, Windows Server 2003 поставляется в конфигурации "безопасности по умолчанию". При инсталляции сервера устанавливаются только самые необходимые службы, обеспечивающие нормальную работу сервера. Такая настройка значительно повышает надежность и безопасность Windows и сводит к минимуму риск получения злоумышленником доступа к ресурсам сервера.
Как и многие другие службы, Internet Information Services (IIS), устанавливается, при необходимости, после инсталляции сервера с помощью мастера настройки сервера. Следует заметить, что по умолчанию IIS 6.0 выполняется с минимальными привилегиями, что снижает риск его использования в качестве инструмента для вероятных несанкционированных действий.
Чтобы запустить Мастер настройки сервера выберите в меню Пуск -> Администрирование -> Управление данным сервером.
В разделе Управление ролями данного сервера нажмите кнопку Добавить или удалить роль.
Подтвердите установку и подключение всех сетевых компонентов нажав кнопку Далее.
В списке Роль сервера выберите Сервер приложений (IIS, ASP.NET) и нажмите кнопку Далее.
На следующем шаге мастера вы можете включить в установку дополнительные серверные расширения FrontPage и ASP.NET.
Установите флажок для того расширения, которое следует включить в установку:
После выбора дополнительных расширений нажмите кнопку Далее.
На странице Сводка выбранных параметров посмотрите и подтвердите выбранные параметры.
Для применения параметров нажмите кнопку Далее. После нажатия кнопки Далее появится, а затем автоматически закроется страница Настройка компонентов мастера компонентов Windows. На этой странице невозможно нажать кнопки Назад или Далее.
После настройки компонентов мастер отобразит страницу Данный сервер теперь является сервером приложений.
Что бы завершить работу мастера нажмите кнопку Готово.
[newpage=Администрирование служб IIS. Инструменты управления.]
Администрирование служб IIS. Инструменты управления.
Операционная система Windows Server 2003 содержит множество инструментальных средств для администрирования рассмотренных выше четырех основных служб, входящих в состав IIS.
Консоль Internet Information Services Manager
Internet Information Services Manager- это отдельная консоль, являющаяся основным средством для администрирования IIS в сетях на основе Windows Server 2003.
Обратите внимание, что сама оснастка называется Internet Information Services Manager, а ярлык, созданный в папке Администрирование для принятой по умолчанию консоли, в которой устанавливается эта папка, называется Диспетчер служб IIS.
По умолчанию, при установке службы IIS, из соображений безопасности она поддерживает лишь службу веб-публикаций (Веб-узлы), поэтому вы можете использовать консоль Internet Information Services только для создания web-узлов. Впоследствии вы сможете установить протокол Simple Mail Transport Protocol, службу FTP-публикаций и протокол Network News Transport Protocol , открыв утилиту Установка и удаление программ из панели управления и выбрав в ней Установка компонентов Windows. Затем там нужно выбрать компонент Application Server -> Internet Information Services и щелкнуть кнопку Состав, чтобы найти нужную службу.
Каталог Inetpub
Все необходимые для функционирования служб Internet Information Services файлы по умолчанию располагаются в папке \Inetpub. Эта папка содержит несколько важных подкаталогов, описанных в таблице ниже.
Скрипты для администрирования
Чтобы исполнять в Windows Server 2003 скрипты для администрирования, вы можете пользоваться Windows Management Instrumentation (WMI) или Active Directory Service Interfaces (ADSI). При помощи этих скриптов можно решать административные задачи общего характера (например, создавать новые web-узлы и т.д.). Вы можете писать эти скрипты на Visual Basic Scripting Edition (VBScript) или на JavaScript в Active Server Pages (ASP). Примеры скриптов для администрирования вы найдете в папке \Inetpub\AdminScripts.
[newpage=Служба веб-публикаций.]
Служба веб-публикаций.
Рассмотрим основные понятия и задачи, относящиеся к службе веб-публикаций, на примере изучения Веб-узла по умолчанию (Default Web Site), созданного на компьютере во время установки Windows Server 2003.
Веб-узел по умолчанию.
Веб-узел по умолчанию (а также любой web-узел или сайт под управлением IIS ) с точки зрения администратора - набор образцов файлов конфигурации, размещаемых по умолчанию в локальной файловой системе сервера в C:\Inetpub\wwwroot (корневой каталог для WWW-публикаций). Однако не обязательно хранить содержимое web-узла в этой папке - содержимое можно размещать в любом каталоге сервера или в сетевом разделяемом ресурсе на каком-либо другом сервере.
Соединение с web-узлом.
Доступ к домашней странице Веб-узла по умолчанию из браузера можно получить несколькими способами:
Когда вы попытаетесь получить доступ с удаленного компьютер через сеть, вы увидите страницу В процессе разработки (Under Construction), но на самом деле это означает, что сайт активен и доступен. Чтобы подключиться с удаленного компьютера к web-серверу, запустите на удаленном компьютере Internet Explorer, введите в адресную строку IP-адрес или DNS-имя Web-сервера и нажмите клавишу Enter.
[newpage=Использование Мастера создания веб-узлов.]
Использование Мастера создания веб-узлов.
Веб-узел по умолчанию - это просто один небольшой пример возможного использования Службы веб-публикаций из IIS, с помощью которой вы можете создать столько web-узлов, сколько хотите, а их содержимое (страницы, картинки и другие файлы) можно размешать в самых разных местах. Каждый web-узел действует как виртуальный сервер. Для иллюстрации мы создадим новый web-узел на сервере Win2003s (IP-адрес 192.168.100.20, доменное имя Win2003s.test.fio.ru) и простую домашнюю страницу, а затем проверим его, соединившись с ним с другого компьютера в сети.
Прежде чем вы воспользуетесь Мастером создания веб-узлов, решите, какое имя в сети будет иметь этот сайт. При использовании web-браузера (например, Internet Explorer) для соединения с web-узлом и просмотра его домашней страницы вы можете задать URL сайта различными способами, например, при помощи IP-адреса, или NetBIOS-имени, или полностью определенного DNS-имени.
В нашем примере вы привяжете второй IP-адрес (192.168.100.30) сетевой интерфейсной плате сервера Win2003s и установите соответствие между вновь создаваемым web-узлом и добавляемым вами новым IP-адресом. Чтобы добавить второй IP-адрес, выполните следующие действия:
Прежде чем создать web-узел, понадобится сделать два дела. Во-первых, нужно создать на локальном сервере новый каталог для сайта (например, C:\МойУзел), в котором будет храниться содержимое нового сайта. Во-вторых, необходимо создать простую домашнюю страницу с именем Default.htm. Достаточно набрать в Блокноте и сохранить в файле Default.htm в каталоге \МойУзел следующий текст (проследив, чтобы текстовый редактор не добавил к имени файла расширение .ТХТ):
Еще проще создать простую домашнюю страницу можно в текстовом редакторе Microsoft Word. Наберите любой текст и сохраните в формате html, в файле Default в каталоге \МойУзел.
Теперь создайте новый web-узел с именем МойУзел, выполнив следующие действия:
Проверка нового web-узла.
Чтобы проверить работу нового web-узла, перейдите на другой компьютер в сети, запустите браузер и введите http://192.168.100.30 в адресную строку. В окне браузера должна загрузиться страница Default.htm. Если для используемого IP-адреса определено DNS-имя, то для обращения к этому web-узлу можно вместо IP-адреса использовать это имя.
Затем попробуйте открыть следующие URL с того же самого компьютера:
Каждый из этих URL идентифицирует Веб-узел по умолчанию на сервере Win2003s и открывает домашнюю страницу сайта с надписью о том, что сайт находится в процессе создания.
[newpage=Виртуальные каталоги]
Виртуальные каталоги
В предыдущем примере вы создали новый web-узел с именем МойУзел, содержимое которого размещено в домашнем каталоге C:\МойУзел на сервере Win2003s. Для доступа к содержимому в этом каталоге применяйте какой-либо из следующих URL:
В первом случае заданный URL сопоставляется web-содержимому, хранящемуся в домашнем каталоге сайта, что можно обозначить так:
C:\МойУзел <- -> http://192.168.100.30
Но как быть, если вы хотите найти содержимое данного web-узла, размещенное в разных местах, а не только в каталоге \МойУзел сервера? Для этого можно воспользоваться так называемыми виртуальными каталогами.
Виртуальный каталог - это способ отобразить псевдоним (часть URL) на физический каталог, содержащий дополнительные фрагменты содержимого web-узла, размещенные не в домашнем каталоге сайта.
Псевдоним безопаснее: пользователи не знают, где файлы физически расположены на сервере, и не могут использовать эту информацию для изменения этих файлов. Псевдонимы упрощают перемещение каталогов в узле. Не изменяя URL-адрес каталога, можно изменить отображение между псевдонимом и физическим местоположением каталога.
Предположим, нам нужно хранить часть содержимого web-узла в каталоге С:\SalesStuff на локальном сервере и сопоставить его виртуальному каталогу /Sales. Обратите внимание, что для виртуальных каталогов используется символ "/"(прямой слэш), а не обратный слэш "\".
Сопоставление URL каталога будет таким:
C:\SalesStuff <-> http://192.168.100.30/Sales
Обратите внимание, что с точки зрения клиента, использующего web-браузер, содержимое из /Sales отображается как подкаталог домашнего каталога web-узла МойУзел. Другими словами, это содержимое отображается как подкаталог домашнего каталога http://192.168.100.30. На самом деле это содержимое физически размещено в полностью отдельной части дерева каталогов файловой системы сервера (а вовсе не в \МойУзел\Sales, как можно было бы предположить из URL). Виртуальные каталоги, таким образом, позволяют создавать своего рода виртуальные файловые системы, определяемые URL, не несущими в себе непосредственных ссылок на фактическое место размещения содержимого на web-сайте.
Различия между локальными и сетевыми виртуальными каталогами.
Содержимое, сопоставляемое псевдонимам, представляющим виртуальные каталоги, можно помещать в локальные либо в сетевые (remote) виртуальные каталоги:
Мастер создания виртуальных каталогов.
Давайте воспользуемся Мастером создания виртуальных каталогов и создадим сетевой виртуальный каталог для нового web-узла МойУзел. Прежде чем запустить мастер, вы должны выполнить две задачи:
Для управления доступом к сетевому виртуальному каталогу никогда не используйте учетную запись администратора, т.к. при этом может появиться брешь в организации безопасности.
Теперь создайте новый сетевой виртуальный каталог с именем /Sales внутри web-узла МойУзел, выполнив следующие действия:
Если вы теперь проверите узел МойУзел в дереве консоли Internet Information Services, то обнаружите под ним новый узел, представляющий новый виртуальный каталог.
Попробуйте посмотреть в этом каталоге страницу Default.htm при помощи URL http://192.168.100.30/sales из web-браузера на удаленном компьютере.
Виртуальные каталоги, физические каталоги и значки.
Есть пара причин, из-за которых можно запутаться с виртуальными каталогами. Во-первых, для представления виртуальных каталогов в консоли IIS применяются два разных значка. Во-вторых, физические каталоги могут вести себя подобно виртуальным каталогам, если они размещены физически как подпапки домашнего каталога или другого виртуального каталога. Посмотрите на различные подузлы под узлом МойУзел в дереве консоли и обратите внимание на следующие обозначения:
[newpage=Служба FTP-публикаций.]
Служба FTP-публикаций.
Рассмотрим концепции и задачи, связанные со службой FTP-публикаций. Установите службу FTP-публикаций, открыв утилиту Установка и удаление программ из Панели управления и выбрав в ней Установка компонентов Windows.
В окне выбора компонентов необходимо указать Internet Information Services и щелкнуть кнопку Состав. Далее необходимо установить флажок около элемента File Transfer Protocol (FTP) Service.
FTP-узел по умолчанию.
Как и для службы Веб-публикаций, при установке службы FTP на сервере Windows Server 2003 будет создан новый "стандартный" узел, имеющий имя FTP-узел по умолчанию (Default FTP Site). Однако в отличие от Веб-узла по умолчанию, имеющего образцы страниц и многочисленные каталоги, FTP-узел по умолчанию совершенно пуст.
Другие FTP-узлы.
Как и в случае Службы Веб-публикаций, при помощи IIS 6.0 вы можете создать столько FTP-узлов, сколько хотите, и размещать содержимое (страницы, рисунки и другие файлы) для этих узлов как в локальных каталогах, так и в сетевых разделяемых ресурсах. Каждый FTP-узел действует как отдельная сущность (виртуальный сервер), то есть, как если бы он работал на отдельном сервере Windows Server 2003, и ему были бы доступны все ресурсы сервера. Чтобы проиллюстрировать это, давайте создадим новый FTP-узел на сервере Win2003s, поместим тестовый файл в его домашний каталог, а затем скачаем тестовый файл с другого компьютера в сети.
Использование Мастера создания FTP-узла.
Как и в случае веб-узла, вы можете задать FTP-узлы различными способами - при помощи IP-адреса, имени NetBIOS или полностью определенного DNS-имени. В нашем примере пользуйтесь дополнительным IP-адресом, связанным в предыдущем разделе с сетевой платой сервера Win2003s. Вы также должны создать домашний каталог для нового FTP-узла, поэтому создайте на локальном сервере каталог C:\ftphome. Затем скопируйте туда какой-нибудь файл, например Greenstone.bmp из папки c:\windows, чтобы было, что скачать при доступе с клиента. Для создания нового FTP-узла выполните следующие действия:
Запустите консоль Internet Information Services на сервере Win2003s, а затем выберите имя сервера в дереве консоли и выделите ветвь Узлы FTP.
*Щелкните кнопку Действие в панели инструментов, укажите Создать и выберите FTP-узел. Запустится Мастер создания FTP-узла.
*Щелкните кнопку Далее. В качестве имени узла введите с клавиатуры: My FTP Site. Это имя будет отображаться в консоли Internet Information Services и будет служить обозначением нового узла для администратора.
*Щелкните кнопку Далее. Задайте ваш второй IP-адрес в качестве IP-адреса, сопоставленного данному узлу, не меняя номер порта, используемый по умолчанию.
*Новая функция добавленная в Windows Server 2003, способна ограничить доступ пользователей к вышестоящим каталогам в иерархии. Выберите вариант, который вы хотите применить к пользователям. Каталог c:\ftphome является корневым для всех FTP-пользователей создаваемого FTP-узла. Два первых варианта используют каталог c:\ftphome, третий вариант позволяет использовать каталоги пользователей, назначенные службой Active Directory.
*Щелкните кнопку Далее. Задайте путь к домашнему каталогу нового FTP-узла как C:\ftphome (удобнее всего воспользоваться кнопкой Обзор). Обратите внимание, что домашний каталог вашего узла может быть как локальным каталогом, так и сетевым разделяемым ресурсом.
*Щелкните кнопку Далее. Убедитесь, что выбраны оба полномочия доступа: Чтение и Запись. При этом вы сможете и скачивать файлы с нового FTP-узла, и закачивать их на него.
*Чтобы завершить работу мастера, щелкните кнопку Далее, а затем Готово. Новый узел My FTP Site появится в качестве узла в окне консоли Internet Information Services под обозначением сервера Win2003s.
Заметьте, что файл Greenstone.bmp, который вы скопировали в домашний каталог, не появится в правой панели окна консоли. Этим FTP-узлы отличаются от web-узлов, у которых файлы в домашнем каталоге и в виртуальных каталогах отображаются в окне консоли.
Проверка нового FTP-узла.
Чтобы проверить новый FТР-узел, перейдите на другой компьютер в сети, запустите Internet Explorer и откройте URL ftp://192.168.100.30, определяющий новый FTP-узел при помощи сопоставляемого ему IP-адреса. В окне браузера вы увидите файл Greenstone.bmp , IP-адрес, с которым вы соединились, и имя пользователя (Anonymous).
После соединения с FTP-узлом вы сможете выполнять различные действия при помощи Internet Explorer:
[newpage=Виртуальные каталоги.]
Виртуальные каталоги.
Для FTP-узлов можно создавать виртуальные каталоги, точно так же, как и для web-узлов.
Использование Мастера создания виртуальных каталогов.
Не имеет значения, создаете ли вы виртуальный каталог в web-узле или FTP-узле - для этого применяется один и тот же мастер. Поскольку вы недавно уже создали сетевой виртуальный каталог для web-узла Мой Узел, то для FTP-узла My FTP Site для разнообразия давайте создадим локальный виртуальный каталог (поскольку вы уже знакомы с мастером, будет дано более краткое описание действий):
Теперь новый виртуальный каталог /drop будет виден в дереве консоли как узел под узлом My FTP Site.
Обратите внимание, что значок для виртуальных каталогов FTP отличается от значков, применяемых для виртуальных каталогов web-узлов.
Проверка нового виртуального каталога.
Попробуйте осуществить доступ к новому виртуальному каталогу с удаленного компьютера, открыв виртуальный каталог /drop на сайте My FTP Site при помощи Internet Explorer, открыв URL http://192.168.100.30/drop. В диалоговом окне должно появиться такое сообщение: При открытии данной папки на сервере FTP произошла ошибка. Проверьте, есть ли у вас полномочия доступа к ней. Чтобы закрыть это сообщение об ошибке, щелкните кнопку ОК.
Теперь попробуйте перетянуть файл из Мой Компьютер в окно браузера. На сервере Win2003s убедитесь, что перетянутый файл действительно попал в каталог \uploads сервера. Затем попробуйте обновить окно браузера. Снова должно появиться такое же сообщение об ошибке. Щелкните кнопу ОК, чтобы закрыть его. Окно браузера, которое по-прежнему открыто на виртуальном каталоге /drop, должно оставаться пустым. Это - проверка того, что анонимные пользователи могут закачивать свои файлы в виртуальный каталог, но не могут скачивать их оттуда.
[newpage=Понятие об организации безопасности в IIS.]
Настройка разрешений.
Для общего понимания системы безопасности IIS нужно понимать, что такое полномочия, как их конфигурировать и применять. В данном разделе рассмотрены разные уровни безопасности для управления доступом к содержимому web-узлов и FTP-сайтов в Windows Server 2003, а также изучается порядок их применения. Вы также научитесь быстро и легко защищать свои Web- и FTP-узлы при помощи Мастера разрешений IIS 6.0.
Понятие об организации безопасности в IIS.
У администраторов есть четыре способа для контроля доступа к содержимому web-узлов и FTP-узлов, хостинг которых осуществляется при помощи IIS. Эти механизмы применяются по порядку всякий раз при попытках пользователей получить доступ к имеющемуся на сервере Web- и FTP-ресурсу (файлу HTTP или другому файлу). Эта четырехступенчатая модель контроля доступа описана ниже, причем пользователь получает доступ к запрошенным ресурсам только после выполнения всех правил:
В этой четырехступенчатой модели контроля доступа шаги 2 и 4 зависимы от пользователей, а шаги 1 и 3 независимы. Другими словами, ограничения по IP-адресу и доменному имени и разрешения IIS для доступа и для приложений являются глобальными настройками, применяемыми единообразно для всех пользователей.
Остановка, запуск и приостановка службы IIS.
Не забывайте, что отдельные Web- и FTP-узлы, созданные при помощи IIS, на самом деле являются виртуальными серверами. Это значит, что они действуют и ведут себя, как если бы они были отдельными серверами Windows Server 2003 и имели бы доступ ко всем ресурсам сервера. Благодаря этому web-узлы многих разных фирм могут размещаться на одном и том же компьютере, работающем под управлением Windows Server 2003. Но IIS на этих компьютерах приходится иногда останавливать, запускать и приостанавливать. Например, при изменении файлов на web-узле работа этого сайта обычно приостанавливается, чтобы избежать новых соединений пользователей с сайтом, а уже подключенных пользователей отсоединить по истечении некоторого позволенного им времени. Когда вы тестируете web-приложение, разработанное при помощи ASP, вам, вероятно, понадобится остановить, а затем снова запустить узел, если в процессе тестирования приложение "зависло" или перестало отвечать на запросы. Идея состоит в том, что когда на вашем сервере работает сразу много узлов, было бы хорошо не останавливать их все из-за проблем на каком-то одном из сайтов.
В Windows Server 2003 предусмотрена возможность, позволяющая применять Диспетчер служб IIS для остановки отдельных Web- и FTP-узлов без необходимости остановки служб WWW и FTP публикаций для всех узлов на сервере. Для приостановки (паузы), остановки и запуска узла просто выберите в дереве консоли нужный узел и выполните одно из следующих действий:
Кроме того, вы можете запускать, останавливать и запускать снова сразу все Web- и FTP-узлы на вашем сервере, выбрав в дереве консоли Диспетчер служб IIS узел, представляющий сервер: щелкните кнопку Действие в панели инструментов, выберите Все задачи -> Перезапуск IIS в раскрывающемся меню. Вы можете подумать, что сразу все web-узлы, работающие на вашем компьютере, можно останавливать, остановив Службу Веб-публикаций при помощи узла Администрирование -> Службы в оснастке Управление компьютером. Так делать не надо. Служба IIS реализована не так, как другие службы Windows Server 2003, и не должна останавливаться и запускаться этим способом. И, наконец, если вы хотите перезапустить IIS из командной строки, то можете набрать с клавиатуры iisreset <Имя_компьютера>. Эту команду можно использовать и в пакетных файлах.
Использование серверных расширений FrontPage.
IIS 6.0 использует набор серверных динамических библиотек DLL, называемых "расширения FrontPage" (FrontPage Extensions), действующих со стороны сервера и служащих для поддержки дополнительных средств FrontPage Extensions, таких как возможность создавать навигационные панели, средства для поиска, для web-обсужений и т. д. Давайте теперь рассмотрим, как устанавливать серверные расширения FrontPage. В сетях, где разработчики пользуются данным популярным инструментальным средством для создания web - содержимого, эта задача относится к основным задачам администрирования web - сервера IIS. Вопросы создания содержимого мы не будем рассматривать, а покажем, как можно организовать работу сервера в сочетании с FrontPage Extensions.
Разрешение использования расширений FrontPage.
Хотя программное обеспечение, необходимое для поддержки FrontPage Extensions, уже установлено, вам все же понадобится разрешить использование расширений FrontPage на web-узлах, которыми будут пользоваться ваши разработчики содержимого FrontPage. Чтобы проиллюстрировать это, давайте возьмем web-узел МойУзел и выполним следующие действия.
С установкой сервера FrontPage Server Extensions 2002 на вашем web-узле появится множество виртуальных и физических подкаталогов вместе с сопоставленными файлами серверных расширений. Не удаляйте эти папки и файлы, иначе это приведет к неправильной работе серверных расширений.
[newpage=Администрирование Internet Information Services]
Администрирование Internet Information Services.
Настройка службы IIS и администрирование ее серверов, каталогов и файлов производится на четырех различных уровнях. Эти четыре уровня администрирования применяются к службам WWW, FTP, SMTP и NNTP:
Примитивные задачи настройки можно выполнять при помощи мастеров, рассмотренных в предыдущей главе, таких как Мастер создания веб-узла, Мастер создания виртуального каталога и других. Для тонкой настройки различных служб IIS, нужно использовать различные окна свойств объектов IIS. К числу этих объектов относятся физические и виртуальные серверы, физические и виртуальные каталоги, а также файлы. Каждый из этих типов объектов представлен узлом в дереве Консоли Управления MMC, являющейся (при помощи установленной в ней оснастки Internet Information Services) основным инструментом для управления этими объектами и их конфигурирования.
Наследование настроек.
Настройки объектов (физического или виртуального сервера, физического или виртуального каталога или для файла) автоматически наследуются объектами низших уровней. Например, если вы настраиваете IIS на уровне сервера, эти установки будут наследоваться (если это применимо) всеми виртуальными серверами, виртуальными каталогами, физическими каталогами и файлами, связанными с IIS. Однако вы можете на любом из уровней переопределить настройки для какого-либо виртуального сервера (web-или FTP-сайта) и всех его каталогов и файлов, для какого-либо виртуального или физического каталога и всех содержащихся в ней сайтов или для какого-либо файла. Обратите внимание, что если вы вручную измените настройки на каком-либо уровне, последующие изменения настроек на более высоком уровне не приведут к автоматическому затиранию сделанных вами изменений. Напротив, вы увидите вопрос о том, желаете ли вы поменять настройки, сделанные вручную.
[newpage=Администрирование на уровне сервера.]
Администрирование на уровне сервера.
Администрирование на уровне сервера позволяет выполнять следующие задачи:
Начнем с изучения общих административных задач и глобальных настроек, которые можно конфигурировать для службы IIS, работающей на сервере Windows Server 2003. Некоторые общие административные задачи уровня сервера вы можете выполнять при помощи консоли IIS.
Подключение к серверу IIS.
Вы можете администрировать много серверов Windows Server 2003, на которых работает IIS, из одного окна консоли IIS. Чтобы администрировать сервер, нужно сначала соединиться с ним. Для этого выполните следующие действия:
В дереве консоли IIS выберите корневой узел (он называется Internet Information Services).
Щелкните кнопку Действие в панели инструментов и выберите Подключение в раскрывающемся меню. (Запомните, что в окне консоли раскрывающееся меню кнопки Действие содержит те же команды, что и контекстное меню, появляющееся при щелчке правой кнопкой мыши на любом выделенном узле.)
В диалоговом окне Подключение к компьютеру введите имя компьютера, с которым вы хотите соединиться, и щелкните кнопку ОК. Имя компьютера можно задать любым из следующих способов:
Чтобы отсоединиться от сервера, выберите в дереве консоли узел, представляющий этот сервер, щелкните кнопку Действие и выберите Отключить.
Создание резервных копий конфигураций.
Можно сохранять настройки конфигураций компьютеров с IIS и всех их web- и FTP-сайтов в файле резервной копии конфигурации. Каждый файл с резервной копией помечен (stamped) номером версии и датой/временем создания. Вы можете создавать сколько угодно таких резервных файлов и производить восстановление из них, если желаете вернуть старое состояние настроек. Эта возможность очень полезна, т.к. вы можете изготовить "снимок" вашей конфигурации IIS перед тем, как начнете изменять на своем компьютере полномочия и другие настройки виртуальных серверов, каталогов и файлов.
Файлы резервного копирования конфигураций вашего компьютера хранят настройки только web- и FTP-сайтов, их виртуальных и физических каталогов и их файлов. Они не сохраняют сами файлы с содержимым, то есть не сохраняют страницы HTML, картинки и скрипты, содержащиеся в web-узлах.
Резервное копирование конфигурации сервера.
Для резервного копирования конфигурации компьютера с IIS выполните следующие действия:
Чтобы создать файл с новой резервной копией, щелкните кнопку Создать архив и задайте имя файла (достаточно осмысленное).
Файл с резервной копией будет создан в каталоге System32\inetsrv\MetaBack. Информация в нем хранится в двоичном формате и специфична для компьютера, на котором был создан файл. Если вы переустановите Windows Server 2003 на этом компьютере, то не сможете воспользоваться старыми файлами с резервными копиями, и они не помогут вам воссоздать конфигурацию IIS.
Восстановление конфигурации сервера.
Для восстановления предыдущей версии конфигурации вашего сервера откройте диалоговое окно Архивирование и восстановление конфигурации, выберите файл с резервной копией, из которого вы хотите произвести восстановление, и щелкните кнопку Восстановить. Обратите внимание, что для осуществления восстановления, IIS должна будет остановить свои службы, поэтому на восстановление потребуется больше времени, чем на резервное копирование.
Вы можете экспортировать содержимое правой панели окна консоли, выбрав нужный узел в левой панели, щелкнув кнопку Действие и выбрав Экспортировать список. Сохранять эту информацию можно в текстовом файле с кодировкой ACSII или Unicode с разделителями - табуляциями или запятыми. Благодаря этому появляется возможность документирования домашних каталогов для учета разнообразных виртуальных каталогов, создаваемых вами внутри web-узла.
Настройка свойств сервера.
При администрировании уровня сервера больше всего времени отнимает конфигурирование настроек, глобальных для всех виртуальных серверов, созданных на вашем компьютере. Для доступа к этим настройкам выберите нужный узел сервера в дереве консоли, щелкните кнопку Действие и выберите Свойства в раскрывающемся меню. Откроется окно свойств для данного сервера (в нашем примере Win2003s).
Имя сервера, отображаемое для этого сервера в дереве консоли, может быть либо именем NetBIOS, либо IP-адресом, либо DNS-именем сервера. В этом окне вы можете конфигурировать основные свойства, разрешить изменять файл конфигурации метабазы, сконфигурировать типы MIME и сконфигурировать формат журнала веб-узла.
Метабаза содержит конфигурацию сервера IIS, записанную в текстовый файл формата XML. Она расположена в каталоге system32\inetsrv и состоит из двух файлов Metabase.xml и MBschema.xml.
Сопоставления MIME.
В окне свойств сервера вы можете также сконфигурировать сопоставление MIME для этого сервера. Это сопоставление применяется в заголовках HTTP, направляемых вашим сервером IIS браузерам клиентов и объясняет клиентам, какие зарегистрированные типы файлов имеются и каковы сопоставленные им типы содержимого MIME. Например, расширение файлов .НТМ будет сопоставляться типу содержимого text/html.
Вы можете создавать, изменять и удалять эти сопоставления. Вы также можете конфигурировать сопоставления MIME на уровне сайта, уровне каталога и уровне файла, но обычно их нужно конфигурировать на уровне сервера, поскольку изменения на других уровнях будут переопределены, при изменении сопоставления типов MIME на уровне сервера.
Для того чтобы просмотреть/настроить типы MIME щелкните кнопку Типы MIME в одноименной области окна свойств сервера.
[newpage=Администрирование на уровне узла, каталога, файла ]
Администрирование на уровне узла.
Администрирование IIS на уровне узла решает существенно различные задачи в зависимости от того, с какой из четырех служб IIS вы работаете: WWW, FTP, SMTP или NNTP. Поэтому мы пока отложим подробное обсуждение задач администрирования разных видов сайтов (виртуальных серверов), а пока отметим несколько моментов, общих для всех задач администрирования на уровне сайта:
Администрирование на уровне каталога.
Настройки уровня каталога наследуются всеми файлами внутри каталога. Они также переопределяют настройки, сконфигурированные на уровнях сайта и сервера. Настройки уровня каталога применяются и к виртуальным, и к физическим каталогам внутри какого-либо web- или FTP-сайта.
Свойства уровня каталога - это просто подмножество свойств уровня сайта. На самом деле основные свойства службы WWW некоторого компьютера IIS конфигурируются при помощи 9 вкладок окна Основные свойства: Веб-узел, Быстродействие, Фильтры ISAPI, Домашний каталог, Документы, Безопасность каталога, Заголовки HTTP, Специальные ошибки и Server Extensions 2002.
И аналогично окно свойств какой-либо виртуального/физического каталога внутри web-узла содержит подмножество вкладок из окна свойств web-узла: Каталог или Виртуальный каталог (вместо Домашнего каталога), Документы, Безопасность каталога, Заголовки HTTP и Специальные ошибки.
Список настроек, которые вы можете конфигурировать на уровне каталога:
Помните, что настройки уровня каталога для вновь создаваемых web-узлов наследуются из ранее заданных настроек уровня сервера и уровня сайта. При изменении настроек на уровне каталога подобные им настройки, заданные на более высоких уровнях, будут переопределены.
Администрирование на уровне файла.
Администрирование на уровне файла - это последний из четырех уровней администрирования IIS. На этом уровне вы конфигурируете свойства отдельных файлов внутри домашнего каталога web- или FTP-узла или внутри какого-либо другого каталога. Например, в то время как окно свойств службы WWW уровня каталога имеет 5 вкладок, окно свойств отдельной web-страницы или другого файла имеет только 4 вкладки: Файл, Безопасность файла, Заголовки HTTP и Специальные ошибки.
Настройки на уровне файла в основном такие же, как и на уровне каталога, за исключением того, что для отдельных файлов нельзя задавать стандартные документы, а для каталогов - можно. Также, можно задавать только либо местоположение файла, либо перенаправление к URL.
[newpage=Работа с web-узлами.]
Работа с web-узлами.
Рассмотрим более подробно различные административные задачи уровня узла, которые можно выполнять в IIS. Мы уже кратко рассматривали диалоговое окно основных свойств для службы WWW, и вы уже знаете, что в нем имеется десять вкладок, содержащих разнообразные настройки, которые можно конфигурировать. Девять из этих десяти вкладок применяются также и на уровне узла (для администрирования отдельных web-узлов); в данном разделе мы подробно изучим эти разнообразные вкладки и их настройки. В качестве примера в данной главе мы будем конфигурировать Веб-узел по умолчанию.
Вкладка веб-узел.
Вкладка Веб-узел окна свойств узла позволяет задать идентификацию web-узла, сконфигурировать ограничение на максимальное количество одновременных соединений TCP, осуществляющих сеансы HTTP, включить или отключить сохранение соединений HTTP и включать на вашем сервере регистрацию IIS.
Идентификация веб-узла.
Каждый web-узел, размещенный на компьютере IIS, должен иметь уникальную идентификацию, чтобы клиенты-браузеры могли соединяться с ним и скачивать с него содержимое. Web-узлы можно определять при помощи трех разных параметров: IP-адреса, номера порта TCP и имени заголовка хоста.
Идентификация web-узла задается в странице окна свойств этого web-узла с вкладкой Веб-узел. Чтобы web-узлы на одном компьютере имели уникальные идентификации, они должны отличаться друг от друга хотя бы одним из трех параметров идентификации. Рассмотрим разные способы задания идентификации web-узла и обсудим, как можно иметь несколько разных web-узлов на одном сервере.
Настройка нескольких IP-адресов для одной сетевой платы сервера
Вы можете сконфигурировать несколько IP-адресов для одной сетевой платы сервера или установить несколько сетевых плат, чтобы у каждой платы был свой IP-адрес. Выберите разные IP-адреса для каждого из web-узлов. Не меняйте у этих сайтов настройку порта TCP (80 - это стандартная для протокола HTTP настройка порта TCP) и не конфигурируйте имена заголовка хоста. Достоинством этого способа является то, что клиентам удобно соединяться с каждым из сайтов при помощи IP-адреса сайта в запрашиваемом ими URL (или при помощи полностью квалифицированного DNS-имени, если на сервере DNS было сконфигурировано уникальное имя хоста для каждого из IP-адресов компьютера IIS).
К недостаткам этого способа относится то, что если на компьютере содержать много web-узлов, то им придется назначать много IP-адресов. Это не проблема для приватных интрасетей, использующих один из блоков приватных IP-адресов, таких как 10.y.z.w, 172.16-31.z.z, 192.168.z.z. Но на серверах, непосредственно подключенных к Интернету, вам придется получать нужное количество IP-адресов у вашего провайдера. Тем не менее, данный способ задания идентификации web-узла является наиболее употребительным.
Настройка только одного IP-адреса для сетевой платы
Задайте разные порты TCP (с номерами, большими 1023) для каждого из web-узлов, с которыми надо соединяться. Главный недостаток этого способа - то, что клиенты должны знать номера портов web-узлов, с которыми им надо соединяться. Например, если DNS-имя сервера - Win2003s.test.fio.ru, а web-узлу на этом сервере присвоен номер порта 8023, то клиенту для доступа к этому сайту придется использовать URL http://Win2003s.test.fio.ru:8023.
Настройка одного IP-адреса с сохранением стандартного порта TCP
При этом способе конфигурируется только один IP-адрес для сетевой платы сервера, а порт TCP остается со стандартным значением (80) для всех сайтов. Сконфигурируйте уникальное имя заголовка хоста для каждого сайта при помощи кнопки Дополнительно. Имена заголовков хоста возможны в протоколе HTTP 1.1. Имя заголовка хоста, сопоставляемое каждому из узлов, является типичным полностью квалифицированным DNS-именем, присвоенным узлу в базе данных доступного сервера DNS (или в локальном файле Hosts на клиентах).
Когда вы открываете окно свойств для Веб-узел по умолчанию и страницу с вкладкой Веб-сайт, то IP-адрес задан как Все неназначенные. Это означает, что web-узел будет отвечать на любой IP-адpec, не назначенный специально другим web-узлам изданном компьютере. Именно поэтому данный сайт является используемым по умолчанию и единственным web-узлом на компьютере IIS, для которого возможен такой способ задания IP-адреса.
Когда клиент запрашивает URL вроде http://vio.fio.ru , клиент передает имя заголовка хоста vio.fio.ru в заголовки запроса HTTP, передаваемые серверу. Сервер производит синтаксический разбор имени заголовка хоста, идентифицирует web-узел, с которым должен соединиться клиент, и возвращает файлы, соответствующие запросу. Недостатком этого способа является то, что клиент тоже должен поддерживать имена заголовков хоста, то есть должен уметь передавать DNS сайта в своих заголовках запроса HTTP. Имена заголовков хостов поддерживаются браузерами Microsoft Internet Explorer версий, начиная от 3 и выше. Другим недостатком использования имен заголовков хостов является то, что данный способ не работает в сочетании с соединениями SSL, потому что в этом случае сеансы HTTP подвергаются шифрованию.
Если вы работаете со старыми браузерами, не поддерживающими имена заголовков хоста, то можете реализовать механизм, основанный на cookie-файлах, позволяющий браузерам различать web-узлы, имеющие одинаковые IP-адреса и номера порта TCP. Дополнительную информацию об этом можно найти в онлайновой документации.
При изменении номера порта для web-узла не требуется перезагрузка сервера, чтобы изменения вступили в силу.
Подключения.
Страница с вкладкой Веб-узел позволяет конфигурировать для сеансов HTTP ограничение на максимальное количество действующих одновременно соединений TCP с сервером. Вы также можете включить или отключить настройку сохранения соединений (HTTP Keep-Alives) и задать значения предельного срока сохранения для соединений (connection timeout value). Настройка HTTP Keep-Alives является средством HTTP 1.1, при помощи которого клиент может сохранять открытым соединение TCP с сервером и после скачивания файла, если с этого сервера требуется скачать еще какие-либо другие файлы. Если же клиенты начнут страдать из-за замедления работы сервера или станут часто получать сообщение об ошибке "загруженности"
HTTP 500: Busy errors
то попробуйте уменьшить значение в поле Время ожидания подключения, чтобы неиспользуемые соединения TCP завершались быстрее.
Время ожидания, задаваемое на вкладке Веб-узел, применяется к активным сеансам TCP. В TCP имеются свои собственные настройки для завершения наполовину открытых соединений TCP, вроде тех, что создаются во время DoS-атак (Denial of Service, отказ в обслуживании), когда злоумышленники пытаются "завалить" web-сервер, переполнив его сетевое соединение пакетами TCP SYN.
Ведение журнала.
Вкладка Веб-узел позволяет включить (или отключить) средства ведения журнала для вашего сервера. По умолчанию эта настройка включена, с ее помощью администраторы могут отслеживать доступ к сайту браузеров клиентов. Регистрируемая информация может сохраняться в различных форматах:
Новые регистрационные файлы IIS могут создаваться ежечасно, ежедневно, раз в неделю или раз в месяц, либо когда существующий регистрационный файл дорастает до некоторого заданного размера. По умолчанию файлы журнала хранятся в папке \%systemroot%\System32\LogFiles, но вы можете изменить эту настройку при помощи кнопки Обзор.
Включение ведения журнала IIS в странице с вкладкой Веб-узел вовсе не означает, что будут регистрироваться посещения всех частей вашего сайта. Вы можете использовать флажок Запись в журнал на вкладке Домашний каталог диалогового окна web-узла, чтобы включить или отключить регистрацию доступа к содержимому, размещенному в домашнем каталоге узла. Посещения других каталогов и даже отдельных файлов вы можете отслеживать с помощью других вкладок.
Вкладка Дополнительно позволяет настроить расширенные параметры журнала.
Вкладка Быстродействие.
Настройка производительности отдельных web-узлов выполняется на странице с вкладкой Быстродействие окна свойств сайта.
В этой странице вы можете конфигурировать следующие настройки:
Вкладка Фильтры ISAPI.
Фильтры ISAPI (Internet Server Application Programming Interface) являются дополнительными динамическими DLL-библиотеками, выполняющими специфические действия при обработке клиентских запросов HTTP службой IIS. При этой вкладки вы можете задать набор фильтров ISAPI и последовательность их обработки службой IIS. Фильтры, установленные на уровне web-узла, применяются только для выбранного web-узла. Фильтры, установленные на уровне сервера, применяются ко всем web-узлам сервера.
Фильтры ISAPI осуществляют свои действия до того, как сервер фактически ответит на сам запрос HTTP. Вы можете, например, разработать фильтры ISAPI, выполняющие нестандартную аутентификацию, шифрование данных, запись информации о трафике в нестандартный регистрационный файл или для выполнения других задач.
Вкладка Домашний каталог.
На странице с вкладкой Домашний каталог можно указать местоположение содержимого, сопоставляемого домашнего каталога web-узла, чтобы задать полномочия доступа и другие настройки для каталога и web-приложений, реализованных в данном каталоге.
Домашний каталог.
Домашний каталог сайта задает местоположение содержимого, доступ к которому происходит при помощи URL вида
http://Имя_сайта/Имя_файла
где Имя_сайта является именем NetBIOS, IP-адресом или DNS-именем сайта, а Имя_файла - именем какой-либо страницы HTML, или файла с рисунком, или скрипта, или какого-нибудь другого файла из домашнего каталога сайта.
Домашний каталог сайта можно задать с помощью переключателя Источник содержимого при подключении к ресурсу одним из следующих способов:
Перенаправление доступа.
Возможность перенаправлять доступ для домашнего каталога (или для любого виртуального каталога) к URL полезна, когда web-узел находится в процессе создания или когда он выключен из-за технического обслуживания или из-за обновления. IIS позволяет перенаправлять запрос к любому из файлов в домашнем каталоге к одному и тому же URL (например, к странице с объявлением "Идет техническое обслуживание. Сайт будет доступен через 15 минут") или к такому же файлу в сетевом каталоге (так можно перенаправлять клиентов к временному сайту-зеркалу). Можно также перенаправлять доступ к подкаталогу текущего домашнего каталога, если страница с объявлением о техобслуживании или зеркальное содержимое находятся на том же самом сервере.
Постоянное перенаправление задавайте, только когда вы действительно планируете переместить содержимое сайта на другой сервер, т.к. некоторые браузеры, получив сообщение "Постоянное перенаправление"
HTTP 301 Permanent Redirect
могут действительно поменять ссылки в "Избранном" или в "Закладках". В результате, когда вы выключите перенаправление, клиенты все равно будут обращаться не к первоначальному, а к альтернативному сайту.
Разрешения.
Если вы зададите местоположение домашнего каталога как локального каталога или как сетевого разделяемого ресурса, то на странице с вкладкой Домашний каталог можно задать полномочия доступа и другие настройки для этого каталога.
Если в качестве местоположения домашней страницы вы зададите перенаправление URL, то эти настройки будут недоступны. Возможны следующие настройки:
Хотя полномочие Чтение и устанавливается для Веб-узла по умолчанию, но возможность доступа к содержимому конкретного web-узла зависит от множества условий.
Настройка веб-приложения.
Если в качестве местоположения домашнего каталога указать локальный каталог или сетевой разделяемый ресурс, то на вкладке Домашний каталог можно задать настройки любого приложения, реализованного в данном каталоге.
В качестве примера web-приложения можно привести набор ASP, работающих совместно и предоставляющих алгоритмические возможности для посетителей сайта. Настройки, которые вы можете pзадавать в области Параметры приложения:
Если вы зададите для каталога полномочие доступа Запись вместе с настройкой сценарии и исполняемые файлы, то возникнет угроза безопасности: пользователь, которому вы не доверяете, может получить возможность загрузить на сервер враждебную программу в исполняемом файле и произвести повреждения.
Вкладка Документы.
На вкладке Документы окна свойств web-узла можно задать возможные имена файлов для стандартных документов домашнего каталога и порядок доступа к ним для браузера.
По умолчанию задаются четыре файла в следующем порядке: Default.htm, Default.asp, index.htm и iisstart.htm. Например, если браузер пытается соединиться с Веб-узлом по умолчанию на сервере Win2003s.test.fio.ru при помощи URL http://Win2003s.test.fio.ru, то сервер сначала проверит, имеется ли в домашнем каталоге файл Default.htm. Если там есть такой файл, то он будет возвращен клиенту. Если такого файла нет, то сервер будет искать файл Default.asp. Этот процесс будет продолжаться до тех пор, пока не найдется файл или пока не закончится список документов, используемых по умолчанию. Вы можете задать дополнительные стандартные документы (например, Index.html) или убрать документы, уже имеющиеся в списке. Можно и вовсе отменить обращения к стандартным документам, в этом случае клиенты должны знать и указывать фактическое имя файла, к которому они хотят получить доступ на сервере, задавая, например, такие URL: http://Win2003s.test.fio.ru/NoDefault.htm.
При помощи этой вкладки можно также задать имя файла нижнего колонтитула (написанного в формате HTML); нижний колонтитул должен добавляться в нижнюю часть каждого из файлов, доставляемых с сайта к клиенту. Колонтитулы позволяют дополнить нижнюю часть каждой страницы заявлением об авторских правах либо заявлением об отказе от авторских прав. Если для создания содержимого применяется FrontPage, то вы можете создавать сложные нижние колонтитулы для отображения такой информации, как дата последнего изменения файла, счетчик популярности и т. д.
[newpage=Вкладка Безопасность каталога]
Вкладка Безопасность каталога.
На вкладке Безопасность каталога вы можете задать способ доступа к содержимому вашего сайта для анонимных пользователей:
Анонимный доступ и проверка подлинности.
Чтобы указать, нужна ли анонимным пользователям проверка подлинности (аутентификация) при доступе к вашему сайту, откройте диалоговое окно Методы проверки подлинности, щелкнув кнопку Изменить в области Управление доступом и проверка подлинности на вкладке Безопасность каталога. Это диалоговое окно используется для конфигурирования следующих настроек:
Встроенная проверка подлинности Windows спроектирована для работы в основном в интрасетях и других внутренних сетях. Она не будет работать через прокси-соединения HTTP.
Комбинирование различных способов проверки подлинности
Рассмотрим последствия выбора более чем одного способа проверки подлинности (метода аутентификации) в диалоговом окне Методы проверки подлинности. Если вы выбрали сразу Анонимный доступ и какую-либо разновидность доступа с аутентификацией, например, Обычная, то сначала производится попытка анонимного доступа. При неудаче делается попытка доступа с аутентификацией. Неудача анонимного доступа может произойти, например, если полномочия NTFS для доступа к ресурсу явно запрещают доступ анонимных пользователей.
Если вы выберете две или более разновидности доступа с аутентификацией, то сначала будут применяться наиболее защищенные формы. Например, попытка интегрированной аутентификации Windows будет предприниматься прежде попытки обычной аутентификации.
Ограничения IP-адресов и имен доменов.
На вкладке Безопасность каталога вы можете также ограничить доступ клиентов к web-узлу в зависимости от их IP-адреса или доменного DNS-имени.
Ниже показано диалоговое окно Ограничение IP-адресов и имен доменов, доступ к которому производится из страницы с вкладкой Безопасность каталога.
При помощи этого диалогового окна можно либо разрешить доступ к сайту всем клиентам, за исключением имеющих заданные в нем IP-адреса или доменные имена, либо запретить доступ всем клиентам, кроме имеющих заданные IP-адреса или доменные имена. Ограничения можно задавать одним из трех способов:
Заметьте, что последний способ существенно ухудшает производительность сервера, т.к. при его использовании для всех клиентов до получения разрешения соединиться необходим обратный поиск DNS.
Безопасные подключения.
На вкладке Безопасность каталога (область Безопасные подключения) вы можете также разрешить использование соединений HTTP, защищенных при помощи протокола SSL, который применяется для шифрования web-трафика между клиентом и сервером. Шифрование при помощи SSL важно, если вы планируете использовать сервер для исполнения web-приложений, связанных с финансовыми операциями, или для хранения важной информации. Web-браузеры осуществляют доступ к защищенным серверам при помощи SSL, применяя URL, начинающиеся с https://, а не с http://.
Протокол SSL основан на криптографии с открытым ключом, в которой идентификация и доверие к серверам (и клиентам) основываются на парах открытый/личный ключ, используемых для шифрования и расшифровки сообщений, что гарантирует защищенность и целостность передаваемой информации (другими словами, вы можете быть уверены, что сообщения приходят именно от тех, кто говорит, что послал их).
Если вы хотите организовать работу с защищенными соединениями, нужно сначала установить доступ к сертификационному центру, способному выдать вашему серверу IIS необходимые ему сертификат сервера и пару ключей (открытый и личный). Для этого вы можете:
Чтобы разрешить применение SSL, нужно сначала сгенерировать файл запроса сертификата и "подать на рассмотрение" этот файл в сертификационный центр. Сертификат сервера содержит связанный с ним открытый ключ и используется для проверки подлинности сервера и для установления защищенных соединений.
Чтобы получить сертификат сервера, выполните описанные ниже действия. В нашем примере запрашивается сертификат сервера для Веб-узла по умолчанию на сервере Win2003s.test.fio.ru, а Служба сертификации работает на контроллере домена dc1. fio.ru. Сертификационный центр для нашего предприятия fio.ru будет иметь имя Fio.
Как только сертификат сервера будет установлен на вашем web-узле, вы сможете посмотреть информацию о нем, для чего нужно щелкнуть кнопку Просмотр на вкладке Безопасность каталога.
Для завершения подключения протокола SSL для сайта Веб-узел по умолчанию на сервере Win2003s.test.fio.ru выполните следующие действия:
Настройка безопасных подключений
Безопасные подключения можно использовать не только для того, чтобы включить SSL с использованием сертификата сервера, установленного на компьютере с IIS, но и чтобы:
[newpage=Вкладка Заголовки HTTP]
Вкладка Заголовки HTTP.
На вкладке Заголовки HTTP окна свойств web-узла вы можете:
Истечение срока годности содержимого
Если вы разрешаете на сайте применение срока годности содержимого, то при запросе клиентом файла с этого сайта сервер возвращает заголовки HTTP с информацией о дате истечения срока годности содержимого. После этого клиент может решить, следует ли ему скачать более новую версию файла или же использовать имеющуюся копию из кэша браузера клиента.
Если ваш сайт содержит часто меняющуюся информацию (например, ежечасные новости), то вы можете принудить клиента забирать с сервера только свежие копии файлов (и никогда не использовать кэшированные версии файлов) при помощи переключателя Содержимое веб-узла должно: (положение истекает немедленно).
Специальные заголовки HTTP
Эта возможность, понятная лишь знатокам, позволяет определять нестандартные заголовки HTTP, возвращаемые сервером в ответ на запросы HTTP клиентов. Это средство можно применять для работы брандмауэров и прокси-серверов; с его помощью можно включать или отключать некоторые функциональные возможности сеансов HTTP.
Оценка содержимого
Оценка содержимого (рейтинг содержимого) используется, чтобы включить и задать рейтинги содержимого Консультативного Совета по развлекательному программному обеспечению (RSAC). При помощи настроек можно задать рейтинг сайта относительно насилия, секса и словесного содержимого; эти рейтинги используются на сайтах, содержащих материалы, нежелательные для просмотра детьми.
Сопоставление MIME
Глобальное сопоставление MIME для сервера IIS обсуждалось в разделе, посвященном администрированию на уровне сервера. При администрировании на уровне сайта вы можете задать дополнительное сопоставление MIME, относящееся к конкретному web-узлу.
Вкладка Специальные ошибки.
Благодаря вкладке Специальные ошибки вы можете задать способ, при помощи которого ваш сервер будет генерировать сообщения об ошибках HTTP при попытках пользователей осуществлять доступ к заданному web-узлу. По спецификации HTTP первая строка заголовка, возвращаемая web-сервером в ответ на запрос клиента, должна содержать число и связанное с ним сообщение, обозначающее статус запроса.
Эти трехзначные числа называются кодами статуса HTTP и классифицируются на несколько категорий:
1. от 200 до 299. Произошла успешная транзакция HTTP. (Самый обычный код статуса - 200 ОК).
2. от 300 до 399. Произошло перенаправление к другому URL.
3. от 400 до 499. Произошла ошибка. Вот примеры ошибок:
IIS сконфигурирована так, чтобы возвращались не коды статуса HTTP (от 400 до 499) с краткими сообщениями, а созданные заранее страницы HTML, содержащие более подробную информацию. Эти "файлы ошибок" находятся на сервере в папке \%systemroot%\help\iishelp\common и вы, если хотите, можете их изменять. А можно поступить по-другому: выбрать один из этих "файлов ошибок" в странице с вкладкой Специальные ошибки и щелкнуть кнопку Изменить. Теперь вы можете задать, чтобы при возникновении ошибок сервер возвращал либо стандартные коды статуса и сообщения HTTP, либо любой предназначенный для этого файл, расположенный или в локальной папке, или в сетевом разделяемом ресурсе. В файлы с сообщениями об ошибках можно, например, поместить какие-либо элементы, помогающие клиентам найти нужную им страницу. B IIS применяются более подробные сообщения об ошибках, нежели предусмотренные спецификацией HTTP. Например, код ошибки HTTP 401, означающий в HTTP просто отсутствие авторизации, представлен в IIS группой кодов от 401.1 до 401.5, соответствующих различным причинам отказа сервера принять удостоверения клиента.
Вкладка Server Extensions 2002.
Вкладка Server Extensions 2002 позволяет перейти к настройке серверных расширений FrontPage, о которых говорилось ранее. Что бы открыть окно установок FrontPage Server Extensions, нажмите кнопку Settings.
[newpage=Основные свойства FTP]
Работа с FTP-узлами.
Четыре уровня администрирования IIS, применяемые к Службе веб-публикаций, используются также во второй основной службе в составе IIS - Службе FTP-публикаций. Поскольку администрирование серверов, сайтов, каталогов и файлов у этих служб сходно.
Основные свойства FTP.
Помимо обычных задач уровня сервера (при которых происходит соединение с сервером IIS и администрирование его служб, резервное копирование и восстановление конфигурации сервера и ограничение суммарной пропускной способности, используемой всеми действиями IIS на компьютере) IIS позволяет также производить глобальное конфигурирование главных свойств для всех FTP-узлов, уже имеющихся на вашем сервере, и новых FTP-узлов, которые могут быть созданы в будущем.
Чтобы сконфигурировать главные свойства службы FTP для какого-либо сервера, выберите в дереве консоли IIS узел, представляющий сервер, щелкните кнопку Действие в панели инструментов и в меню выберите Свойства.
Это окно свойств имеет пять вкладок, применяемых для конфигурирования используемых по умолчанию глобальных настроек существующих FTP-узлов. Все новые FTP-узлы, создаваемые на данном компьютере, будут наследовать эти настройки. Обратите внимание, что на данном уровне некоторые настройки недоступны, потому что они могут применяться не ко всем FTP-узлам сразу, а лишь к отдельным FTP-узлам. Например, IP-адрес на вкладке FTP-узел не может настраиваться глобально, потому что оно специфичен для каждого из FTP-узлов.
Из этих шести вкладок окна свойств FTP для уровня сервера уникальна лишь вкладка Служба. Эта вкладка выполняет задачи, аналогичные задачам вкладки Служба окна основных свойств службы WWW: она позволяет задать на вашем компьютере IIS отдельный FTP-узел, с которым можно работать при помощи Диспетчера служб Интернета, входящего в состав IIS 3 в Windows NT. Остальные четыре вкладки одинаковы для уровня сервера и уровня сайта.
Настройка свойств FTP-узла.
Свойства конкретного FTP-узла на уровне узла идентичны свойствам на уровне сервера.
В данном разделе мы рассмотрим различные настройки, которые вы можете конфигурировать для отдельного FTP-узла при помощи окна свойств. Помните, что настройки уровня узла для вновь создаваемых FTP-узлов наследуются из заданных ранее главных свойств (для уровня сервера), тогда как изменение настроек на уровне узла "затаптывает" аналогичные настройки, сконфигурированные на уровне сервера. В наших примерах мы будем использовать свойства FTP-узла по умолчанию.
[newpage=Вкладка FTP-узел]
Вкладка FTP-узел.
Как и свойства web-узлов для администрирования на уровне сайта, свойства FTP-узла позволяют задавать идентификацию FTP-узла, конфигурировать соединения и включать регистрацию событий. Настройки для соединений и регистрации работают так же, как настройки свойств web-узлов, поэтому мы не будем их рассматривать. Мы изучим настройку идентификации сайта и кнопку для просмотра текущих сеансов.
Идентификация
Подобно web-узлам, каждый FTP-узел, размещенный на компьютере с IIS, должен иметь уникальную идентификацию, чтобы клиенты FTP могли соединяться с ним и скачивать или закачивать файлы. Однако, в отличие от web-узлов, в FTP используются два (а не три) параметра для идентификации FTP-узла, а именно, IP-адрес и номер порта TCP.
Идентификация FTP-узла задается в странице окна свойств заданного FTP-узла с вкладкой FTP-узел. Чтобы FTP-узлы на одном и том же компьютере имели бы уникальные идентификации, они должны отличаться друг от друга хотя бы одним параметром идентификации. Другими словами, чтобы иметь на одном сервере несколько FTP-узлов, вы можете воспользоваться одним из следующих методов:
Текущие сеансы
При помощи кнопки Текущие сеансы на странице с вкладкой FTP-узел вы можете открыть диалоговое окно FTP-сеансы для данного узла. В этом окне можно посмотреть, какие пользователи в данный момент имеют соединение с сайтом, IP-адреса их клиентов (или вашего прокси-сервера, если они действуют из пределов вне вашего брандмауэра) и время, прошедшее с момента их подключения. Вы можете выбрать любого из пользователей и отсоединить его от вашего сайта, а можно нажать на Отключить всех и завершить все сеансы на вашем сайте.
На рисунке показано соединение с анонимными пользователями, соединившимися с сайтом FTP-узел по умолчанию при разрешенном анонимном доступе. Пользователь IEUser@ осуществляет доступ к сайту, открыв в Internet Explorer URL ftp://Win2003s.test.fio.ru, тогда как пользователь mtulloch@fio.ru применил утилиту командной строки Windows для FTP и вошел в систему с пользовательским именем anonymous и произвольным (но необязательным) паролем, что равнозначно пользовательскому адресу электронной почты mtulloch@fio.ru. С другой стороны, если пользователь входит в систему с помощью базисной идентификации, которая будет описана ниже, диалоговое окно FTP-сеансы покажет имя этого пользователя в колонке Подключено пользователей.
Вкладка Безопасные учетные записи.
Вкладка Безопасные учетные записи окна свойств FTP-узла похожа на вкладку Безопасность каталога окна свойств web-узла. Операторы FTP-узлов имеют ограниченные права на администрирование, аналогичные обсуждавшимся ранее правам операторов на администрирование web-узлов. Однако для службы FTP контроль аутентификации организован гораздо проще. В то время как служба WWW поддерживает четыре уровня аутентификации (анонимную, обычную, дайджестную и интегрированную Windows) и возможность применения SSL для шифрования передачи данных, FTP поддерживает лишь два метода аутентификации: анонимную и обычную.
На вкладке Безопасные учетные записи присутствуют два флажка - Разрешить анонимные подключения и Разрешить только анонимные подключения.
В таблице ниже показано, как различные варианты установки флажков влияют на возможности анонимного доступа и базисной аутентификации. Если вы разрешаете анонимный доступ, то для IIS необходима пользовательская учетная запись, при помощи которой будет производиться такой доступ. По умолчанию задается учетная запись IUSR_ИмяСервера, но вы, если хотите, можете задать и другую учетную запись. (Убедитесь, что пользователь имеет право входить в систему локально на консоли сервера, т.к. это необходимо для работы базисной аутентификации.) Затем вы можете задать либо ручной ввод пароля, либо разрешить IIS синхронизировать пароль с паролем, установленным в Windows.
Если вам нужно разрешить на вашем сервере базисную аутентификацию, то ее смогут пройти и подключиться к узлу лишь пользователи, имеющие право входить в систему локально на сервере IIS, поддерживающем данный FTP-узел. Проверьте, чтобы сервер был физически защищен от злоупотреблений со стороны таких пользователей (если они работают в вашей организации).
Защита в FTP
Протокол FТР считается менее защищенным, чем HTTP, потому что FTP поддерживает только анонимную и базисную аутентификацию. Например, если в вашей фирме работает внутренний FTP-узел и вы применяете базисную аутентификацию, то любой человек, имеющий программу сетевого мониторинга, потенциально может заполучить трассировку сеанса FTP и узнать пользовательские пароли. Более того, если вы соединяетесь с FTP-узлом при помощи Internet Explorer и проходите базисную аутентификацию, то ваше пользовательское имя появится в URL, примерно так: ftp://mtulloch@ftp.scribes.com. Поэтому, покидая компьютер, вам следует блокировать свою консоль, а то люди узнают, кто вошел в систему на сайт FTP.
Вкладка "Сообщения".
FTP-узлы обычно имеют следующие сообщения: заголовок, приветственное, "прощальное" и о достижении предельного количества подключений. При помощи вкладки Сообщения окна свойств FTP-узла вы можете задать текст этих сообщений.
Вкладка Домашний каталог.
В FTP возможны два варианта размещения домашнего каталога, сопоставленного виртуальному корню сайта. Один способ - это задание локального каталога на одном из дисков сервера, другой способ - при помощи UNC-пути к сетевому разделяемому ресурсу, размещенному на файловом сервере где-то еще в сети. (При доступе к сетевому разделяемому ресурсу придется вводить удостоверения.) Задайте эту разновидность расположения домашнего каталога в странице с вкладкой Домашний каталог.
Для FTP-узлов не бывает перенаправлений к другим URL, в отличие от web-узлов, для которых это возможно.
Разрешения доступа
Разрешения доступа FTP проще полномочий WWW:
Стиль вывода каталога
Когда web-браузер осуществляет доступ к FTP-узлу, то пользователь получает (если для домашнего каталога действует разрешение Чтение) вывод каталога, т.е. список ее содержимого, листинг. Листинг каталога может выдаваться либо в первоначальном стиле FTP (стиль UNIX), либо в стиле, стандартном для Windows (стиль MS-DOS). В любом случае информация одна и та же, только выглядит по-разному.
Если ваш FTP-узел предназначен для широкого использования в Интернете, то выбирайте стиль UNIX, чтобы обеспечить максимальную совместимость для пользователей, работающих со старым клиентским программным обеспечением для FTP. Некоторые клиенты не могут правильно интерпретировать стиль MS-DOS.
Вкладка Безопасность каталога.
Как для web-узлов, вы можете контролировать доступ к FTP-узлу по IP-адресам или DNS-именам компьютеров подключающихся пользователей.
[newpage=Настройка свойств каталогов FTP]
Настройка свойств каталогов FTP.
При администрировании FTP на уровне каталогов (т. е. при администрировании виртуальных каталогов FTP) окно свойств виртуальных каталогов, создаваемых внутри FTP-узлов, имеет только две следующие вкладки:
Обратите внимание, что в отличие от web-узлов физические каталоги внутри FTP-узлов не отображаются в окне консоли IIS. Для службы FTP из IIS администрирование на уровне файлов не требуется, потому что отдельные файлы внутри FTP-узла тоже не отображаются в окне консоли.
[newpage=Работа с виртуальными NNTP-серверами]
Работа с виртуальными NNTP-серверами.
Третья основная служба в составе IIS на Windows Server 2003 - служба протокола новостей, Служба NNTP. Протокол NNTP является протоколом прикладного уровня, лежащем в основе общемировой системы серверов новостей Интернета - USENET. Служба NNTP входит в состав IIS и может применяться для создания новых сайтов новостей, реализованных как виртуальные серверы (аналогично web- и FTP-узлам). Если нужно установить подкомпоненту Служба NNTP служб IIS, то примените Установка и удаление программ из панели управления.
Что делает Служба NNTP.
Служба NNTP, входящая в состав IIS, поддерживает две части протокола NNTP: клиент-сервер и сервер-сервер, и может управляться при помощи оснастки Internet Information Services. Как и другие средства IIS, Служба NNTP полностью интегрирована с мониторингом событий и производительности Windows Server 2003 и интегрирована со Службой индексирования для полнотекстного индексирования содержимого групп новостей.
Служба NNTP может быть использована для реализации как приватных серверов новостей (для размещения дискуссионных групп подразделений вашего предприятия), так и публичных серверов новостей (например, для поддержки потребителей -пользователей Интернета). Однако Служба NNTP не позволяет "вытягивать" (pull) материалы с хостов USENET Интернета. Чтобы иметь эту возможность NNTP, вы должны приобрести Microsoft Exchange Server и реализовать на нем службу Internet News Service. Вы можете соединиться со службой NTTP на компьютере с IIS через Microsoft Outlook Express, чтобы скачивать списки групп новостей, читать сообщения, отвечать на них, публиковать новые сообщения.
При установке Службы NNTP на IIS автоматически создается сервер Виртуальный NNTP-сервер по умолчанию.
На одном компьютере можно содержать много виртуальных серверов NNTP. Поэтому несколько подразделений вашей фирмы могут запускать свои собственные серверы новостей на одном компьютере с IIS, точно так же, как они могут запускать web- и FTP-узлы.
Служба NNTP управляется окнами свойств и мастерами, как и другие основные службы, входящие в IIS.
Администрирование Службы NNTP.
Из консоли IIS можно запускать следующие мастеры для настройки виртуальных серверов NNTP:
[newpage=Мастер создания виртуального NNTP-сервера]
Мастер создания виртуального NNTP-сервера.
Чтобы создать новый виртуальный сервер NNTP, просто выберите в консоли IIS узел вашего сервера, щелкните кнопку Действие, затем - Создать и выберите Виртуальный NNTP-сервер. В результате запустится Мастер создания виртуального NNTP-сервера, который потребует от вас выполнения следующих действий:
Нажмите кнопку Готово для завершения работы мастера.
[newpage=Мастер создания виртуального каталога NNTP.]
Мастер создания виртуального каталога NNTP.
При помощи Службы NNTP можно создавать виртуальные каталоги внутри виртуального сервера NNTP и использовать их для хранения частей содержимого сервера новостей. Создадим новый виртуальный каталог внутри Виртуального сервера NNTP по умолчанию.
В узле Виртуальный каталог под узлом Виртуальный NNTP-сервер по умолчанию появится новый виртуальный каталог вместе с поддеревом относящихся к нему групп новостей.
Если вы дважды щелкните мышью на новом виртуальном каталоге, то откроется окно свойств, в котором можно изменить настройки.
[newpage=Мастер создания политики срока действия]
Мастер создания политики срока действия.
При помощи Мастера создания политики срока действия можно создать политику, определяющую допустимые сроки нахождения статей в группах новостей. Срок хранения статей может истечь, если они доживут до определенного "возраста".
Чтобы создать политику сроков хранения для групп новостей all.support.*, выполните следующие действия:
[newpage=Мастер создания группы новостей]
Мастер создания группы новостей.
Чтобы создать новую группу новостей, выберите в дереве консоли узел Группы новостей, щелкните кнопку Действие, затем - Создать и выберите Группа новостей в раскрывающемся меню.
Задайте для новой группы новостей имя для отображения и щелкните кнопку Далее.
Вы можете также задать "красивое" имя и описание. Затем щелкните кнопку Готово.
[newpage=Настройка Виртуального NNTP-сервера по умолчанию]
Настройка Виртуального NNTP-сервера по умолчанию.
Чтобы сконфигурировать новый виртуальный сервер NNTP, воспользуйтесь окнами его свойств. Для простоты мы и дальше будем в качестве примера использовать Виртуальный NNTP-сервер по умолчанию. Вы заметите, что конфигурирование виртуальных серверов NNTP похоже на описанное выше конфигурирование web-и FTP-узлов.
Вкладка Общие.
Ниже показана страница окна свойств Виртуального сервера NNTP по умолчанию с вкладкой Общие. При помощи этой вкладки можно задать следующие параметры:
Управление параметрами соединения и регистрацией здесь подобны применяемому для web- и FTP-узлов. Здесь вы можете включить регистрацию, но вы можете включать и выключать ее также на уровне отдельных каталогов, точно так же, как и для web- и FTP-узлов.
Вкладка Настройка.
Вкладка Настройки содержит множество настроек, относящихся к функционированию NNTP на выбранном виртуальном сервере. Вы можете конфигурировать следующие настройки:
Разрешать ли отправку сообщений на данный виртуальный сервер клиентами NNTP. Например, можно запретить помещать материалы на сервер, если вы хотите произвести его техническое обслуживание.
*Ограничить максимальный размер сообщений, помещаемых на сервер.
*Ограничить максимальное количество данных, которое может быть размещено одним пользователем во время одного соединения.
*Разрешить другим серверам NNTP забирать новости с данного виртуального сервера. Эта настройка не разрешает забирать данные с других серверов IIS, т.к. служба Служба NNTP в IIS не поддерживает таких возможностей, но данная опция применяется к хостам USENET и серверам Exchange, на которых исполняется служба Internet News Service.
*Позволить помещать ("подавать") статьи на данный виртуальный сервер.
*Разрешить управляющие сообщения. Так, клиенты и серверы могут передавать для виртуального сервера специальные команды, например, для создания новых или для ликвидации имеющихся групп новостей.
*Задать DNS-имя почтового сервера SMTP, используемого для модерируемых групп новостей, имеющихся на виртуальном сервере.
*Задать имя домена, к которому принадлежит модератор.
*Задать адрес электронной почты администратора виртуального сервера для пересылки всех сообщений об ошибках, генерируемых службой Служба NNTP при невозможности доставки нужному почтовому серверу SMTP сообщений, публикуемых в модерируемых группах новостей.
Вкладка Безопасность.
На вкладке Безопасность можно указать оператора NNTP с ограниченными возможностями по выполнению административных задач на данном виртуальном сервере.
Вкладка Доступ.
На вкладке Доступ указываются административные методы, которые могут применяться при попытках пользователей соединиться с виртуальным сервером.
Для этого нужно щелкнуть кнопку Проверка подлинности, расположенную в области Управление доступом. Откроется диалоговое окно Способы проверки подлиности. Эти способы подобны способам проверки подлинности для web-узлов, хотя они отображаются в данном диалоговом окне несколько по-другому.
Область Безопасные подключения - позволяет настроить использование протокола SSL. Если щелкнуть кнопку Сертификат, то запустится Мастер сертификатов.
Кнопка Подключение позволяет задать ограничение доступа к узлу в зависимости от IP-адреса и доменного имени.
[newpage=Управление группами новостей]
Управление группами новостей.
Чтобы посмотреть список групп новостей, имеющихся на виртуальном сервере, изменить свойства групп новостей, создать новую или удалить существующую группу новостей, воспользуйтесь узлом Группы новостей сервера NNTP. Обратите внимание, что в Виртуальном сервере NNTP по умолчанию уже имеется некоторое количество групп новостей, принятых по умолчанию.
Давайте создадим три группы новостей: all.support.pc, all.support.mac и all.support.unix.
Управление группами новостей.
Просмотр текущих сеансов NNTP.
После нескольких пробных передач сообщений перейдите в консоль IIS вашего сервера IIS и выберите в дереве консоли узел Текущие сеансы под узлом Виртуальный NNTP-сервер по умолчанию. В результате отобразится информация о пользователях, соединенных с виртуальным сервером в данный момент. Вы можете выбрать любого пользователя, щелкнуть кнопку Действие, а затем, по своему усмотрению, либо завершить сеанс этого пользователя, либо завершить все соединения с виртуальным сервером NNTP.
Перекомпоновка виртуального NNTP-сервера.
Перекомпоновка индексов и хэш-таблиц, используемых виртуальным сервером для ссылок на опубликованные в нем статьи, является важной задачей технического обслуживания виртуальных серверов NNTP. Необходимость в перекомпоновке виртуального сервера NNTP может возникнуть: из-за ручного удаления файлов из каталогов для хранения содержимого NNTP, из-за ошибок диска и потери части содержимого группы новостей или из-за проблем в доступе к статьям.
Чтобы перестроить виртуальный сервер (в нашем примере - Виртуальный NNTP-сервер по умолчанию), выполните следующие действия:
[newpage=Дистанционное администрирование]
Дистанционное администрирование.
Последняя тема данной главы посвящена применению стандартного web-браузера для дистанционного администрирования сайтов, серверов и служб IIS. До сих пор для администрирования IIS мы пользовались только консолью IIS. Однако для IIS необходимо соединение на основе удаленного вызова процедур (RPC, remote procedure call), из-за чего IIS предназначена в первую очередь для администрирования внутренних сетей фирм. Но при помощи Диспетчера служб IIS администраторы могут управлять большинством средств IIS (но не всеми), через сетевые соединения, даже через незащищенные соединения Интернета и через прокси-серверы или брандмауэры (при правильной конфигурации). В данном разделе дано краткое описание компоненты Диспетчер служб IIS и способа ее применения.
Сайт Администрирование веб-узла.
Remote Administration (HTML) (Удаленное администрирование) - дополнительная компонента IIS, не устанавливаемая по умолчанию при установке Windows Server 2003. Когда эта компонента будет установлена, в дереве консоли окна консоли IIS появляется новый web-узел с именем Administration (Администрирование).
Чтобы включить средство удаленного администрирования (HTTP) через панель управления выполните следующее:
Этот web-узел является фактически ASP-приложением, при помощи которого администраторы могут управлять IIS через любой web-браузер, поддерживающий JavaScript.
Обеспечение возможности для работы дистанционного администрирования.
Чтобы компонента Remote Administration (HTML) могла бы работать, администраторам нужна лишь возможность соединяться с сайтом Administration. Для этого выполните следующие действия:
Проверка дистанционного администрирования.
Чтобы проверить конфигурацию сайта Administration, запустите Internet Explorer на компьютере с IP-адресом, для которого вы разрешили доступ, и откройте URL
http://Имя_Сервера:Порт_Для_Администрирования
где Имя_Сервера - это IP-адрес или DNS-имя сервера IIS, а Порт_Для_Администрирования - записанный вами номер порта для дистанционного администрирования.
Появится диалоговое окно с просьбой ввести ваши удостоверения (имя пользователя, пароль и домен Windows), а затем - предупреждение о том, что вы осуществляете администрирование, пользуясь незащищенным соединением. (Если вы хотите повысить защищенность, то можете сконфигурировать SSL для узла Administration точно так же, как для любых других web-узлов.
С этого момента, если вы сделали все правильно, Remote Administration (HTML) начнет работать, и вы соединитесь с сайтом Administration при помощи своего браузера.
Remote Administration (HTML) позволяет решать большинство административных задач, но не все - например, вы не сможете сконфигурировать отображение сертификатов, потому что эта работа требует координации с другими службами Windows Server 2003, недоступными из web-браузера.
Расширения веб-службы.
С помощью функции Расширения веб-службы вы можете задать, какие шлюзовые интерфейсы (CGI) и интерфейсы прикладного программирования (ISAPI) могут работать на вашем сервере. Также можно задать список запрещенных интерфейсов. Для просмотра и редактирования текущих настроек выделите Расширения веб-службы и в правой части окна вы увидите текущие настройки.
Для того, чтобы включить или отключить расширение, выделите имя расширения и нажмите кнопку Разрешить или Запретить.
К тому же вы можете выполнить ряд дополнительных задач:
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.153 )
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Friday 29 December 2006 - 00:00:00
[newpage=Новые возможности IIS 6.0]
Установка и администрирование Microsoft Internet Information Services, IIS 6.0.
В составе Microsoft Windows Server 2003 имеются службы, обеспечивающие поддержку со стороны сервера наиболее употребительных протоколов Интернета прикладного уровня, благодаря чему сервер Windows Server 2003 может выполнять следующие роли:
- Web-сервер;
- FTP-сервер;
- SMTP-сервер;
- NNTP-сервер.
Все эти функции реализуются компонентом Internet Information Services (IIS), являющимся преемником компонента Internet Information Server, входившего в состав NT Option Pack для Windows NT 4.0.
Новые возможности IIS 6.0.
В IIS 6.0 включены новые возможности, разработанные чтобы помочь организациям, техническим специалистам и веб-администраторам достигнуть производительности, надежности, масштабируемости и безопасности для тысяч потенциальных веб-узлов — на единственном сервере IIS или на нескольких серверах.
В следующей таблице перечислены преимущества и возможности этой версии IIS:
Надежность | Службы IIS 6.0 используют новую архитектуру обработки запросов и среду изоляции приложений, которая позволяет отдельным веб-приложениям функционировать независимо друг от друга в виде независимых рабочих процессов. Эта среда предотвращает остановку одного приложения или веб-узла другим и сокращает время перезапуска служб при устранении неполадок приложений. Новая среда также включает профилактическое наблюдение за работоспособностью группы приложений. | ||||
Масштабируемость | В IIS 6.0 введен новый драйвер режима ядра для обработки и кэширования HTTP, который специально настроен на увеличение пропускной способности веб-сервера и масштабируемости многопроцессорных компьютеров, что значительно увеличивает:
Настройкой предельного времени запуска и завершения работы рабочих процессов достигается дальнейшая масштабируемость IIS, так как служба распределяет ресурсы между активными узлами, не тратя их на обслуживание неактивных запросов. | ||||
Безопасность | IIS 6.0 включает разнообразные средства и технологии безопасности для обеспечения целостности содержимого веб-узла или узла FTP, а также данных, передаваемых через узлы. Чтобы уменьшить возможность атаки системы, IIS не устанавливается по умолчанию на серверы под управлением WindowsServer 2003. | ||||
Управляемость | Для удовлетворения потребностей различных групп пользователей IIS предоставляет широкий спектр средств управления и администрирования. Администраторы могут настроить сервер IIS 6.0, используя диспетчер IIS, сценарии администрирования или непосредственно редактируя текстовые файлы конфигурации IIS. Также возможно удаленное администрирование серверов и узлов IIS. В данной версии IIS используются текстовые файлы конфигурации в формате .xml, которые могут редактироваться вручную или программно. Метабаза является хранилищем для большинства значений конфигурации IIS. Ее модернизация привела к значительному ускорению процессов запуска и завершения работы сервера, а также к увеличению общей производительности и удобства использования самой метабазы. | ||||
Улучшенная разработка | Семейство Windows Server 2003 предоставляет улучшенные возможности разработки благодаря интеграции ASP.NET и IIS. ASP.NET понимает большую часть кода ASP, обеспечивая расширенную функциональность для создания веб-приложений корпоративного уровня, которые могут работать как часть .NET Framework. Работа с ASP.NET позволяет использовать все преимущества общей языковой среды выполнения, в том числе безопасность типов, наследование, языковое взаимодействие и согласование версий. IIS 6.0 поддерживает последние веб-стандарты, включая XML, протокол SOAP и Интернет-протокол IPv6.0. | ||||
Совместимость приложений | IIS 6.0 обеспечивает совместимость с большинством существующих приложений, благодаря взаимодействию с огромным числом пользователей и независимых поставщиков программного обеспечения. Чтобы обеспечить максимальную совместимость, можно настроить IIS 6.0 для работы в режиме изоляции IIS 5.0. |
Планирование установки IIS 6.0.
Перед установкой службы Internet Information Services выполните следующие рекомендации:
- Если протокол TCP/IP и служебные программы связи не установлены на компьютере, необходимо сделать это перед установкой IIS.
- Если требуется обеспечить возможность публикации в Интернете, поставщик услуг Интернета (ISP) должен сообщить IP-адрес и маску подсети для сервера, а также IP-адрес основного шлюза. Основной шлюз — это компьютер поставщика услуг Интернета, через который компьютер пользователя маршрутизирует весь поток данных Интернета.
- Желательно также установить следующие дополнительные компоненты:
- Служба DNS (Domain Name System). Рекомендуется установить службу DNS на компьютер в интрасети. В небольшой интрасети на всех сетевых компьютерах можно использовать файл Hosts или Lmhosts. Это необязательное условие, но оно дает пользователям возможность применять понятные имена вместо IP-адресов. В Интернете веб-узлы обычно используют имена DNS. Если доменное имя узла зарегистрировано, для доступа к узлу достаточно ввести это имя в обозревателе.
- Файловая система NTFS. В целях безопасности рекомендуется форматировать все диски IIS для файловой системы NTFS.
- Microsoft FrontPage. Microsoft FrontPage позволяет создавать HTML-страницы для веб-узлов и редактировать их. Приложение FrontPage является редактором HTML с удобным графическим интерфейсом для выполнения таких задач, как вставка таблиц, рисунков и сценариев.
Безопасность служб IIS 6.0.
Службы IIS по умолчанию не устанавливаются на компьютеры под управлением операционных систем Windows Server 2003. Это гарантирует, что администраторы не установят их непреднамеренно. В операционные системы из семейства Windows Server 2003 включена новая политика, Запрет установки IIS, которая позволяет администраторам домена указывать, каким серверам, работающим под управлением Windows Server 2003, запрещено устанавливать IIS.
Чтобы защитить сервер от атак злонамеренных пользователей, во время обновления операционной системы на компьютере под управлением Windows 2000 служба веб-публикации выключена. Можно включить ее, используя оснастку Службы.
При установке IIS службы устанавливаются в режиме наивысшей безопасности и в заблокированном режиме. По умолчанию они обслуживают только статическое содержимое. Это означает, что такие средства, как страницы ASP, ASP.NET, служба индексирования, включая сторону сервера (SSI), протокол WebDAV и расширения сервера FrontPage не работают, если не включить их. Если не включить эти средства после установки служб IIS, они возвращают ошибку 404. Чтобы работать с динамическим содержимым и разблокировать эти средства, их следует включить из диспетчера IIS. Администраторы могут включить или выключить функциональность IIS, в зависимости от потребностей организации. Также IIS возвращает ошибку 404, если для расширения приложения не существует сопоставления.
Службы IIS 6.0 предлагают множество средств для защиты сервера приложений, в том числе:
- механизмы проверки подлинности, включающие новую расширенную краткую проверку подлинности;
- авторизацию URL, которая предоставляет основанную на ролях авторизацию для конкретных URL;
- протоколы Secure Sockets Layer 3.0, которые обеспечивают безопасный способ обмена информацией;
- выбираемый поставщик службы криптографии, который позволяет выбрать поставщика службы криптографии (CSP), удовлетворяющего потребностям пользователей.
[newpage=Поддерживаемые протоколы]
Поддерживаемые протоколы.
Internet Information Services обеспечивает поддержку следующих протоколов:
- HTTP;
- HTTPS;
- FTP;
- SMTP;
- NNTP.
Протокол HTTP
Протокол HTTP (HyperText Transfer Protocol) лежит в основе WWW, которому мы обязаны стремительным ростом популярности и развитию Интернета. Этот протокол используется для доступа клиентов к статическому и динамическому содержимому web-узлов. HTTP клиент-серверный протокол, описывающий взаимодействие между HTTP-серверами (также называемыми web-серверами) и HTTP-клиентами (также называемыми web-браузерами). Протокол HTTP использует для своей работы протокол транспортного уровня TCP. Для работы web-серверов зарезервирован 80 TCP-порт.
Обслуживание протокола HTTP осуществляет Служба веб-публикаций. Внутреннее имя службы W3SVC.
Протокол HTTPS
Протокол HTTPS (HyperText Transfer Protocol Security) является расширением протокола HTTP. В отличие от HTTP, передающего данные в незашифрованном виде, HTTPS осуществляет шифрование данных на основе несимметричных алгоритмов шифрования. Протокол позволяет осуществлять не только шифрование данных, но и проверку подлинности обоих сторон соединения. Именно по этому этот протокол обычно используется в работе сайтов, требующих повышенного уровня защищенности при взаимодействии с пользователем. К таким сайтам можно отнести различные сайты, манипулирующие финансовой информацией, например, сайты электронных магазинов.
Протокол HTTPS также использует протокол TCP, однако для его работы зарезервирован другой TCP-порт - 443. Обслуживание протокола также осуществляет Служба веб-публикаций.
Протокол FTP
Протокол FTP (File Transfer Protocol) предназначен для передачи отдельных файлов и появился гораздо раньше HTTP. FTP - клиент-серверный протокол, обеспечивающий взаимодействие между FTP-серверами и FTP-клиентами. В настоящее время большинство web-браузеров также поддерживают работу по протоколу FTP. Протокол FTP использует для своей работы протокол транспортного уровня TCP и для его работы зарезервированы порты 20 и 21.
Обслуживание протокола FTP осуществляет Служба FTP-публикаций. Внутреннее имя службы MSFTPSVC.
Протокол SMTP
Протокол SMTP (Simple Mail Transfer Protocol) является основой системы электронной почты Интернета. Этот протокол используется для передачи сообщений электронной почты от клиентов к серверам, а также между серверами. Протокол SMTP не предназначен для загрузки электронной почты - его задача обеспечить доставку электронного сообщения до сервера получателя. Протокол SMTP использует для своей работы протокол транспортного уровня TCP и для его работы зарезервирован порт 25.
Обслуживание протокола SMTP осуществляет служба Протокол Simple Mail Transport Protocol. Внутреннее имя службы SMTPSVC.
Протокол SMTP первоначально был разработан для передачи сообщений электронной почты от одного SMTP-сервера к другому, и в нем не предусмотрены средства для хранения сообщений для получателей. Поэтому SMTP-клиенты, чтобы получать электронную почту, должны быть постоянно подключены к SMTP-серверу. В противном случае сервер возвращает сообщение обратно, информируя отправителя о недостижимости получателя. Для решения этой проблемы, были разработаны другие протоколы электронной почты, допускающие хранение сообщений электронной почты до того момента, пока пользователь не подключится и не загрузит сообщения на свой компьютер.
Из таких протоколов наиболее распространены протоколы POP3 (Post Office Protocol, версия 3) и IMAP4 (Internet Message Access Protocol, версия 4). Однако службы IIS 6.0 в Windows Server 2003 не поддерживают эти протоколы, поэтому служба SMTP-сервера предназначена в первую очередь для использования сценариями и активными компонентами web-сервера, и не предназначена для работы в качестве корпоративного сервера электронной почты. Если вы хотите иметь полноценный почтовый сервер, поддерживающий протоколы SMTP/POP3/IMAP4 - установите Microsoft Exchange Server.
Протокол NNTP
Протокол NNTP (Network News Transfer Protocol) является основой для используемой в Интернете системы телеконференций, или, как ее еще называют, групп новостей. Этот протокол используется как для взаимодействия между серверами телеконференций, так и между серверами и клиентами. Протокол NNTP использует для своей работы протокол транспортного уровня TCP и для него зарезервирован порт 119.
Обслуживание протокола NNTP осуществляется службой Протокол Network News Transport Protocol. Внутреннее имя службы NNTPSVC.
Другие протоколы
Помимо перечисленных выше протоколов прикладного уровня, службы IIS 6.0 поддерживают ряд дополнительных протоколов, использующихся для решения специфических задач или совместно с перечисленными:
- SSL (Secure Sockets Layer). Этот протокол применяется для шифрования данных и проверки подлинности сторон, как вспомогательный протокол для HTTPS, SMTP и NNTP. Для его работы требуется как минимум один серверный сертификат.
- TLS (Transport Layer Security). Используется только для шифрования данных как вспомогательный протокол для HTTPS, SMTP и NNTP.
- MIME (Multipurpose Internet Mail Extensions). Используется протоколами HTTP, SMTP и NNTP для передачи файлов разных форматов.
[newpage=Установка Internet Information Services, IIS 6.0.]
Установка Internet Information Services, IIS 6.0.
Для обеспечения безопасной работы сервера, Windows Server 2003 поставляется в конфигурации "безопасности по умолчанию". При инсталляции сервера устанавливаются только самые необходимые службы, обеспечивающие нормальную работу сервера. Такая настройка значительно повышает надежность и безопасность Windows и сводит к минимуму риск получения злоумышленником доступа к ресурсам сервера.
Как и многие другие службы, Internet Information Services (IIS), устанавливается, при необходимости, после инсталляции сервера с помощью мастера настройки сервера. Следует заметить, что по умолчанию IIS 6.0 выполняется с минимальными привилегиями, что снижает риск его использования в качестве инструмента для вероятных несанкционированных действий.
Чтобы запустить Мастер настройки сервера выберите в меню Пуск -> Администрирование -> Управление данным сервером.
В разделе Управление ролями данного сервера нажмите кнопку Добавить или удалить роль.
Подтвердите установку и подключение всех сетевых компонентов нажав кнопку Далее.
В списке Роль сервера выберите Сервер приложений (IIS, ASP.NET) и нажмите кнопку Далее.
На следующем шаге мастера вы можете включить в установку дополнительные серверные расширения FrontPage и ASP.NET.
Установите флажок для того расширения, которое следует включить в установку:
- Серверные расширения FrontPage позволяют нескольким пользователям с клиентского компьютера удаленно администрировать и публиковать данные на веб-узле.
- Включить ASP.NET. Если вы собираетесь разместить на веб-узле приложения, разработанные с помощью ASP.NET, выберите это свойство (ASP.NET можно включить позднее с помощью диспетчера IIS).
После выбора дополнительных расширений нажмите кнопку Далее.
На странице Сводка выбранных параметров посмотрите и подтвердите выбранные параметры.
Для применения параметров нажмите кнопку Далее. После нажатия кнопки Далее появится, а затем автоматически закроется страница Настройка компонентов мастера компонентов Windows. На этой странице невозможно нажать кнопки Назад или Далее.
После настройки компонентов мастер отобразит страницу Данный сервер теперь является сервером приложений.
Что бы завершить работу мастера нажмите кнопку Готово.
[newpage=Администрирование служб IIS. Инструменты управления.]
Администрирование служб IIS. Инструменты управления.
Операционная система Windows Server 2003 содержит множество инструментальных средств для администрирования рассмотренных выше четырех основных служб, входящих в состав IIS.
Консоль Internet Information Services Manager
Internet Information Services Manager- это отдельная консоль, являющаяся основным средством для администрирования IIS в сетях на основе Windows Server 2003.
Обратите внимание, что сама оснастка называется Internet Information Services Manager, а ярлык, созданный в папке Администрирование для принятой по умолчанию консоли, в которой устанавливается эта папка, называется Диспетчер служб IIS.
По умолчанию, при установке службы IIS, из соображений безопасности она поддерживает лишь службу веб-публикаций (Веб-узлы), поэтому вы можете использовать консоль Internet Information Services только для создания web-узлов. Впоследствии вы сможете установить протокол Simple Mail Transport Protocol, службу FTP-публикаций и протокол Network News Transport Protocol , открыв утилиту Установка и удаление программ из панели управления и выбрав в ней Установка компонентов Windows. Затем там нужно выбрать компонент Application Server -> Internet Information Services и щелкнуть кнопку Состав, чтобы найти нужную службу.
Каталог Inetpub
Все необходимые для функционирования служб Internet Information Services файлы по умолчанию располагаются в папке \Inetpub. Эта папка содержит несколько важных подкаталогов, описанных в таблице ниже.
Подкаталог | Описание |
AdminScripts | Примеры скриптов IIS для администрирования (для Windows Scripting Host) |
Ftproot | Корневой каталог для узла FTP-узел по умолчанию |
Iissamples | Разнообразные примеры |
Дистанционное администрирование для службы SMTP (с использованием web-браузера) | |
Mailroot | Различные папки, используемые службой SMTP |
News | Дистанционное администрирование для службы NNTP (с использованием web-браузера) |
Nntpfile | Различные папки, используемые службой NNTP |
Scripts | Принятое по умолчанию местоположение для прикладных скриптов, используемых сайтом Веб-узел по умолчанию . В папке имеются примеры и инструментальные средства |
Wwwroot | Корневой каталог для узла Веб-узел по умолчанию |
Скрипты для администрирования
Чтобы исполнять в Windows Server 2003 скрипты для администрирования, вы можете пользоваться Windows Management Instrumentation (WMI) или Active Directory Service Interfaces (ADSI). При помощи этих скриптов можно решать административные задачи общего характера (например, создавать новые web-узлы и т.д.). Вы можете писать эти скрипты на Visual Basic Scripting Edition (VBScript) или на JavaScript в Active Server Pages (ASP). Примеры скриптов для администрирования вы найдете в папке \Inetpub\AdminScripts.
[newpage=Служба веб-публикаций.]
Служба веб-публикаций.
Рассмотрим основные понятия и задачи, относящиеся к службе веб-публикаций, на примере изучения Веб-узла по умолчанию (Default Web Site), созданного на компьютере во время установки Windows Server 2003.
Веб-узел по умолчанию.
Веб-узел по умолчанию (а также любой web-узел или сайт под управлением IIS ) с точки зрения администратора - набор образцов файлов конфигурации, размещаемых по умолчанию в локальной файловой системе сервера в C:\Inetpub\wwwroot (корневой каталог для WWW-публикаций). Однако не обязательно хранить содержимое web-узла в этой папке - содержимое можно размещать в любом каталоге сервера или в сетевом разделяемом ресурсе на каком-либо другом сервере.
Соединение с web-узлом.
Доступ к домашней странице Веб-узла по умолчанию из браузера можно получить несколькими способами:
- Щелкните кнопку Пуск, выберите команду Выполнить, в поле ввода наберите http://127.0.0.1 и щелкните кнопку ОК.
- Запустите Internet Explorer, наберите в адресном поле localhost и нажмите клавишу Enter.
- В консоли Internet Information Services выберите Веб-узел по умолчанию, щелкните на нем правую кнопку мыши и выберите Обзор в контекстном меню.
Когда вы попытаетесь получить доступ с удаленного компьютер через сеть, вы увидите страницу В процессе разработки (Under Construction), но на самом деле это означает, что сайт активен и доступен. Чтобы подключиться с удаленного компьютера к web-серверу, запустите на удаленном компьютере Internet Explorer, введите в адресную строку IP-адрес или DNS-имя Web-сервера и нажмите клавишу Enter.
[newpage=Использование Мастера создания веб-узлов.]
Использование Мастера создания веб-узлов.
Веб-узел по умолчанию - это просто один небольшой пример возможного использования Службы веб-публикаций из IIS, с помощью которой вы можете создать столько web-узлов, сколько хотите, а их содержимое (страницы, картинки и другие файлы) можно размешать в самых разных местах. Каждый web-узел действует как виртуальный сервер. Для иллюстрации мы создадим новый web-узел на сервере Win2003s (IP-адрес 192.168.100.20, доменное имя Win2003s.test.fio.ru) и простую домашнюю страницу, а затем проверим его, соединившись с ним с другого компьютера в сети.
Прежде чем вы воспользуетесь Мастером создания веб-узлов, решите, какое имя в сети будет иметь этот сайт. При использовании web-браузера (например, Internet Explorer) для соединения с web-узлом и просмотра его домашней страницы вы можете задать URL сайта различными способами, например, при помощи IP-адреса, или NetBIOS-имени, или полностью определенного DNS-имени.
В нашем примере вы привяжете второй IP-адрес (192.168.100.30) сетевой интерфейсной плате сервера Win2003s и установите соответствие между вновь создаваемым web-узлом и добавляемым вами новым IP-адресом. Чтобы добавить второй IP-адрес, выполните следующие действия:
- Нажмите кнопку Пуск, выберите меню Подключение -> Отобразить все подключения.
- В окне Сетевые подключения щелкните правой кнопкой мыши значок Подключение по локальной сети и выберите Свойства в контекстном меню (или дважды щелкните этот значок и далее щелкните кнопку Свойства).
- В окне Подключение по локальной сети дважды щелкните Протокол Интернета (TCP/IP).
- В окне Свойства: Протокол Интернета (TCP/IP) щелкните кнопку Дополнительно.
- В разделе IP-адреса диалогового окна Дополнительные параметры TCP/IP щелкните кнопку Добавить, задайте дополнительный IP-адрес и маску подсети и щелкните кнопку Добавить.
- Закройте все диалоговые окна, нажимая кнопку ОК.
Прежде чем создать web-узел, понадобится сделать два дела. Во-первых, нужно создать на локальном сервере новый каталог для сайта (например, C:\МойУзел), в котором будет храниться содержимое нового сайта. Во-вторых, необходимо создать простую домашнюю страницу с именем Default.htm. Достаточно набрать в Блокноте и сохранить в файле Default.htm в каталоге \МойУзел следующий текст (проследив, чтобы текстовый редактор не добавил к имени файла расширение .ТХТ):
<HTML><HEAD><TITLE>Мой Узел</TITLE></HEAD><BODY><Н1>Добро пожаловать на мой веб-сайт</H1><HR>Сайт находится в процессе создания!
</BODY></HTML>
Еще проще создать простую домашнюю страницу можно в текстовом редакторе Microsoft Word. Наберите любой текст и сохраните в формате html, в файле Default в каталоге \МойУзел.
Теперь создайте новый web-узел с именем МойУзел, выполнив следующие действия:
- Запустите консоль Internet Information Services на сервере Win2003s, а затем выберите имя сервера в дереве консоли.
Консоль Internet Information Services можно запустить на любом другом сервере или рабочей станции и соединиться с компьютером Win2003s. Для этого при щелкните кнопку Действие в панели инструментов консоли IIS 6.0, выберите пункт Подключение в раскрывшемся меню. В появившемся окне Подключение к компьютеру укажите имя сервера (Win2003s). - Щелкните кнопку Действие в панели инструментов, щелкните Создать и выберите Веб-узел в раскрывающемся меню. Откроется окно Мастера создания веб-узлов. Щелкните кнопку Далее.
- Чтобы задать обозначение узла, наберите название МойУзел. Это имя будет отображаться в консоли Internet Information Services и будет служить обозначением нового web-узла для администратора. Затем щелкните кнопку Далее.
- В поле Введите IP-адрес для веб-узла задайте ваш второй IP-адрес в качестве IP-адреса для данного сайта, не изменяя других настроек. Затем щелкните кнопку Далее.
- На следующем шаге мастера задайте путь к домашнему каталогу данного web-узла как C:\МойУзел (удобнее всего воспользоваться кнопкой Обзор). Обратите внимание, что домашний каталог вашего сайта может быть как локальным каталогом, так и сетевым разделяемым ресурсом. Флажок Разрешить к веб-узлу анонимный доступ оставьте установленным. Щелкните кнопку Далее.
- Не меняйте принятые по умолчанию настройки полномочий доступа, щелкните кнопку Далее.
- Чтобы завершить работу мастера, щелкните кнопку Готово. Новый web-узел МойУзел появится в качестве узла в окне консоли Internet Information Services под обозначением сервера Win2003s и в нем будет только одна web-страница - Default.htm.
Проверка нового web-узла.
Чтобы проверить работу нового web-узла, перейдите на другой компьютер в сети, запустите браузер и введите http://192.168.100.30 в адресную строку. В окне браузера должна загрузиться страница Default.htm. Если для используемого IP-адреса определено DNS-имя, то для обращения к этому web-узлу можно вместо IP-адреса использовать это имя.
Затем попробуйте открыть следующие URL с того же самого компьютера:
- http://192.168.100.20
- http://Win2003s
- http://Win2003s.test.fio.ru (только если действует служба имен DNS).
Каждый из этих URL идентифицирует Веб-узел по умолчанию на сервере Win2003s и открывает домашнюю страницу сайта с надписью о том, что сайт находится в процессе создания.
[newpage=Виртуальные каталоги]
Виртуальные каталоги
В предыдущем примере вы создали новый web-узел с именем МойУзел, содержимое которого размещено в домашнем каталоге C:\МойУзел на сервере Win2003s. Для доступа к содержимому в этом каталоге применяйте какой-либо из следующих URL:
- http://
, где - IP-адрес, связанный с сетевым адаптером сервера, сопоставленным конкретному web-узлу. - http://
, где является полностью определенным доменным именем, сопоставленным на сервере имен IP-адресу нужного web-узла.
В первом случае заданный URL сопоставляется web-содержимому, хранящемуся в домашнем каталоге сайта, что можно обозначить так:
C:\МойУзел <- -> http://192.168.100.30
Но как быть, если вы хотите найти содержимое данного web-узла, размещенное в разных местах, а не только в каталоге \МойУзел сервера? Для этого можно воспользоваться так называемыми виртуальными каталогами.
Виртуальный каталог - это способ отобразить псевдоним (часть URL) на физический каталог, содержащий дополнительные фрагменты содержимого web-узла, размещенные не в домашнем каталоге сайта.
Псевдоним безопаснее: пользователи не знают, где файлы физически расположены на сервере, и не могут использовать эту информацию для изменения этих файлов. Псевдонимы упрощают перемещение каталогов в узле. Не изменяя URL-адрес каталога, можно изменить отображение между псевдонимом и физическим местоположением каталога.
Предположим, нам нужно хранить часть содержимого web-узла в каталоге С:\SalesStuff на локальном сервере и сопоставить его виртуальному каталогу /Sales. Обратите внимание, что для виртуальных каталогов используется символ "/"(прямой слэш), а не обратный слэш "\".
Сопоставление URL каталога будет таким:
C:\SalesStuff <-> http://192.168.100.30/Sales
Обратите внимание, что с точки зрения клиента, использующего web-браузер, содержимое из /Sales отображается как подкаталог домашнего каталога web-узла МойУзел. Другими словами, это содержимое отображается как подкаталог домашнего каталога http://192.168.100.30. На самом деле это содержимое физически размещено в полностью отдельной части дерева каталогов файловой системы сервера (а вовсе не в \МойУзел\Sales, как можно было бы предположить из URL). Виртуальные каталоги, таким образом, позволяют создавать своего рода виртуальные файловые системы, определяемые URL, не несущими в себе непосредственных ссылок на фактическое место размещения содержимого на web-сайте.
Различия между локальными и сетевыми виртуальными каталогами.
Содержимое, сопоставляемое псевдонимам, представляющим виртуальные каталоги, можно помещать в локальные либо в сетевые (remote) виртуальные каталоги:
- Локальные виртуальные каталоги. Содержимое размещается на локальном сервере Windows Server 2003. Это решение - самое простое, потому что тогда все содержимое web-узла размещается на локальном сервере и резервное копирование для него выполняется за одну операцию. Содержимое, соответствующее разным подразделениям вашей фирмы, можно размещать в разных каталогах сервера (для обеспечения безопасности и целостности).
- Сетевые виртуальные каталоги. Содержимое размещается на удаленном файловом сервере сети. Это решение обычно оптимально при публикации архивов старого содержимого, уже хранящегося на сетевых файловых серверах. При этом повышается защита данных, т.к. для доступа на удаленный разделяемый ресурс необходима учетная запись пользователя (можно задать полномочия доступа, соответствующие различным учетным записям). При размещении содержимого на удаленном сервере защита данных повышается также из-за того, что разработчики содержимого имеют доступ только к файловым серверам, но не к самим web-серверам, уменьшается и нагрузка на web-сервер. Единственным недостатком будет некоторое уменьшение скорости доступа к содержимому, размещенному на удаленных файловых серверах, но это замедление доступа можно минимизировать, разместив файловые серверы в сети физически поближе к web-серверу.
Мастер создания виртуальных каталогов.
Давайте воспользуемся Мастером создания виртуальных каталогов и создадим сетевой виртуальный каталог для нового web-узла МойУзел. Прежде чем запустить мастер, вы должны выполнить две задачи:
- Создайте в домене новую пользовательскую учетную запись, чтобы иметь возможность управлять доступом к разделяемым ресурсам, сопоставленным сетевым виртуальным каталогом. Вы можете дать этой пользовательской учетной записи любое желаемое имя, но сейчас используйте имя RVD, что означает "remote virtual directory" ("сетевой виртуальный каталог"). Создайте эту учетную запись при помощи консоли Active Directory - Пользователи и компьютеры контроллера домена и дайте ей надежный пароль без ограничения срока действия.
- Создайте каталог для содержимого и поместите в него страницу Default.htm. Для этого сначала создайте на сервере Win2003s каталог для содержимого, например, C:\SalesStuff. Сделайте этот каталог разделяемым по сети, используя для разделяемого ресурса предлагаемое по умолчанию имя SalesStuff, и присвойте полномочие Read только что созданной вами учетной записи RVD. Создайте новую страницу Default.htm для этого каталога или скопируйте туда предыдущую страницу Default.htm.
Для управления доступом к сетевому виртуальному каталогу никогда не используйте учетную запись администратора, т.к. при этом может появиться брешь в организации безопасности.
Теперь создайте новый сетевой виртуальный каталог с именем /Sales внутри web-узла МойУзел, выполнив следующие действия:
- Запустите консоль Internet Information Services на сервере Win2003s.
- В дереве консоли выберите web-узел МойУзел, щелкните кнопку Действие в панели инструментов, выберите Создать, а затем - Виртуальный каталог в раскрывающемся меню. Запустится Мастер создания виртуальных каталогов. Затем щелкните кнопку Далее.
- В качестве псевдонима виртуального каталога задайте Sales. Обратите внимание, что слэш перед именем помещать не нужно. Затем щелкните кнопку Далее.
- В качестве пути к разделяемому ресурсу, сопоставляемому новому сетевому виртуальному каталогу, задайте UNC-путь \\Win2003s\SalesStuff. Вы можете также воспользоваться кнопкой Обзор, чтобы найти разделяемый ресурс в присоединенной сети. Затем щелкните кнопку Далее.
- При помощи кнопки Обзор выберите пользовательскую учетную запись RVD (учетная запись должна задаваться в форме <Домен>\<Учетная_запись> в текстовом поле Имя пользователя).
- Задайте пароль, присваиваемой данной учетной записи, щелкните кнопку Далее и подтвердите пароль.
- Не меняйте настройки полномочий доступа.
- Чтобы завершить работу мастера, щелкните кнопку Далее, а затем кнопку Готово.
Если вы теперь проверите узел МойУзел в дереве консоли Internet Information Services, то обнаружите под ним новый узел, представляющий новый виртуальный каталог.
Попробуйте посмотреть в этом каталоге страницу Default.htm при помощи URL http://192.168.100.30/sales из web-браузера на удаленном компьютере.
Виртуальные каталоги, физические каталоги и значки.
Есть пара причин, из-за которых можно запутаться с виртуальными каталогами. Во-первых, для представления виртуальных каталогов в консоли IIS применяются два разных значка. Во-вторых, физические каталоги могут вести себя подобно виртуальным каталогам, если они размещены физически как подпапки домашнего каталога или другого виртуального каталога. Посмотрите на различные подузлы под узлом МойУзел в дереве консоли и обратите внимание на следующие обозначения:
Значок | Каталог | Описание |
| /sales | Виртуальный каталог сконфигурирован как корень приложения, то есть как стартовый каталог для web-приложения (разработанного обычно при помощи ASP) |
| /support | Виртуальный каталог, сконфигурированный не как корень приложения. (О том, как конфигурировать и удалять корни приложений, вы узнаете в следующей главе.) |
| /management | Виртуальный каталог в данный момент по какой-то причине недоступен (быть может, физический каталог со связанным с ним содержимым был перемещен или уничтожен) |
| /marketing | Обычный каталог, являющийся подкаталогом физического каталога C:\МойУзел на локальном сервере Win2003s |
[newpage=Служба FTP-публикаций.]
Служба FTP-публикаций.
Рассмотрим концепции и задачи, связанные со службой FTP-публикаций. Установите службу FTP-публикаций, открыв утилиту Установка и удаление программ из Панели управления и выбрав в ней Установка компонентов Windows.
В окне выбора компонентов необходимо указать Internet Information Services и щелкнуть кнопку Состав. Далее необходимо установить флажок около элемента File Transfer Protocol (FTP) Service.
FTP-узел по умолчанию.
Как и для службы Веб-публикаций, при установке службы FTP на сервере Windows Server 2003 будет создан новый "стандартный" узел, имеющий имя FTP-узел по умолчанию (Default FTP Site). Однако в отличие от Веб-узла по умолчанию, имеющего образцы страниц и многочисленные каталоги, FTP-узел по умолчанию совершенно пуст.
Другие FTP-узлы.
Как и в случае Службы Веб-публикаций, при помощи IIS 6.0 вы можете создать столько FTP-узлов, сколько хотите, и размещать содержимое (страницы, рисунки и другие файлы) для этих узлов как в локальных каталогах, так и в сетевых разделяемых ресурсах. Каждый FTP-узел действует как отдельная сущность (виртуальный сервер), то есть, как если бы он работал на отдельном сервере Windows Server 2003, и ему были бы доступны все ресурсы сервера. Чтобы проиллюстрировать это, давайте создадим новый FTP-узел на сервере Win2003s, поместим тестовый файл в его домашний каталог, а затем скачаем тестовый файл с другого компьютера в сети.
Использование Мастера создания FTP-узла.
Как и в случае веб-узла, вы можете задать FTP-узлы различными способами - при помощи IP-адреса, имени NetBIOS или полностью определенного DNS-имени. В нашем примере пользуйтесь дополнительным IP-адресом, связанным в предыдущем разделе с сетевой платой сервера Win2003s. Вы также должны создать домашний каталог для нового FTP-узла, поэтому создайте на локальном сервере каталог C:\ftphome. Затем скопируйте туда какой-нибудь файл, например Greenstone.bmp из папки c:\windows, чтобы было, что скачать при доступе с клиента. Для создания нового FTP-узла выполните следующие действия:
Запустите консоль Internet Information Services на сервере Win2003s, а затем выберите имя сервера в дереве консоли и выделите ветвь Узлы FTP.
*Щелкните кнопку Действие в панели инструментов, укажите Создать и выберите FTP-узел. Запустится Мастер создания FTP-узла.
*Щелкните кнопку Далее. В качестве имени узла введите с клавиатуры: My FTP Site. Это имя будет отображаться в консоли Internet Information Services и будет служить обозначением нового узла для администратора.
*Щелкните кнопку Далее. Задайте ваш второй IP-адрес в качестве IP-адреса, сопоставленного данному узлу, не меняя номер порта, используемый по умолчанию.
*Новая функция добавленная в Windows Server 2003, способна ограничить доступ пользователей к вышестоящим каталогам в иерархии. Выберите вариант, который вы хотите применить к пользователям. Каталог c:\ftphome является корневым для всех FTP-пользователей создаваемого FTP-узла. Два первых варианта используют каталог c:\ftphome, третий вариант позволяет использовать каталоги пользователей, назначенные службой Active Directory.
*Щелкните кнопку Далее. Задайте путь к домашнему каталогу нового FTP-узла как C:\ftphome (удобнее всего воспользоваться кнопкой Обзор). Обратите внимание, что домашний каталог вашего узла может быть как локальным каталогом, так и сетевым разделяемым ресурсом.
*Щелкните кнопку Далее. Убедитесь, что выбраны оба полномочия доступа: Чтение и Запись. При этом вы сможете и скачивать файлы с нового FTP-узла, и закачивать их на него.
*Чтобы завершить работу мастера, щелкните кнопку Далее, а затем Готово. Новый узел My FTP Site появится в качестве узла в окне консоли Internet Information Services под обозначением сервера Win2003s.
Заметьте, что файл Greenstone.bmp, который вы скопировали в домашний каталог, не появится в правой панели окна консоли. Этим FTP-узлы отличаются от web-узлов, у которых файлы в домашнем каталоге и в виртуальных каталогах отображаются в окне консоли.
Проверка нового FTP-узла.
Чтобы проверить новый FТР-узел, перейдите на другой компьютер в сети, запустите Internet Explorer и откройте URL ftp://192.168.100.30, определяющий новый FTP-узел при помощи сопоставляемого ему IP-адреса. В окне браузера вы увидите файл Greenstone.bmp , IP-адрес, с которым вы соединились, и имя пользователя (Anonymous).
После соединения с FTP-узлом вы сможете выполнять различные действия при помощи Internet Explorer:
- Чтобы скачать файл на ваш компьютер, щелкните правой кнопкой мыши значок файла, выберите Скопировать в папку и укажите целевую папку на своем компьютере (или в любом месте, доступном через сеть).
- Если вы хотите поместить файл на FTP-узел (закачать его на узел), то перетащите нужный файл из Мой Компьютер на вашем локальном компьютере в окно браузера.
- Если нужно посмотреть тип, местоположение, размер и дату изменения оригинала копируемого файла на FTP-узле, то щелкните правой кнопкой мыши значок файла и выберите Свойства.
- Если доступ контролируется по именам пользователей, то при помощи команды Войти как в меню Файл браузера можно войти на FTP-узел в качестве другого пользователя.
[newpage=Виртуальные каталоги.]
Виртуальные каталоги.
Для FTP-узлов можно создавать виртуальные каталоги, точно так же, как и для web-узлов.
Использование Мастера создания виртуальных каталогов.
Не имеет значения, создаете ли вы виртуальный каталог в web-узле или FTP-узле - для этого применяется один и тот же мастер. Поскольку вы недавно уже создали сетевой виртуальный каталог для web-узла Мой Узел, то для FTP-узла My FTP Site для разнообразия давайте создадим локальный виртуальный каталог (поскольку вы уже знакомы с мастером, будет дано более краткое описание действий):
- На сервере Win2003s создайте каталог C:\uploads. Этот каталог будет использоваться как "корзина" FTP. В этот каталог пользователи могут помешать свои файлы, но они не смогут увидеть его содержимого и не смогут скачивать файлы из него.
- Щелкните правой кнопкой мыши узел My FTP Site в дереве консоли Internet Information Services, в контекстном меню укажите Создать и выберите Виртуальный каталог.
- Щелкните кнопку Далее. В качестве псевдонима виртуального каталога введите с клавиатуры drop.
- Щелкните кнопку Далее. В качестве местоположения каталога с содержимым, сопоставляемого создаваемому виртуальному каталогу, задайте C:\uploads.
- Щелкните кнопку Далее. Измените полномочия доступа для данного каталога: разрешите запись и запретите чтение.
- Чтобы завершить работу мастера, щелкните кнопку Далее, а затем Готово.
Теперь новый виртуальный каталог /drop будет виден в дереве консоли как узел под узлом My FTP Site.
Обратите внимание, что значок для виртуальных каталогов FTP отличается от значков, применяемых для виртуальных каталогов web-узлов.
Проверка нового виртуального каталога.
Попробуйте осуществить доступ к новому виртуальному каталогу с удаленного компьютера, открыв виртуальный каталог /drop на сайте My FTP Site при помощи Internet Explorer, открыв URL http://192.168.100.30/drop. В диалоговом окне должно появиться такое сообщение: При открытии данной папки на сервере FTP произошла ошибка. Проверьте, есть ли у вас полномочия доступа к ней. Чтобы закрыть это сообщение об ошибке, щелкните кнопку ОК.
Теперь попробуйте перетянуть файл из Мой Компьютер в окно браузера. На сервере Win2003s убедитесь, что перетянутый файл действительно попал в каталог \uploads сервера. Затем попробуйте обновить окно браузера. Снова должно появиться такое же сообщение об ошибке. Щелкните кнопу ОК, чтобы закрыть его. Окно браузера, которое по-прежнему открыто на виртуальном каталоге /drop, должно оставаться пустым. Это - проверка того, что анонимные пользователи могут закачивать свои файлы в виртуальный каталог, но не могут скачивать их оттуда.
[newpage=Понятие об организации безопасности в IIS.]
Настройка разрешений.
Для общего понимания системы безопасности IIS нужно понимать, что такое полномочия, как их конфигурировать и применять. В данном разделе рассмотрены разные уровни безопасности для управления доступом к содержимому web-узлов и FTP-сайтов в Windows Server 2003, а также изучается порядок их применения. Вы также научитесь быстро и легко защищать свои Web- и FTP-узлы при помощи Мастера разрешений IIS 6.0.
Понятие об организации безопасности в IIS.
У администраторов есть четыре способа для контроля доступа к содержимому web-узлов и FTP-узлов, хостинг которых осуществляется при помощи IIS. Эти механизмы применяются по порядку всякий раз при попытках пользователей получить доступ к имеющемуся на сервере Web- и FTP-ресурсу (файлу HTTP или другому файлу). Эта четырехступенчатая модель контроля доступа описана ниже, причем пользователь получает доступ к запрошенным ресурсам только после выполнения всех правил:
- Разрешается ли доступ к ресурсу для IP-адреса или доменного имени, используемого пользователем? Если нет, то попытки доступа встречают отказ, и остальные правила не применяются. Ограничения на IP-адрес и доменное имя можно настраивать при помощи вкладки Безопасность каталога окна свойств web-узла, FTP-узла или виртуального или физического каталога, или (для файлов) при помощи вкладки Безопасность окна свойств файла. Заметьте, что окно свойств, о котором идет речь здесь и в следующих двух пунктах, применяется при доступе к объектам из окна консоли Internet Information Services.
- Аутентифицирован ли пользователь? Если нет, то в доступе будет отказано, и остальные правила применяться не будут. Настройки безопасности для аутентификации можно конфигурировать при помощи вкладки Безопасность каталога окна свойств web-узла, виртуального или физического каталога, при помощи вкладки Безопасность окна свойств файла, при помощи вкладки Безопасные учетные записи окна свойств FTP-узла. Обратите внимание, что вы не сможете настроить этот уровень безопасности для виртуальных каталогов внутри FTP-узлов (его можно настраивать только для виртуальных каталогов внутри web-узлов).
- Настроены ли разрешения IIS для доступа и для приложений так, чтобы пользователи могли иметь доступ к ресурсам? Если нет, то в доступе будет отказано, и остальные правила применяться не будут. Разрешения IIS для доступа и для приложений можно настраивать: при помощи вкладки Домашний каталог окна свойств web-узла или FTP-узла;
- при помощи вкладки Виртуальный каталог окна свойств виртуального каталога;
- при помощи вкладки Каталог окна свойств физического каталога;
- при помощи вкладки Файл окна свойств файла. - Позволяют ли разрешения NTFS, относящиеся к ресурсу, доступ пользователей к ресурсу? Если нет, то в доступе будет отказано. Разрешения NTFS настраиваются как обычно, при помощи вкладки Безопасность окна свойств ресурса в Мой Компьютер.
В этой четырехступенчатой модели контроля доступа шаги 2 и 4 зависимы от пользователей, а шаги 1 и 3 независимы. Другими словами, ограничения по IP-адресу и доменному имени и разрешения IIS для доступа и для приложений являются глобальными настройками, применяемыми единообразно для всех пользователей.
Остановка, запуск и приостановка службы IIS.
Не забывайте, что отдельные Web- и FTP-узлы, созданные при помощи IIS, на самом деле являются виртуальными серверами. Это значит, что они действуют и ведут себя, как если бы они были отдельными серверами Windows Server 2003 и имели бы доступ ко всем ресурсам сервера. Благодаря этому web-узлы многих разных фирм могут размещаться на одном и том же компьютере, работающем под управлением Windows Server 2003. Но IIS на этих компьютерах приходится иногда останавливать, запускать и приостанавливать. Например, при изменении файлов на web-узле работа этого сайта обычно приостанавливается, чтобы избежать новых соединений пользователей с сайтом, а уже подключенных пользователей отсоединить по истечении некоторого позволенного им времени. Когда вы тестируете web-приложение, разработанное при помощи ASP, вам, вероятно, понадобится остановить, а затем снова запустить узел, если в процессе тестирования приложение "зависло" или перестало отвечать на запросы. Идея состоит в том, что когда на вашем сервере работает сразу много узлов, было бы хорошо не останавливать их все из-за проблем на каком-то одном из сайтов.
В Windows Server 2003 предусмотрена возможность, позволяющая применять Диспетчер служб IIS для остановки отдельных Web- и FTP-узлов без необходимости остановки служб WWW и FTP публикаций для всех узлов на сервере. Для приостановки (паузы), остановки и запуска узла просто выберите в дереве консоли нужный узел и выполните одно из следующих действий:
- щелкните соответствующую кнопку управления в панели инструментов;
- щелкните правой кнопкой мыши узел и сделайте нужный выбор в контекстном меню;
- щелкните кнопку Действие и сделайте нужный выбор в раскрывающемся меню.
Кроме того, вы можете запускать, останавливать и запускать снова сразу все Web- и FTP-узлы на вашем сервере, выбрав в дереве консоли Диспетчер служб IIS узел, представляющий сервер: щелкните кнопку Действие в панели инструментов, выберите Все задачи -> Перезапуск IIS в раскрывающемся меню. Вы можете подумать, что сразу все web-узлы, работающие на вашем компьютере, можно останавливать, остановив Службу Веб-публикаций при помощи узла Администрирование -> Службы в оснастке Управление компьютером. Так делать не надо. Служба IIS реализована не так, как другие службы Windows Server 2003, и не должна останавливаться и запускаться этим способом. И, наконец, если вы хотите перезапустить IIS из командной строки, то можете набрать с клавиатуры iisreset <Имя_компьютера>. Эту команду можно использовать и в пакетных файлах.
Использование серверных расширений FrontPage.
IIS 6.0 использует набор серверных динамических библиотек DLL, называемых "расширения FrontPage" (FrontPage Extensions), действующих со стороны сервера и служащих для поддержки дополнительных средств FrontPage Extensions, таких как возможность создавать навигационные панели, средства для поиска, для web-обсужений и т. д. Давайте теперь рассмотрим, как устанавливать серверные расширения FrontPage. В сетях, где разработчики пользуются данным популярным инструментальным средством для создания web - содержимого, эта задача относится к основным задачам администрирования web - сервера IIS. Вопросы создания содержимого мы не будем рассматривать, а покажем, как можно организовать работу сервера в сочетании с FrontPage Extensions.
Разрешение использования расширений FrontPage.
Хотя программное обеспечение, необходимое для поддержки FrontPage Extensions, уже установлено, вам все же понадобится разрешить использование расширений FrontPage на web-узлах, которыми будут пользоваться ваши разработчики содержимого FrontPage. Чтобы проиллюстрировать это, давайте возьмем web-узел МойУзел и выполним следующие действия.
- Нажмите правой кнопкой мыши на узел МойУзел в дереве консоли Диспетчер служб IIS, укажите на Все задачи и выберите Configure Server Extensions 2002 (Конфигурировать серверные расширения). В результате запустится веб-страница Install.
- Щелкните кнопку Submit, чтобы активизировать FrontPage Server Extensions 2002. Появится окно администрирования сервера Server Administration.
В нижней части окна показаны виртуальные серверы, которыми вы можете управлять. В верхней части окна имеются три функции, которые позволяют вам изменять права, задавать настройки и пароли пользователей:
- Set List Of Available Rights - позволяет задавать список доступных прав
- Set Install Defaults - позволяет задать настройки по умолчанию для установки
- Reset User Password - позволяет обновить пароль пользователя
- Выберите функцию Set List Of Available Rights, чтобы перейти к странице Rights (Права). Вы можете задействовать или отменить необходимые права, установив или сняв соответствующие флажки.
Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице. - Выберите функцию Set Install Defaults, чтобы перейти к странице настроек по умолчанию. В разделе Mail Settings (Настройка почты) вы можете указать почтовый сервер, адрес отправителя и адрес для ответа, чтобы использовать их в средствах для электронной почты FrontPage Server Extensions 2002. В разделе Security Settings (Настройка безопасности) вы можете задавать авторские настройки, установку защищенных соединений SSL и разрешать авторам загрузку на сервер исполняемых файлов.
Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице. - Выберите функцию Reset User Password, чтобы перейти к странице обновления пароля. Указав имя пользователя вы можете изменить действующий пароль данного пользователя на новый.
Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице. - После установки и настройки сервера FrontPage Extensions закройте окно обозревателя.
С установкой сервера FrontPage Server Extensions 2002 на вашем web-узле появится множество виртуальных и физических подкаталогов вместе с сопоставленными файлами серверных расширений. Не удаляйте эти папки и файлы, иначе это приведет к неправильной работе серверных расширений.
[newpage=Администрирование Internet Information Services]
Администрирование Internet Information Services.
Настройка службы IIS и администрирование ее серверов, каталогов и файлов производится на четырех различных уровнях. Эти четыре уровня администрирования применяются к службам WWW, FTP, SMTP и NNTP:
- Администрирование на уровне сервера -это конфигурирование настроек, применяемых глобально ко всем виртуальным серверам на сервере Windows Server 2003 с установленными службами IIS. Настойки уровня сервера наследуются всеми виртуальными серверами и их виртуальными и физическими каталогами и файлами.
- Администрирование на уровне сайта - это конфигурирование настроек, применяемых к конкретному виртуальному серверу на компьютере с IIS, то есть настройки применяются к конкретным web-, FTP-, SMTP- и NNTP-сайтам, имеющимся на компьютере. В то время как настройки уровня сервера применяются глобально к виртуальным серверам, поддерживающим web- и FTP-сайты на компьютере, каждый из этих виртуальных серверов может иметь и свои настройки, конфигурируемые отдельно на уровне сайта.
- Администрирование на уровне каталогов - это конфигурирование настроек, применяемых к какому-либо виртуальному (или физическому) каталогу, расположенному внутри виртуального сервера. В то время как настройки уровня сайта применяются глобально ко всем виртуальным (физическим) каталогам, размещенным внутри некоторого web-, FTP-, SMTP- или NNTP-сайта, каждый каталог может иметь и свои настройки, конфигурируемые отдельно на уровне каталога.
- Администрирование на уровне файла - это конфигурирование настроек, применяемых к какому-либо файлу, находящемуся в виртуальном или физическом каталоге. В то время как настройки уровня каталога применяются глобально ко всем файлам, расположенным в некотором каталоге, каждый файл может иметь и свои настройки, конфигурируемые отдельно на уровне файла. Эти настройки уровня файла переопределяют настройки, сконфигурированные на уровне каталога, и являются подмножеством настроек уровня каталога.
Примитивные задачи настройки можно выполнять при помощи мастеров, рассмотренных в предыдущей главе, таких как Мастер создания веб-узла, Мастер создания виртуального каталога и других. Для тонкой настройки различных служб IIS, нужно использовать различные окна свойств объектов IIS. К числу этих объектов относятся физические и виртуальные серверы, физические и виртуальные каталоги, а также файлы. Каждый из этих типов объектов представлен узлом в дереве Консоли Управления MMC, являющейся (при помощи установленной в ней оснастки Internet Information Services) основным инструментом для управления этими объектами и их конфигурирования.
Наследование настроек.
Настройки объектов (физического или виртуального сервера, физического или виртуального каталога или для файла) автоматически наследуются объектами низших уровней. Например, если вы настраиваете IIS на уровне сервера, эти установки будут наследоваться (если это применимо) всеми виртуальными серверами, виртуальными каталогами, физическими каталогами и файлами, связанными с IIS. Однако вы можете на любом из уровней переопределить настройки для какого-либо виртуального сервера (web-или FTP-сайта) и всех его каталогов и файлов, для какого-либо виртуального или физического каталога и всех содержащихся в ней сайтов или для какого-либо файла. Обратите внимание, что если вы вручную измените настройки на каком-либо уровне, последующие изменения настроек на более высоком уровне не приведут к автоматическому затиранию сделанных вами изменений. Напротив, вы увидите вопрос о том, желаете ли вы поменять настройки, сделанные вручную.
[newpage=Администрирование на уровне сервера.]
Администрирование на уровне сервера.
Администрирование на уровне сервера позволяет выполнять следующие задачи:
- Подключаться к компьютерам, на которых работает IIS, для администрирования.
- Выполнять резервное копирование и восстановление конфигурации компьютера.
- Включать глобальное ограничение пропускной способности (bandwidth throttling) для всех web- и FTP-узлов компьютера.
- Конфигурировать различные основные свойства (master properties), применяемые глобально ко всем web- и FTP-узлам, созданным на данном компьютере.
- Производить сжатие файлов при помощи HTTP-сжатия.
- Конфигурировать сопоставление MIME (Multipurpose Internet Mail Extensions map).
- Настраивать серверные расширения (если у вас установлены серверные расширения Microsoft FrontPage).
Начнем с изучения общих административных задач и глобальных настроек, которые можно конфигурировать для службы IIS, работающей на сервере Windows Server 2003. Некоторые общие административные задачи уровня сервера вы можете выполнять при помощи консоли IIS.
Подключение к серверу IIS.
Вы можете администрировать много серверов Windows Server 2003, на которых работает IIS, из одного окна консоли IIS. Чтобы администрировать сервер, нужно сначала соединиться с ним. Для этого выполните следующие действия:
В дереве консоли IIS выберите корневой узел (он называется Internet Information Services).
Щелкните кнопку Действие в панели инструментов и выберите Подключение в раскрывающемся меню. (Запомните, что в окне консоли раскрывающееся меню кнопки Действие содержит те же команды, что и контекстное меню, появляющееся при щелчке правой кнопкой мыши на любом выделенном узле.)
В диалоговом окне Подключение к компьютеру введите имя компьютера, с которым вы хотите соединиться, и щелкните кнопку ОК. Имя компьютера можно задать любым из следующих способов:
- при помощи имени NetBIOS (например, Win2003s);
- при помощи IP-адреса (например, 192.168.100.20);
- при помощи полностью определенного DNS-имени (например, Win2003s.test.fio.ru).
Чтобы отсоединиться от сервера, выберите в дереве консоли узел, представляющий этот сервер, щелкните кнопку Действие и выберите Отключить.
Создание резервных копий конфигураций.
Можно сохранять настройки конфигураций компьютеров с IIS и всех их web- и FTP-сайтов в файле резервной копии конфигурации. Каждый файл с резервной копией помечен (stamped) номером версии и датой/временем создания. Вы можете создавать сколько угодно таких резервных файлов и производить восстановление из них, если желаете вернуть старое состояние настроек. Эта возможность очень полезна, т.к. вы можете изготовить "снимок" вашей конфигурации IIS перед тем, как начнете изменять на своем компьютере полномочия и другие настройки виртуальных серверов, каталогов и файлов.
Файлы резервного копирования конфигураций вашего компьютера хранят настройки только web- и FTP-сайтов, их виртуальных и физических каталогов и их файлов. Они не сохраняют сами файлы с содержимым, то есть не сохраняют страницы HTML, картинки и скрипты, содержащиеся в web-узлах.
Резервное копирование конфигурации сервера.
Для резервного копирования конфигурации компьютера с IIS выполните следующие действия:
- В дереве консоли выберите узел, представляющий ваш сервер.
- Щелкните кнопку Действие и выберите Архивирование и восстановление конфигурации в раскрывающемся меню.
- Появится диалоговое окно Архивирование и восстановление конфигурации, в котором будут показаны созданные вами или автоматически различные файлы резервного копирования, их номера версий и дата/время создания. Номера версий последовательно растут.
Чтобы создать файл с новой резервной копией, щелкните кнопку Создать архив и задайте имя файла (достаточно осмысленное).
Файл с резервной копией будет создан в каталоге System32\inetsrv\MetaBack. Информация в нем хранится в двоичном формате и специфична для компьютера, на котором был создан файл. Если вы переустановите Windows Server 2003 на этом компьютере, то не сможете воспользоваться старыми файлами с резервными копиями, и они не помогут вам воссоздать конфигурацию IIS.
Восстановление конфигурации сервера.
Для восстановления предыдущей версии конфигурации вашего сервера откройте диалоговое окно Архивирование и восстановление конфигурации, выберите файл с резервной копией, из которого вы хотите произвести восстановление, и щелкните кнопку Восстановить. Обратите внимание, что для осуществления восстановления, IIS должна будет остановить свои службы, поэтому на восстановление потребуется больше времени, чем на резервное копирование.
Вы можете экспортировать содержимое правой панели окна консоли, выбрав нужный узел в левой панели, щелкнув кнопку Действие и выбрав Экспортировать список. Сохранять эту информацию можно в текстовом файле с кодировкой ACSII или Unicode с разделителями - табуляциями или запятыми. Благодаря этому появляется возможность документирования домашних каталогов для учета разнообразных виртуальных каталогов, создаваемых вами внутри web-узла.
Настройка свойств сервера.
При администрировании уровня сервера больше всего времени отнимает конфигурирование настроек, глобальных для всех виртуальных серверов, созданных на вашем компьютере. Для доступа к этим настройкам выберите нужный узел сервера в дереве консоли, щелкните кнопку Действие и выберите Свойства в раскрывающемся меню. Откроется окно свойств для данного сервера (в нашем примере Win2003s).
Имя сервера, отображаемое для этого сервера в дереве консоли, может быть либо именем NetBIOS, либо IP-адресом, либо DNS-именем сервера. В этом окне вы можете конфигурировать основные свойства, разрешить изменять файл конфигурации метабазы, сконфигурировать типы MIME и сконфигурировать формат журнала веб-узла.
Метабаза содержит конфигурацию сервера IIS, записанную в текстовый файл формата XML. Она расположена в каталоге system32\inetsrv и состоит из двух файлов Metabase.xml и MBschema.xml.
Сопоставления MIME.
В окне свойств сервера вы можете также сконфигурировать сопоставление MIME для этого сервера. Это сопоставление применяется в заголовках HTTP, направляемых вашим сервером IIS браузерам клиентов и объясняет клиентам, какие зарегистрированные типы файлов имеются и каковы сопоставленные им типы содержимого MIME. Например, расширение файлов .НТМ будет сопоставляться типу содержимого text/html.
Вы можете создавать, изменять и удалять эти сопоставления. Вы также можете конфигурировать сопоставления MIME на уровне сайта, уровне каталога и уровне файла, но обычно их нужно конфигурировать на уровне сервера, поскольку изменения на других уровнях будут переопределены, при изменении сопоставления типов MIME на уровне сервера.
Для того чтобы просмотреть/настроить типы MIME щелкните кнопку Типы MIME в одноименной области окна свойств сервера.
[newpage=Администрирование на уровне узла, каталога, файла ]
Администрирование на уровне узла.
Администрирование IIS на уровне узла решает существенно различные задачи в зависимости от того, с какой из четырех служб IIS вы работаете: WWW, FTP, SMTP или NNTP. Поэтому мы пока отложим подробное обсуждение задач администрирования разных видов сайтов (виртуальных серверов), а пока отметим несколько моментов, общих для всех задач администрирования на уровне сайта:
Администрирование на уровне каталога.
Настройки уровня каталога наследуются всеми файлами внутри каталога. Они также переопределяют настройки, сконфигурированные на уровнях сайта и сервера. Настройки уровня каталога применяются и к виртуальным, и к физическим каталогам внутри какого-либо web- или FTP-сайта.
Свойства уровня каталога - это просто подмножество свойств уровня сайта. На самом деле основные свойства службы WWW некоторого компьютера IIS конфигурируются при помощи 9 вкладок окна Основные свойства: Веб-узел, Быстродействие, Фильтры ISAPI, Домашний каталог, Документы, Безопасность каталога, Заголовки HTTP, Специальные ошибки и Server Extensions 2002.
И аналогично окно свойств какой-либо виртуального/физического каталога внутри web-узла содержит подмножество вкладок из окна свойств web-узла: Каталог или Виртуальный каталог (вместо Домашнего каталога), Документы, Безопасность каталога, Заголовки HTTP и Специальные ошибки.
Список настроек, которые вы можете конфигурировать на уровне каталога:
- Местоположение содержимого каталога (локальный каталог, сетевой разделяемый ресурс или перенаправление к URL).
- Полномочия доступа (доступ к исходным текстам скриптов, чтение, запись, просмотр каталогов, регистрация посещений и индексирование ресурса).
- Настройки для приложений (имя приложения, начальная точка, полномочия для исполнения и др.).
- Стандартные документы и нижние колонтитулы документов. - Возможность анонимного доступа и контроль аутентификации. - Ограничения по IP-адресу и имени домена.
- Безопасное соединение при помощи SSL.
- Настройки устаревания содержимого.
- Нестандартные заголовки HTTP.
- Рейтинг содержимого.
- Сопоставления MIME.
- Нестандартные ошибки HTTP.
Помните, что настройки уровня каталога для вновь создаваемых web-узлов наследуются из ранее заданных настроек уровня сервера и уровня сайта. При изменении настроек на уровне каталога подобные им настройки, заданные на более высоких уровнях, будут переопределены.
Администрирование на уровне файла.
Администрирование на уровне файла - это последний из четырех уровней администрирования IIS. На этом уровне вы конфигурируете свойства отдельных файлов внутри домашнего каталога web- или FTP-узла или внутри какого-либо другого каталога. Например, в то время как окно свойств службы WWW уровня каталога имеет 5 вкладок, окно свойств отдельной web-страницы или другого файла имеет только 4 вкладки: Файл, Безопасность файла, Заголовки HTTP и Специальные ошибки.
Настройки на уровне файла в основном такие же, как и на уровне каталога, за исключением того, что для отдельных файлов нельзя задавать стандартные документы, а для каталогов - можно. Также, можно задавать только либо местоположение файла, либо перенаправление к URL.
[newpage=Работа с web-узлами.]
Работа с web-узлами.
Рассмотрим более подробно различные административные задачи уровня узла, которые можно выполнять в IIS. Мы уже кратко рассматривали диалоговое окно основных свойств для службы WWW, и вы уже знаете, что в нем имеется десять вкладок, содержащих разнообразные настройки, которые можно конфигурировать. Девять из этих десяти вкладок применяются также и на уровне узла (для администрирования отдельных web-узлов); в данном разделе мы подробно изучим эти разнообразные вкладки и их настройки. В качестве примера в данной главе мы будем конфигурировать Веб-узел по умолчанию.
Вкладка веб-узел.
Вкладка Веб-узел окна свойств узла позволяет задать идентификацию web-узла, сконфигурировать ограничение на максимальное количество одновременных соединений TCP, осуществляющих сеансы HTTP, включить или отключить сохранение соединений HTTP и включать на вашем сервере регистрацию IIS.
Идентификация веб-узла.
Каждый web-узел, размещенный на компьютере IIS, должен иметь уникальную идентификацию, чтобы клиенты-браузеры могли соединяться с ним и скачивать с него содержимое. Web-узлы можно определять при помощи трех разных параметров: IP-адреса, номера порта TCP и имени заголовка хоста.
Идентификация web-узла задается в странице окна свойств этого web-узла с вкладкой Веб-узел. Чтобы web-узлы на одном компьютере имели уникальные идентификации, они должны отличаться друг от друга хотя бы одним из трех параметров идентификации. Рассмотрим разные способы задания идентификации web-узла и обсудим, как можно иметь несколько разных web-узлов на одном сервере.
Настройка нескольких IP-адресов для одной сетевой платы сервера
Вы можете сконфигурировать несколько IP-адресов для одной сетевой платы сервера или установить несколько сетевых плат, чтобы у каждой платы был свой IP-адрес. Выберите разные IP-адреса для каждого из web-узлов. Не меняйте у этих сайтов настройку порта TCP (80 - это стандартная для протокола HTTP настройка порта TCP) и не конфигурируйте имена заголовка хоста. Достоинством этого способа является то, что клиентам удобно соединяться с каждым из сайтов при помощи IP-адреса сайта в запрашиваемом ими URL (или при помощи полностью квалифицированного DNS-имени, если на сервере DNS было сконфигурировано уникальное имя хоста для каждого из IP-адресов компьютера IIS).
К недостаткам этого способа относится то, что если на компьютере содержать много web-узлов, то им придется назначать много IP-адресов. Это не проблема для приватных интрасетей, использующих один из блоков приватных IP-адресов, таких как 10.y.z.w, 172.16-31.z.z, 192.168.z.z. Но на серверах, непосредственно подключенных к Интернету, вам придется получать нужное количество IP-адресов у вашего провайдера. Тем не менее, данный способ задания идентификации web-узла является наиболее употребительным.
Настройка только одного IP-адреса для сетевой платы
Задайте разные порты TCP (с номерами, большими 1023) для каждого из web-узлов, с которыми надо соединяться. Главный недостаток этого способа - то, что клиенты должны знать номера портов web-узлов, с которыми им надо соединяться. Например, если DNS-имя сервера - Win2003s.test.fio.ru, а web-узлу на этом сервере присвоен номер порта 8023, то клиенту для доступа к этому сайту придется использовать URL http://Win2003s.test.fio.ru:8023.
Настройка одного IP-адреса с сохранением стандартного порта TCP
При этом способе конфигурируется только один IP-адрес для сетевой платы сервера, а порт TCP остается со стандартным значением (80) для всех сайтов. Сконфигурируйте уникальное имя заголовка хоста для каждого сайта при помощи кнопки Дополнительно. Имена заголовков хоста возможны в протоколе HTTP 1.1. Имя заголовка хоста, сопоставляемое каждому из узлов, является типичным полностью квалифицированным DNS-именем, присвоенным узлу в базе данных доступного сервера DNS (или в локальном файле Hosts на клиентах).
Когда вы открываете окно свойств для Веб-узел по умолчанию и страницу с вкладкой Веб-сайт, то IP-адрес задан как Все неназначенные. Это означает, что web-узел будет отвечать на любой IP-адpec, не назначенный специально другим web-узлам изданном компьютере. Именно поэтому данный сайт является используемым по умолчанию и единственным web-узлом на компьютере IIS, для которого возможен такой способ задания IP-адреса.
Когда клиент запрашивает URL вроде http://vio.fio.ru , клиент передает имя заголовка хоста vio.fio.ru в заголовки запроса HTTP, передаваемые серверу. Сервер производит синтаксический разбор имени заголовка хоста, идентифицирует web-узел, с которым должен соединиться клиент, и возвращает файлы, соответствующие запросу. Недостатком этого способа является то, что клиент тоже должен поддерживать имена заголовков хоста, то есть должен уметь передавать DNS сайта в своих заголовках запроса HTTP. Имена заголовков хостов поддерживаются браузерами Microsoft Internet Explorer версий, начиная от 3 и выше. Другим недостатком использования имен заголовков хостов является то, что данный способ не работает в сочетании с соединениями SSL, потому что в этом случае сеансы HTTP подвергаются шифрованию.
Если вы работаете со старыми браузерами, не поддерживающими имена заголовков хоста, то можете реализовать механизм, основанный на cookie-файлах, позволяющий браузерам различать web-узлы, имеющие одинаковые IP-адреса и номера порта TCP. Дополнительную информацию об этом можно найти в онлайновой документации.
При изменении номера порта для web-узла не требуется перезагрузка сервера, чтобы изменения вступили в силу.
Подключения.
Страница с вкладкой Веб-узел позволяет конфигурировать для сеансов HTTP ограничение на максимальное количество действующих одновременно соединений TCP с сервером. Вы также можете включить или отключить настройку сохранения соединений (HTTP Keep-Alives) и задать значения предельного срока сохранения для соединений (connection timeout value). Настройка HTTP Keep-Alives является средством HTTP 1.1, при помощи которого клиент может сохранять открытым соединение TCP с сервером и после скачивания файла, если с этого сервера требуется скачать еще какие-либо другие файлы. Если же клиенты начнут страдать из-за замедления работы сервера или станут часто получать сообщение об ошибке "загруженности"
HTTP 500: Busy errors
то попробуйте уменьшить значение в поле Время ожидания подключения, чтобы неиспользуемые соединения TCP завершались быстрее.
Время ожидания, задаваемое на вкладке Веб-узел, применяется к активным сеансам TCP. В TCP имеются свои собственные настройки для завершения наполовину открытых соединений TCP, вроде тех, что создаются во время DoS-атак (Denial of Service, отказ в обслуживании), когда злоумышленники пытаются "завалить" web-сервер, переполнив его сетевое соединение пакетами TCP SYN.
Ведение журнала.
Вкладка Веб-узел позволяет включить (или отключить) средства ведения журнала для вашего сервера. По умолчанию эта настройка включена, с ее помощью администраторы могут отслеживать доступ к сайту браузеров клиентов. Регистрируемая информация может сохраняться в различных форматах:
- Общий формат файла журнала NCSA. Создает файл в кодировке ASCII с разделителями-пробелами с предопределенным набором полей.
- Ведение журнала ODBC. Фиксированный формат ведения журнала в базе данных.
- Расширенный формат файла журнала W3C. Это настраиваемый формат журнала используется по умолчанию; создается ASCII-файл с разделителями-пробелами, причем набор полей определяется администратором.
- Формат файла журнала Microsoft IIS. Создается файл фиксированного формата в кодировке ASCII.
Новые регистрационные файлы IIS могут создаваться ежечасно, ежедневно, раз в неделю или раз в месяц, либо когда существующий регистрационный файл дорастает до некоторого заданного размера. По умолчанию файлы журнала хранятся в папке \%systemroot%\System32\LogFiles, но вы можете изменить эту настройку при помощи кнопки Обзор.
Включение ведения журнала IIS в странице с вкладкой Веб-узел вовсе не означает, что будут регистрироваться посещения всех частей вашего сайта. Вы можете использовать флажок Запись в журнал на вкладке Домашний каталог диалогового окна web-узла, чтобы включить или отключить регистрацию доступа к содержимому, размещенному в домашнем каталоге узла. Посещения других каталогов и даже отдельных файлов вы можете отслеживать с помощью других вкладок.
Вкладка Дополнительно позволяет настроить расширенные параметры журнала.
Вкладка Быстродействие.
Настройка производительности отдельных web-узлов выполняется на странице с вкладкой Быстродействие окна свойств сайта.
В этой странице вы можете конфигурировать следующие настройки:
- Ограничение пропускной способности. Вы можете включить и задать предел пропускной способности данного сайта в разделе Регулировка полосы пропускания. Это позволит установить приоритет доступа к определенным сайтам, расположенным на одном сервере.
- Количество соединений с веб-сайтами. Вы можете ограничить общее количество одновременных подключений к веб-сайту. Для этого установите переключатель в положение не более и задайте значение, соответствующее количеству соединений.
Вкладка Фильтры ISAPI.
Фильтры ISAPI (Internet Server Application Programming Interface) являются дополнительными динамическими DLL-библиотеками, выполняющими специфические действия при обработке клиентских запросов HTTP службой IIS. При этой вкладки вы можете задать набор фильтров ISAPI и последовательность их обработки службой IIS. Фильтры, установленные на уровне web-узла, применяются только для выбранного web-узла. Фильтры, установленные на уровне сервера, применяются ко всем web-узлам сервера.
Фильтры ISAPI осуществляют свои действия до того, как сервер фактически ответит на сам запрос HTTP. Вы можете, например, разработать фильтры ISAPI, выполняющие нестандартную аутентификацию, шифрование данных, запись информации о трафике в нестандартный регистрационный файл или для выполнения других задач.
Вкладка Домашний каталог.
На странице с вкладкой Домашний каталог можно указать местоположение содержимого, сопоставляемого домашнего каталога web-узла, чтобы задать полномочия доступа и другие настройки для каталога и web-приложений, реализованных в данном каталоге.
Домашний каталог.
Домашний каталог сайта задает местоположение содержимого, доступ к которому происходит при помощи URL вида
http://Имя_сайта/Имя_файла
где Имя_сайта является именем NetBIOS, IP-адресом или DNS-именем сайта, а Имя_файла - именем какой-либо страницы HTML, или файла с рисунком, или скрипта, или какого-нибудь другого файла из домашнего каталога сайта.
Домашний каталог сайта можно задать с помощью переключателя Источник содержимого при подключении к ресурсу одним из следующих способов:
- Как имя каталога, находящегося на локальном диске компьютера (положение Каталог данного компьютера).
- Как UNC-путь к сетевому разделяемому ресурсу на файловом сервере (положение Общая папка другого компьютера).
- Как перенаправление к URL, предлагающее клиенту, желающему получить доступ к содержимому, сопоставленному домашнему каталогу, соединиться с другим web-сервером, не обязательно сервером IIS (положение Постоянный адрес URL). Перенаправление может быть как временным, так и постоянным.
Перенаправление доступа.
Возможность перенаправлять доступ для домашнего каталога (или для любого виртуального каталога) к URL полезна, когда web-узел находится в процессе создания или когда он выключен из-за технического обслуживания или из-за обновления. IIS позволяет перенаправлять запрос к любому из файлов в домашнем каталоге к одному и тому же URL (например, к странице с объявлением "Идет техническое обслуживание. Сайт будет доступен через 15 минут") или к такому же файлу в сетевом каталоге (так можно перенаправлять клиентов к временному сайту-зеркалу). Можно также перенаправлять доступ к подкаталогу текущего домашнего каталога, если страница с объявлением о техобслуживании или зеркальное содержимое находятся на том же самом сервере.
Постоянное перенаправление задавайте, только когда вы действительно планируете переместить содержимое сайта на другой сервер, т.к. некоторые браузеры, получив сообщение "Постоянное перенаправление"
HTTP 301 Permanent Redirect
могут действительно поменять ссылки в "Избранном" или в "Закладках". В результате, когда вы выключите перенаправление, клиенты все равно будут обращаться не к первоначальному, а к альтернативному сайту.
Разрешения.
Если вы зададите местоположение домашнего каталога как локального каталога или как сетевого разделяемого ресурса, то на странице с вкладкой Домашний каталог можно задать полномочия доступа и другие настройки для этого каталога.
Если в качестве местоположения домашней страницы вы зададите перенаправление URL, то эти настройки будут недоступны. Возможны следующие настройки:
- Доступ к тексту сценария. При установленном флажке пользователи могут получить доступ к исходному тексту скриптов (например, к ASP-файлам). Обратите внимание, что если вы не включите настройку Чтение или Запись, то данная настройка не будет иметь никакого действия. (При включении настройки Чтение пользователи смогут читать исходные тексты скриптов, а при включении настройки Запись - изменять скрипты.) Настройка Доступ к тексту сценария включается обычно при проектировании серверов, в которых создается содержимое. По умолчанию она выключена.
- Чтение. Если установить этот флажок, пользователи смогут видеть содержимое каталога или файла и его свойства, такие как время создания и размер файла. По умолчанию настройка включена.
- Запись. Если установить этот флажок, пользователи смогут изменять содержимое каталога или файла. Запись на сервер могут производить лишь те браузеры, которые поддерживают команду PUT (Поместить) протокола HTTP 1.1 (к ним относится Internet Explorer начиная с версии 4). По умолчанию настройка выключена.
- Обзор каталогов. Если установить этот флажок, пользователи смогут видеть содержимое домашнего каталога в случаях, когда в ней нет принятой по умолчанию домашней страницы. Обычно эту настройку следует выключать (по умолчанию она выключена), чтобы скрыть структуру каталогов с содержимым от случайного просмотра пользователями, желающими войти туда, куда вы их пускать не желаете.
- Запись в журнал. Если установить этот флажок, то, при каждом доступе клиента к любому из файлов в домашнем каталоге, в регистрационный файл будет добавляться запись. Заметьте, что, прежде чем эта настройка начнет работать, нужно установить флажок Вести журнал на странице с вкладкой Веб-узел. По умолчанию регистрация посещений домашнего каталога включена.
- Индексация каталога. При установленном флажке Служба индексирования добавляет содержимое домашнего каталога к главному индексу. По умолчанию Служба индексирования устанавливается во время установки Windows Server 2003.
Хотя полномочие Чтение и устанавливается для Веб-узла по умолчанию, но возможность доступа к содержимому конкретного web-узла зависит от множества условий.
Настройка веб-приложения.
Если в качестве местоположения домашнего каталога указать локальный каталог или сетевой разделяемый ресурс, то на вкладке Домашний каталог можно задать настройки любого приложения, реализованного в данном каталоге.
В качестве примера web-приложения можно привести набор ASP, работающих совместно и предоставляющих алгоритмические возможности для посетителей сайта. Настройки, которые вы можете pзадавать в области Параметры приложения:
- Поле ввода Имя приложения. В поле задается уникальное имя приложения.
- Исходная папка. Приложение может состоять из дерева каталогов и их содержимого. Вершина этого дерева и есть начальная точка приложения.
- Разрешен запуск. При помощи этой настройки вы можете задать типы приложений, которые можно запускать в домашнем каталоге. Можно выбрать Ничего, Только сценарии или Сценарии и исполняемые файлы.
- Группа приложений. Эта настройка позволяет вам выбрать группу приложений, связанных с данной домашней папкой.
- Кнопка Настройка. Если нажать на эту кнопку, то откроется диалоговое окно Настройка приложения, в котором можно сконфигурировать опции для сопоставления приложения интерпретирующим его машинам скриптов или программам, для копирования приложений ISAPI (с целью повышения производительности); для задания сроков сеансов; для задания используемого по умолчанию языка скриптов ASP, для настроек отладки.
Если вы зададите для каталога полномочие доступа Запись вместе с настройкой сценарии и исполняемые файлы, то возникнет угроза безопасности: пользователь, которому вы не доверяете, может получить возможность загрузить на сервер враждебную программу в исполняемом файле и произвести повреждения.
Вкладка Документы.
На вкладке Документы окна свойств web-узла можно задать возможные имена файлов для стандартных документов домашнего каталога и порядок доступа к ним для браузера.
По умолчанию задаются четыре файла в следующем порядке: Default.htm, Default.asp, index.htm и iisstart.htm. Например, если браузер пытается соединиться с Веб-узлом по умолчанию на сервере Win2003s.test.fio.ru при помощи URL http://Win2003s.test.fio.ru, то сервер сначала проверит, имеется ли в домашнем каталоге файл Default.htm. Если там есть такой файл, то он будет возвращен клиенту. Если такого файла нет, то сервер будет искать файл Default.asp. Этот процесс будет продолжаться до тех пор, пока не найдется файл или пока не закончится список документов, используемых по умолчанию. Вы можете задать дополнительные стандартные документы (например, Index.html) или убрать документы, уже имеющиеся в списке. Можно и вовсе отменить обращения к стандартным документам, в этом случае клиенты должны знать и указывать фактическое имя файла, к которому они хотят получить доступ на сервере, задавая, например, такие URL: http://Win2003s.test.fio.ru/NoDefault.htm.
При помощи этой вкладки можно также задать имя файла нижнего колонтитула (написанного в формате HTML); нижний колонтитул должен добавляться в нижнюю часть каждого из файлов, доставляемых с сайта к клиенту. Колонтитулы позволяют дополнить нижнюю часть каждой страницы заявлением об авторских правах либо заявлением об отказе от авторских прав. Если для создания содержимого применяется FrontPage, то вы можете создавать сложные нижние колонтитулы для отображения такой информации, как дата последнего изменения файла, счетчик популярности и т. д.
[newpage=Вкладка Безопасность каталога]
Вкладка Безопасность каталога.
На вкладке Безопасность каталога вы можете задать способ доступа к содержимому вашего сайта для анонимных пользователей:
- полный,
- ограниченный
- через безопасные соединения HTTP.
Анонимный доступ и проверка подлинности.
Чтобы указать, нужна ли анонимным пользователям проверка подлинности (аутентификация) при доступе к вашему сайту, откройте диалоговое окно Методы проверки подлинности, щелкнув кнопку Изменить в области Управление доступом и проверка подлинности на вкладке Безопасность каталога. Это диалоговое окно используется для конфигурирования следующих настроек:
- Анонимный доступ. Эта настройка определяет, разрешается ли анонимный доступ и какая при этом требуется пользовательская учетная запись. Стандартная анонимная учетная запись, созданная при установке IIS на сервере, имеет имя IUSR_ИмяСервера, где ИмяСервера является NetBIOS-именем сервера. При анонимном доступе пользователи имеют доступ к содержимому сайта при помощи своих web-браузеров и им не нужно предоставлять никаких полномочий для аутентификации. Этот метод аутентификации типичен для публичных web-узлов в Интернете. Другие методы аутентификации тем или иным способом позволяют определять пользовательские полномочия и применяются в основном для интрасетей, экстрасетей и закрытых сайтов Интернета.
- Встроенная проверка подлинности Windows (или интегрированная аутентификация). Это новое название для настройки, которая раньше называлась Аутентификация вызов/ответ Windows NT (Windows NT Challenge/ Response Authentication), а еще раньше называлась NTLM (NT LAN Manager - Authentication). Для защиты аутентификации используется криптографический обмен без фактической передачи удостоверений через соединение. Пользователю не предлагается ввести свои удостоверения, а используются удостоверения, введенные при его текущем входе в систему. В интегрированной аутентификации Windows может также применяться аутентификация протокола Kerberos, если на сервере установлена Служба каталога Active Directory и если такая аутентификация поддерживается браузером клиента.
- Краткая проверка для серверов доменов Windows. Этот новый метод аутентификации определен в спецификациях HTTP 1.1. Он поддерживается IIS 6.0 и может работать через брандмауэры и прокси-серверы. При этом методе через соединения передаются не сами удостоверения (credentials) пользователя, а хэш (hash) сообщения. Информация передается в незашифрованном виде, но она перемешана, поэтому ее декодирование существенно затруднено, что и обеспечивает защиту. Однако контроллеру домена, к которому поступает запрос на аутентификацию, требуется копия пользовательского пароля в виде открытого текста, поэтому необходимы дополнительные меры по защите контроллера домена.
- Обычная. При использовании обычной (базисной) аутентификации клиент вводит свои удостоверения (credentials) в диалоговом окне, после чего удостоверения передаются через сетевое соединение без шифрования. Обычная аутентификация определяется первоначальными спецификациями протокола HTTP 1 и поддерживается почти всеми типами web-браузеров, в том числе самыми старыми. Если пользователи, посещающие ваш сайт, применяют старые браузеры, неспособные аутентифицироваться при помощи других методов, вам придется применять на своем сайте базисную аутентификацию, несмотря на уязвимость, присущую этому методу.
- Проверка подлинности в системе .NET Passport. Данный метод использует технологию Microsoft Passport для аутентификации пользователей.
Встроенная проверка подлинности Windows спроектирована для работы в основном в интрасетях и других внутренних сетях. Она не будет работать через прокси-соединения HTTP.
Комбинирование различных способов проверки подлинности
Рассмотрим последствия выбора более чем одного способа проверки подлинности (метода аутентификации) в диалоговом окне Методы проверки подлинности. Если вы выбрали сразу Анонимный доступ и какую-либо разновидность доступа с аутентификацией, например, Обычная, то сначала производится попытка анонимного доступа. При неудаче делается попытка доступа с аутентификацией. Неудача анонимного доступа может произойти, например, если полномочия NTFS для доступа к ресурсу явно запрещают доступ анонимных пользователей.
Если вы выберете две или более разновидности доступа с аутентификацией, то сначала будут применяться наиболее защищенные формы. Например, попытка интегрированной аутентификации Windows будет предприниматься прежде попытки обычной аутентификации.
Ограничения IP-адресов и имен доменов.
На вкладке Безопасность каталога вы можете также ограничить доступ клиентов к web-узлу в зависимости от их IP-адреса или доменного DNS-имени.
Ниже показано диалоговое окно Ограничение IP-адресов и имен доменов, доступ к которому производится из страницы с вкладкой Безопасность каталога.
При помощи этого диалогового окна можно либо разрешить доступ к сайту всем клиентам, за исключением имеющих заданные в нем IP-адреса или доменные имена, либо запретить доступ всем клиентам, кроме имеющих заданные IP-адреса или доменные имена. Ограничения можно задавать одним из трех способов:
- задать IP-адрес некоторого клиента;
- задать идентификатор сети и маску подсети, представляющую диапазон IP-адресов;
- задать DNS-имя некоторого домена.
Заметьте, что последний способ существенно ухудшает производительность сервера, т.к. при его использовании для всех клиентов до получения разрешения соединиться необходим обратный поиск DNS.
Безопасные подключения.
На вкладке Безопасность каталога (область Безопасные подключения) вы можете также разрешить использование соединений HTTP, защищенных при помощи протокола SSL, который применяется для шифрования web-трафика между клиентом и сервером. Шифрование при помощи SSL важно, если вы планируете использовать сервер для исполнения web-приложений, связанных с финансовыми операциями, или для хранения важной информации. Web-браузеры осуществляют доступ к защищенным серверам при помощи SSL, применяя URL, начинающиеся с https://, а не с http://.
Протокол SSL основан на криптографии с открытым ключом, в которой идентификация и доверие к серверам (и клиентам) основываются на парах открытый/личный ключ, используемых для шифрования и расшифровки сообщений, что гарантирует защищенность и целостность передаваемой информации (другими словами, вы можете быть уверены, что сообщения приходят именно от тех, кто говорит, что послал их).
Если вы хотите организовать работу с защищенными соединениями, нужно сначала установить доступ к сертификационному центру, способному выдать вашему серверу IIS необходимые ему сертификат сервера и пару ключей (открытый и личный). Для этого вы можете:
- Воспользоваться доверяемым публичным сертификационным центром (например, VeriSign) и получить сертификат и пару ключей. Это решение подходит, если вы собираетесь использовать защищенные соединения для публичного сайта Интернета, размещенного на вашем сервере, или
- Установить Службу сертификации на одном или нескольких серверах Windows Server 2003 вашего предприятия и завести свой собственный сертификационный центр. Это решение оптимально для организации защищенных соединений с сайтом приватной внутренней сети (интрасети), поддерживаемым вашим сервером.
Чтобы разрешить применение SSL, нужно сначала сгенерировать файл запроса сертификата и "подать на рассмотрение" этот файл в сертификационный центр. Сертификат сервера содержит связанный с ним открытый ключ и используется для проверки подлинности сервера и для установления защищенных соединений.
Чтобы получить сертификат сервера, выполните описанные ниже действия. В нашем примере запрашивается сертификат сервера для Веб-узла по умолчанию на сервере Win2003s.test.fio.ru, а Служба сертификации работает на контроллере домена dc1. fio.ru. Сертификационный центр для нашего предприятия fio.ru будет иметь имя Fio.
- В странице окна свойств Веб-узла по умолчанию с вкладкой Безопасность каталога щелкните кнопку Сертификат. Запустится Мастер сертификатов веб-сервера.
- Щелкните кнопку Далее. Выберите Создание нового сертификата.
- Щелкните кнопку Далее. Если вы хотите "подать на рассмотрение" файл запроса публичному сертификационному центру, то выберите Подготовить запрос сейчас, чтобы отправить его позднее. В этом случае позднее вам нужно будет установить или присоединить на вашем сервере сертификат, который вы получите от сертификационного центра. А если вы хотите сразу сделать запрос, получить и присоединить сертификат, подав запрос непосредственно в сертификационный центр своего предприятия, то выберите Немедленно отправить запрос в локальную службу сертификации. Сейчас выберите второй вариант.
- Щелкните кнопку Далее. Задайте понятное имя для сертификата (в нашем примере - Веб-узел по умолчанию) и длину в битах, определяющую силу шифровального ключа (512 или 1024 бит).
- Щелкните кнопку Далее. Задайте в вашем сертификате название организации и имя организационной единицы. Затем щелкните кнопку Далее.
- Задайте обычное имя вашего сайта. Если ваш сайт является публичным сайтом Интернета, то используйте полностью квалифицированное DNS-имя сайта. Если сайт используется внутри офисной сети, достаточно указать NetBIOS-имя компьютера. В нашем примере в качестве обычного имени Веб-узла по умолчанию мы используем Win2003s.
- Щелкните кнопку Далее. Укажите город, штат и страну. Используйте официальные названия и не используйте сокращений (за исключением двухбуквенных кодов стран).
- Щелкните кнопку Далее. Укажите имя файла в котором будет сохранен запрос на сертификацию. Можно оставить имя файла созданное мастером по умолчанию.
Затем щелкните кнопку Далее. - Подтвердите введенную информацию и щелкните кнопку Далее.
- После нажатия кнопки Готово мастер закончит свою работу.
Как только сертификат сервера будет установлен на вашем web-узле, вы сможете посмотреть информацию о нем, для чего нужно щелкнуть кнопку Просмотр на вкладке Безопасность каталога.
Для завершения подключения протокола SSL для сайта Веб-узел по умолчанию на сервере Win2003s.test.fio.ru выполните следующие действия:
- Перейдите на вкладку Веб-узел окна свойств узла Веб-узел по умолчанию и убедитесь, что в качестве порта SSL задан порт 443 (используемый SSL по умолчанию). (При помощи кнопки Дополнительно вы можете сконфигурировать и другие параметры идентификации SSL для сайта)
- Снова перейдите к странице с вкладкой Безопасность каталога и щелкните кнопку Изменить, находящуюся в области Безопасные подключения. Откроется диалоговое окно Безопасные подключения.
- Установите флажок Требуется безопасный канал (SSL) и щелкните кнопку ОК, чтобы завершить конфигурирование SSL для сайта Веб-узел по умолчанию (Другие настройки, имеющиеся в этом диалоговом окне, обсуждаются в разделе "Настройка защищенных соединений"). Для применения настроек снова щелкните кнопку ОК.
- Проверьте защищенные соединения: в Internet Explorer откройте URL http://Win2003s.test.fio.ru. В дереве консоли IIS выберите Веб-узел по умолчанию, щелкните кнопку Действие и выберите Обзор в раскрывающемся меню.
- Internet Explorer попытается открыть домашнюю страницу http://Win2003s.test.fio.ru, принятую по умолчанию, но в результате появится сообщение "The page must be viewed over a secure channel" ("Эта страница должна просматриваться через защищенный канал"). Введите измененный URL - https://Win2003s.test.fio.ru.
- Может появиться диалоговое окно, сообщающее, что вы сейчас увидите страницы через защищенное соединение.
- Если окно появится, то щелкните кнопку ОК. Должна открыться домашняя страница Default.htm.
Настройка безопасных подключений
Безопасные подключения можно использовать не только для того, чтобы включить SSL с использованием сертификата сервера, установленного на компьютере с IIS, но и чтобы:
- Указать, что соединения SSL будут использовать сильное 128-битное шифрование
- Указать, каким способом следует обрабатывать сертификаты клиентов. Клиентские сертификаты удостоверяют идентичность клиентов и обычно используются дистанционными пользователями, нуждающимися в защищенном доступе к корпоративной внутренней сети через незащищенные соединения Интернета. Вы можете задать игнорирование, принятие или необходимость клиентских сертификатов для соединений SSL.
- Включить отображение клиентских сертификатов. Эта возможность позволяет администраторам создать отображение между пользовательскими учетными записями Windows Server 2003 и клиентскими сертификатами, благодаря чему пользователи, имеющие соответствующие клиентские сертификаты, смогут автоматически аутентифицироваться и входить в сеть.
- Включить список доверенных сертификатов. Список доверенных сертификатов - это принятый список сертификационных центров, которые рассматриваются данным web-узлом как надежные. Списки доверенных сертификатов создаются при помощи Мастера списков доверия сертификатов, для запуска которого нужно щелкнуть кнопку Создать в нижней части диалогового окна Безопасные подключения.
[newpage=Вкладка Заголовки HTTP]
Вкладка Заголовки HTTP.
На вкладке Заголовки HTTP окна свойств web-узла вы можете:
- задействовать работу с истечением срока годности содержимого (content expiration) для данного сайта;
- задать нестандартные заголовки HTTP, возвращаемые сервером клиентам в ответ на запросы HTTP;
- включить и задать рейтинги содержимого Консультативного Совета по развлекательному программному обеспечению (RSAC, Recreational Software Advisory Council);
- задать дополнительное сопоставление MIME для данного web-узла.
Истечение срока годности содержимого
Если вы разрешаете на сайте применение срока годности содержимого, то при запросе клиентом файла с этого сайта сервер возвращает заголовки HTTP с информацией о дате истечения срока годности содержимого. После этого клиент может решить, следует ли ему скачать более новую версию файла или же использовать имеющуюся копию из кэша браузера клиента.
Если ваш сайт содержит часто меняющуюся информацию (например, ежечасные новости), то вы можете принудить клиента забирать с сервера только свежие копии файлов (и никогда не использовать кэшированные версии файлов) при помощи переключателя Содержимое веб-узла должно: (положение истекает немедленно).
Специальные заголовки HTTP
Эта возможность, понятная лишь знатокам, позволяет определять нестандартные заголовки HTTP, возвращаемые сервером в ответ на запросы HTTP клиентов. Это средство можно применять для работы брандмауэров и прокси-серверов; с его помощью можно включать или отключать некоторые функциональные возможности сеансов HTTP.
Оценка содержимого
Оценка содержимого (рейтинг содержимого) используется, чтобы включить и задать рейтинги содержимого Консультативного Совета по развлекательному программному обеспечению (RSAC). При помощи настроек можно задать рейтинг сайта относительно насилия, секса и словесного содержимого; эти рейтинги используются на сайтах, содержащих материалы, нежелательные для просмотра детьми.
Сопоставление MIME
Глобальное сопоставление MIME для сервера IIS обсуждалось в разделе, посвященном администрированию на уровне сервера. При администрировании на уровне сайта вы можете задать дополнительное сопоставление MIME, относящееся к конкретному web-узлу.
Вкладка Специальные ошибки.
Благодаря вкладке Специальные ошибки вы можете задать способ, при помощи которого ваш сервер будет генерировать сообщения об ошибках HTTP при попытках пользователей осуществлять доступ к заданному web-узлу. По спецификации HTTP первая строка заголовка, возвращаемая web-сервером в ответ на запрос клиента, должна содержать число и связанное с ним сообщение, обозначающее статус запроса.
Эти трехзначные числа называются кодами статуса HTTP и классифицируются на несколько категорий:
1. от 200 до 299. Произошла успешная транзакция HTTP. (Самый обычный код статуса - 200 ОК).
2. от 300 до 399. Произошло перенаправление к другому URL.
3. от 400 до 499. Произошла ошибка. Вот примеры ошибок:
- 400 Bad Request (Плохой запрос). Сервер не может понять синтаксис запроса.
- 401 Unauthorized (Нет авторизации). Удостоверения пользователя не позволяют ему войти в систему на сервер.
- 403 Forbidden (Запрещено). По какой-то причине, отличной от удостоверений для входа, доступ запрещен (например, для данного клиента применено ограничение по IP-адресу или для доступа к этому серверу необходимо использовать SSL).
- 404 File Not Found (Файл не найден). Файл, к которому производится попытки доступа, не существует на сервере (или перемещен в другое место, или переименован).
- от 500 до 599. Произошла ошибка сервера или запрашиваемая функциональная возможность не реализована.
IIS сконфигурирована так, чтобы возвращались не коды статуса HTTP (от 400 до 499) с краткими сообщениями, а созданные заранее страницы HTML, содержащие более подробную информацию. Эти "файлы ошибок" находятся на сервере в папке \%systemroot%\help\iishelp\common и вы, если хотите, можете их изменять. А можно поступить по-другому: выбрать один из этих "файлов ошибок" в странице с вкладкой Специальные ошибки и щелкнуть кнопку Изменить. Теперь вы можете задать, чтобы при возникновении ошибок сервер возвращал либо стандартные коды статуса и сообщения HTTP, либо любой предназначенный для этого файл, расположенный или в локальной папке, или в сетевом разделяемом ресурсе. В файлы с сообщениями об ошибках можно, например, поместить какие-либо элементы, помогающие клиентам найти нужную им страницу. B IIS применяются более подробные сообщения об ошибках, нежели предусмотренные спецификацией HTTP. Например, код ошибки HTTP 401, означающий в HTTP просто отсутствие авторизации, представлен в IIS группой кодов от 401.1 до 401.5, соответствующих различным причинам отказа сервера принять удостоверения клиента.
Вкладка Server Extensions 2002.
Вкладка Server Extensions 2002 позволяет перейти к настройке серверных расширений FrontPage, о которых говорилось ранее. Что бы открыть окно установок FrontPage Server Extensions, нажмите кнопку Settings.
[newpage=Основные свойства FTP]
Работа с FTP-узлами.
Четыре уровня администрирования IIS, применяемые к Службе веб-публикаций, используются также во второй основной службе в составе IIS - Службе FTP-публикаций. Поскольку администрирование серверов, сайтов, каталогов и файлов у этих служб сходно.
Основные свойства FTP.
Помимо обычных задач уровня сервера (при которых происходит соединение с сервером IIS и администрирование его служб, резервное копирование и восстановление конфигурации сервера и ограничение суммарной пропускной способности, используемой всеми действиями IIS на компьютере) IIS позволяет также производить глобальное конфигурирование главных свойств для всех FTP-узлов, уже имеющихся на вашем сервере, и новых FTP-узлов, которые могут быть созданы в будущем.
Чтобы сконфигурировать главные свойства службы FTP для какого-либо сервера, выберите в дереве консоли IIS узел, представляющий сервер, щелкните кнопку Действие в панели инструментов и в меню выберите Свойства.
Это окно свойств имеет пять вкладок, применяемых для конфигурирования используемых по умолчанию глобальных настроек существующих FTP-узлов. Все новые FTP-узлы, создаваемые на данном компьютере, будут наследовать эти настройки. Обратите внимание, что на данном уровне некоторые настройки недоступны, потому что они могут применяться не ко всем FTP-узлам сразу, а лишь к отдельным FTP-узлам. Например, IP-адрес на вкладке FTP-узел не может настраиваться глобально, потому что оно специфичен для каждого из FTP-узлов.
Из этих шести вкладок окна свойств FTP для уровня сервера уникальна лишь вкладка Служба. Эта вкладка выполняет задачи, аналогичные задачам вкладки Служба окна основных свойств службы WWW: она позволяет задать на вашем компьютере IIS отдельный FTP-узел, с которым можно работать при помощи Диспетчера служб Интернета, входящего в состав IIS 3 в Windows NT. Остальные четыре вкладки одинаковы для уровня сервера и уровня сайта.
Настройка свойств FTP-узла.
Свойства конкретного FTP-узла на уровне узла идентичны свойствам на уровне сервера.
В данном разделе мы рассмотрим различные настройки, которые вы можете конфигурировать для отдельного FTP-узла при помощи окна свойств. Помните, что настройки уровня узла для вновь создаваемых FTP-узлов наследуются из заданных ранее главных свойств (для уровня сервера), тогда как изменение настроек на уровне узла "затаптывает" аналогичные настройки, сконфигурированные на уровне сервера. В наших примерах мы будем использовать свойства FTP-узла по умолчанию.
[newpage=Вкладка FTP-узел]
Вкладка FTP-узел.
Как и свойства web-узлов для администрирования на уровне сайта, свойства FTP-узла позволяют задавать идентификацию FTP-узла, конфигурировать соединения и включать регистрацию событий. Настройки для соединений и регистрации работают так же, как настройки свойств web-узлов, поэтому мы не будем их рассматривать. Мы изучим настройку идентификации сайта и кнопку для просмотра текущих сеансов.
Идентификация
Подобно web-узлам, каждый FTP-узел, размещенный на компьютере с IIS, должен иметь уникальную идентификацию, чтобы клиенты FTP могли соединяться с ним и скачивать или закачивать файлы. Однако, в отличие от web-узлов, в FTP используются два (а не три) параметра для идентификации FTP-узла, а именно, IP-адрес и номер порта TCP.
Идентификация FTP-узла задается в странице окна свойств заданного FTP-узла с вкладкой FTP-узел. Чтобы FTP-узлы на одном и том же компьютере имели бы уникальные идентификации, они должны отличаться друг от друга хотя бы одним параметром идентификации. Другими словами, чтобы иметь на одном сервере несколько FTP-узлов, вы можете воспользоваться одним из следующих методов:
- Сконфигурируйте несколько IP-адресов для сетевой платы сервера и выберите разные IP-адреса для каждого из FTP-узлов, не меняя в каждом сайте установку порта TCP на 21 (21 - стандартный порт TCP для протокола FTP). Клиенты смогут соединяться с нужными сайтами, используя либо IP-адрес сайта, либо его полностью квалифицированное DNS-имя (если в сети доступен сервер DNS или если на клиенте сконфигурирован файл локальных хостов). Этот метод предпочтителен для публичных FTP-узлов, поскольку он наиболее прост для соединения со стороны пользователей;
- Сконфигурируйте только один IP-адрес для сетевой платы сервера и применяйте этот IP-адрес для каждого из FTP-узлов, задав им разные порты TCP (с номерами, большими 1023). В этом случае пользователи, чтобы иметь возможность соединяться с сайтами, должны знать их порты TCP. Этот метод применяется иногда, чтобы скрыть от просмотра приватные FTP-узлы (хотя, как вы вскоре увидите, характерным свойством протокола FTP является его низкая защищенность).
Текущие сеансы
При помощи кнопки Текущие сеансы на странице с вкладкой FTP-узел вы можете открыть диалоговое окно FTP-сеансы для данного узла. В этом окне можно посмотреть, какие пользователи в данный момент имеют соединение с сайтом, IP-адреса их клиентов (или вашего прокси-сервера, если они действуют из пределов вне вашего брандмауэра) и время, прошедшее с момента их подключения. Вы можете выбрать любого из пользователей и отсоединить его от вашего сайта, а можно нажать на Отключить всех и завершить все сеансы на вашем сайте.
На рисунке показано соединение с анонимными пользователями, соединившимися с сайтом FTP-узел по умолчанию при разрешенном анонимном доступе. Пользователь IEUser@ осуществляет доступ к сайту, открыв в Internet Explorer URL ftp://Win2003s.test.fio.ru, тогда как пользователь mtulloch@fio.ru применил утилиту командной строки Windows для FTP и вошел в систему с пользовательским именем anonymous и произвольным (но необязательным) паролем, что равнозначно пользовательскому адресу электронной почты mtulloch@fio.ru. С другой стороны, если пользователь входит в систему с помощью базисной идентификации, которая будет описана ниже, диалоговое окно FTP-сеансы покажет имя этого пользователя в колонке Подключено пользователей.
Вкладка Безопасные учетные записи.
Вкладка Безопасные учетные записи окна свойств FTP-узла похожа на вкладку Безопасность каталога окна свойств web-узла. Операторы FTP-узлов имеют ограниченные права на администрирование, аналогичные обсуждавшимся ранее правам операторов на администрирование web-узлов. Однако для службы FTP контроль аутентификации организован гораздо проще. В то время как служба WWW поддерживает четыре уровня аутентификации (анонимную, обычную, дайджестную и интегрированную Windows) и возможность применения SSL для шифрования передачи данных, FTP поддерживает лишь два метода аутентификации: анонимную и обычную.
На вкладке Безопасные учетные записи присутствуют два флажка - Разрешить анонимные подключения и Разрешить только анонимные подключения.
В таблице ниже показано, как различные варианты установки флажков влияют на возможности анонимного доступа и базисной аутентификации. Если вы разрешаете анонимный доступ, то для IIS необходима пользовательская учетная запись, при помощи которой будет производиться такой доступ. По умолчанию задается учетная запись IUSR_ИмяСервера, но вы, если хотите, можете задать и другую учетную запись. (Убедитесь, что пользователь имеет право входить в систему локально на консоли сервера, т.к. это необходимо для работы базисной аутентификации.) Затем вы можете задать либо ручной ввод пароля, либо разрешить IIS синхронизировать пароль с паролем, установленным в Windows.
Флажок Разрешить анонимные подключения | Флажок Разрешить только анонимные подключения | Результат |
Установлен | Установлен | Разрешен только анонимный доступ |
Установлен | Снят | Разрешен и анонимный доступ, и базисная аутентификация, причем сначала происходит попытка анонимного доступа |
Снят | Не имеет смысла | Разрешена только базисная аутентификация |
Если вам нужно разрешить на вашем сервере базисную аутентификацию, то ее смогут пройти и подключиться к узлу лишь пользователи, имеющие право входить в систему локально на сервере IIS, поддерживающем данный FTP-узел. Проверьте, чтобы сервер был физически защищен от злоупотреблений со стороны таких пользователей (если они работают в вашей организации).
Защита в FTP
Протокол FТР считается менее защищенным, чем HTTP, потому что FTP поддерживает только анонимную и базисную аутентификацию. Например, если в вашей фирме работает внутренний FTP-узел и вы применяете базисную аутентификацию, то любой человек, имеющий программу сетевого мониторинга, потенциально может заполучить трассировку сеанса FTP и узнать пользовательские пароли. Более того, если вы соединяетесь с FTP-узлом при помощи Internet Explorer и проходите базисную аутентификацию, то ваше пользовательское имя появится в URL, примерно так: ftp://mtulloch@ftp.scribes.com. Поэтому, покидая компьютер, вам следует блокировать свою консоль, а то люди узнают, кто вошел в систему на сайт FTP.
Вкладка "Сообщения".
FTP-узлы обычно имеют следующие сообщения: заголовок, приветственное, "прощальное" и о достижении предельного количества подключений. При помощи вкладки Сообщения окна свойств FTP-узла вы можете задать текст этих сообщений.
Вкладка Домашний каталог.
В FTP возможны два варианта размещения домашнего каталога, сопоставленного виртуальному корню сайта. Один способ - это задание локального каталога на одном из дисков сервера, другой способ - при помощи UNC-пути к сетевому разделяемому ресурсу, размещенному на файловом сервере где-то еще в сети. (При доступе к сетевому разделяемому ресурсу придется вводить удостоверения.) Задайте эту разновидность расположения домашнего каталога в странице с вкладкой Домашний каталог.
Для FTP-узлов не бывает перенаправлений к другим URL, в отличие от web-узлов, для которых это возможно.
Разрешения доступа
Разрешения доступа FTP проще полномочий WWW:
- Чтение. Если установить этот флажок, пользователи могут читать или скачивать к себе файлы, хранящиеся в домашнем каталоге, и просматривать листинг содержимого каталога.
- Запись. Если установить этот флажок, пользователи могут помещать ("закачивать") свои файлы в домашний каталог.
- Запись в журнал. Если установить этот флажок, то при каждом скачивании или закачивании файла клиентом из/в домашний каталог будет добавляться запись в регистрационные файлы IIS. Заметьте, что прежде чем эта настройка начнет работать, нужно сначала установить флажок Вести журнал на странице с вкладкой FTP-узел. По умолчанию регистрация доступа к домашнему каталогу включена.
Стиль вывода каталога
Когда web-браузер осуществляет доступ к FTP-узлу, то пользователь получает (если для домашнего каталога действует разрешение Чтение) вывод каталога, т.е. список ее содержимого, листинг. Листинг каталога может выдаваться либо в первоначальном стиле FTP (стиль UNIX), либо в стиле, стандартном для Windows (стиль MS-DOS). В любом случае информация одна и та же, только выглядит по-разному.
Если ваш FTP-узел предназначен для широкого использования в Интернете, то выбирайте стиль UNIX, чтобы обеспечить максимальную совместимость для пользователей, работающих со старым клиентским программным обеспечением для FTP. Некоторые клиенты не могут правильно интерпретировать стиль MS-DOS.
Вкладка Безопасность каталога.
Как для web-узлов, вы можете контролировать доступ к FTP-узлу по IP-адресам или DNS-именам компьютеров подключающихся пользователей.
[newpage=Настройка свойств каталогов FTP]
Настройка свойств каталогов FTP.
При администрировании FTP на уровне каталогов (т. е. при администрировании виртуальных каталогов FTP) окно свойств виртуальных каталогов, создаваемых внутри FTP-узлов, имеет только две следующие вкладки:
- Виртуальный каталог - позволяет сконфигурировать местоположение содержимого виртуального каталога и задать полномочия доступа.
- Безопасность каталога - позволяет задать для виртуального каталога ограничения по IP-адресу и доменному имени.
Обратите внимание, что в отличие от web-узлов физические каталоги внутри FTP-узлов не отображаются в окне консоли IIS. Для службы FTP из IIS администрирование на уровне файлов не требуется, потому что отдельные файлы внутри FTP-узла тоже не отображаются в окне консоли.
[newpage=Работа с виртуальными NNTP-серверами]
Работа с виртуальными NNTP-серверами.
Третья основная служба в составе IIS на Windows Server 2003 - служба протокола новостей, Служба NNTP. Протокол NNTP является протоколом прикладного уровня, лежащем в основе общемировой системы серверов новостей Интернета - USENET. Служба NNTP входит в состав IIS и может применяться для создания новых сайтов новостей, реализованных как виртуальные серверы (аналогично web- и FTP-узлам). Если нужно установить подкомпоненту Служба NNTP служб IIS, то примените Установка и удаление программ из панели управления.
Что делает Служба NNTP.
Служба NNTP, входящая в состав IIS, поддерживает две части протокола NNTP: клиент-сервер и сервер-сервер, и может управляться при помощи оснастки Internet Information Services. Как и другие средства IIS, Служба NNTP полностью интегрирована с мониторингом событий и производительности Windows Server 2003 и интегрирована со Службой индексирования для полнотекстного индексирования содержимого групп новостей.
Служба NNTP может быть использована для реализации как приватных серверов новостей (для размещения дискуссионных групп подразделений вашего предприятия), так и публичных серверов новостей (например, для поддержки потребителей -пользователей Интернета). Однако Служба NNTP не позволяет "вытягивать" (pull) материалы с хостов USENET Интернета. Чтобы иметь эту возможность NNTP, вы должны приобрести Microsoft Exchange Server и реализовать на нем службу Internet News Service. Вы можете соединиться со службой NTTP на компьютере с IIS через Microsoft Outlook Express, чтобы скачивать списки групп новостей, читать сообщения, отвечать на них, публиковать новые сообщения.
При установке Службы NNTP на IIS автоматически создается сервер Виртуальный NNTP-сервер по умолчанию.
На одном компьютере можно содержать много виртуальных серверов NNTP. Поэтому несколько подразделений вашей фирмы могут запускать свои собственные серверы новостей на одном компьютере с IIS, точно так же, как они могут запускать web- и FTP-узлы.
Служба NNTP управляется окнами свойств и мастерами, как и другие основные службы, входящие в IIS.
Администрирование Службы NNTP.
Из консоли IIS можно запускать следующие мастеры для настройки виртуальных серверов NNTP:
- Мастер создания виртуального NNTP-сервера;
- Мастер создания виртуального каталога NNTP;
- Мастер создания политики срока действия;
- Мастер создания группы новостей.
[newpage=Мастер создания виртуального NNTP-сервера]
Мастер создания виртуального NNTP-сервера.
Чтобы создать новый виртуальный сервер NNTP, просто выберите в консоли IIS узел вашего сервера, щелкните кнопку Действие, затем - Создать и выберите Виртуальный NNTP-сервер. В результате запустится Мастер создания виртуального NNTP-сервера, который потребует от вас выполнения следующих действий:
- Задание имени для нового виртуального сервера NNTP, которое будет отображаться в дереве консоли IIS.
- Задание IP-адреса и номера порта для нового сервера NNTP. (По умолчанию для NNTP используется порт TCP с номером 119). Создаваемый вами виртуальный сервер должен иметь идентификацию, отличающуюся от имеющихся виртуальных серверов.
- Задание пути для хранения файлов сервера. Создайте папку на диске и укажите путь к этой папке, используя кнопку Обзор.
- Задание местоположения файлов сервера и списков содержимого групп новостей.
- Задание пути для хранения списков содержимого групп новостей. Создайте папку на диске и укажите путь к этой папке, используя кнопку Обзор.
Нажмите кнопку Готово для завершения работы мастера.
[newpage=Мастер создания виртуального каталога NNTP.]
Мастер создания виртуального каталога NNTP.
При помощи Службы NNTP можно создавать виртуальные каталоги внутри виртуального сервера NNTP и использовать их для хранения частей содержимого сервера новостей. Создадим новый виртуальный каталог внутри Виртуального сервера NNTP по умолчанию.
- Чтобы запустить мастер, выберите в дереве консоли узел Виртуальные каталоги под Виртуальный NNTP-сервер по умолчанию, щелкните кнопку Действие, затем - Создать и выберите Виртуальный каталог.
- В первом окне мастера задайте поддерево групп новостей, содержимое которого будет храниться в подкаталоге. Например, если вы хотите хранить сообщения для групп новостей all.support.pc, all.support.mac и all.support.unix, то в текстовом поле можно задать имя all.support. Сейчас мы так и сделаем, а группы новостей создадим позднее. Щелкните кнопку Далее.
- Чтобы задать путь к локальному каталогу или сетевой разделяемый ресурс, выберите Файловая система или Удаленный разделяемый ресурс, а затем щелкните кнопку Далее. (Если вы выберете сетевой разделяемый ресурс, то нужно будет ввести необходимые данные для аутентификации.) Выберите Файловая система и задайте путь, предварительно создав каталог на диске. Щелкните кнопку Готово.
В узле Виртуальный каталог под узлом Виртуальный NNTP-сервер по умолчанию появится новый виртуальный каталог вместе с поддеревом относящихся к нему групп новостей.
Если вы дважды щелкните мышью на новом виртуальном каталоге, то откроется окно свойств, в котором можно изменить настройки.
[newpage=Мастер создания политики срока действия]
Мастер создания политики срока действия.
При помощи Мастера создания политики срока действия можно создать политику, определяющую допустимые сроки нахождения статей в группах новостей. Срок хранения статей может истечь, если они доживут до определенного "возраста".
Чтобы создать политику сроков хранения для групп новостей all.support.*, выполните следующие действия:
- Запустите Мастер создания политики срока действия. Для этого выберите ветвь Политики срока действия, щелкните правой кнопкой мышки и в контекстном меню выберите Создать -> Политика срока действия.
- Задайте осмысленное имя для политики сроков хранения, например, "Политика для all.support.
- ". Щелкните кнопку Далее.
- Укажите, что данная политика применяется только для избранных групп новостей на данном виртуальном сервере. Щелкните кнопку Далее.
- Выберите Добавить, задайте шаблон all.support, определяющий группы новостей, к которым должна относиться политика сроков хранения, а затем щелкните кнопку ОК. Если хотите, можете добавить и несколько шаблонов, чтобы применять политику сроков хранения к нескольким несвязанным поддеревьям групп новостей. Затем щелкните кнопку Далее.
- Задайте, сколько часов могут оставаться статьи в группе новостей. (По умолчанию срок хранения - 168 часов, т. е. 7 дней). Щелкните кнопку Готово.
- Чтобы посмотреть, как новая политика сроков хранения появится в консоли, выберите в дереве консоли узел Политики сроков действия (под узлом Виртуальный NNTP-сервер по умолчанию).
[newpage=Мастер создания группы новостей]
Мастер создания группы новостей.
Чтобы создать новую группу новостей, выберите в дереве консоли узел Группы новостей, щелкните кнопку Действие, затем - Создать и выберите Группа новостей в раскрывающемся меню.
Задайте для новой группы новостей имя для отображения и щелкните кнопку Далее.
Вы можете также задать "красивое" имя и описание. Затем щелкните кнопку Готово.
[newpage=Настройка Виртуального NNTP-сервера по умолчанию]
Настройка Виртуального NNTP-сервера по умолчанию.
Чтобы сконфигурировать новый виртуальный сервер NNTP, воспользуйтесь окнами его свойств. Для простоты мы и дальше будем в качестве примера использовать Виртуальный NNTP-сервер по умолчанию. Вы заметите, что конфигурирование виртуальных серверов NNTP похоже на описанное выше конфигурирование web-и FTP-узлов.
Вкладка Общие.
Ниже показана страница окна свойств Виртуального сервера NNTP по умолчанию с вкладкой Общие. При помощи этой вкладки можно задать следующие параметры:
- IP-адрес - подобно FTP-узлам, виртуальные серверы NNTP уникально идентифицируются при помощи комбинации IP-адреса и порта TCP, причем все виртуальные серверы NNTP, размещаемые на одном и том же компьютере IIS, должны отличаться друг от друга хотя бы одним из этих параметров. Хотя вы уже знакомы с достоинствами и недостатками различных методов настройки этих параметров, обратите внимание, что при помощи кнопки Дополнительно для виртуальных серверов NNTP можно задавать дополнительные идентификации (сочетания IP-адреса, номера порта TCP и номера порта SSL).
- Код пути - то, что вы введете сюда, будет появляться в строке Путь (Path) заголовков NNTP, присоединяемых к сообщениям, помещаемым на виртуальном сервере. Обычно здесь можно вводить полностью квалифицированное DNS-имя виртуального сервера, но это не обязательно.
Управление параметрами соединения и регистрацией здесь подобны применяемому для web- и FTP-узлов. Здесь вы можете включить регистрацию, но вы можете включать и выключать ее также на уровне отдельных каталогов, точно так же, как и для web- и FTP-узлов.
Вкладка Настройка.
Вкладка Настройки содержит множество настроек, относящихся к функционированию NNTP на выбранном виртуальном сервере. Вы можете конфигурировать следующие настройки:
Разрешать ли отправку сообщений на данный виртуальный сервер клиентами NNTP. Например, можно запретить помещать материалы на сервер, если вы хотите произвести его техническое обслуживание.
*Ограничить максимальный размер сообщений, помещаемых на сервер.
*Ограничить максимальное количество данных, которое может быть размещено одним пользователем во время одного соединения.
*Разрешить другим серверам NNTP забирать новости с данного виртуального сервера. Эта настройка не разрешает забирать данные с других серверов IIS, т.к. служба Служба NNTP в IIS не поддерживает таких возможностей, но данная опция применяется к хостам USENET и серверам Exchange, на которых исполняется служба Internet News Service.
*Позволить помещать ("подавать") статьи на данный виртуальный сервер.
*Разрешить управляющие сообщения. Так, клиенты и серверы могут передавать для виртуального сервера специальные команды, например, для создания новых или для ликвидации имеющихся групп новостей.
*Задать DNS-имя почтового сервера SMTP, используемого для модерируемых групп новостей, имеющихся на виртуальном сервере.
*Задать имя домена, к которому принадлежит модератор.
*Задать адрес электронной почты администратора виртуального сервера для пересылки всех сообщений об ошибках, генерируемых службой Служба NNTP при невозможности доставки нужному почтовому серверу SMTP сообщений, публикуемых в модерируемых группах новостей.
Вкладка Безопасность.
На вкладке Безопасность можно указать оператора NNTP с ограниченными возможностями по выполнению административных задач на данном виртуальном сервере.
Вкладка Доступ.
На вкладке Доступ указываются административные методы, которые могут применяться при попытках пользователей соединиться с виртуальным сервером.
Для этого нужно щелкнуть кнопку Проверка подлинности, расположенную в области Управление доступом. Откроется диалоговое окно Способы проверки подлиности. Эти способы подобны способам проверки подлинности для web-узлов, хотя они отображаются в данном диалоговом окне несколько по-другому.
Область Безопасные подключения - позволяет настроить использование протокола SSL. Если щелкнуть кнопку Сертификат, то запустится Мастер сертификатов.
Кнопка Подключение позволяет задать ограничение доступа к узлу в зависимости от IP-адреса и доменного имени.
[newpage=Управление группами новостей]
Управление группами новостей.
Чтобы посмотреть список групп новостей, имеющихся на виртуальном сервере, изменить свойства групп новостей, создать новую или удалить существующую группу новостей, воспользуйтесь узлом Группы новостей сервера NNTP. Обратите внимание, что в Виртуальном сервере NNTP по умолчанию уже имеется некоторое количество групп новостей, принятых по умолчанию.
Давайте создадим три группы новостей: all.support.pc, all.support.mac и all.support.unix.
Управление группами новостей.
- После конфигурации свойств виртуального сервера NNTP можно проверить свои группы новостей, осуществив к ним доступ при помощи клиента NNTP (например, при помощи Outlook Express). Выполните следующие действия:
- Запустите Outlook Express и, если запустится мастер, пытающийся помочь вам сконфигурировать почтовую учетную запись, то прервите его работу.
- Выберите Учетные записи в меню Сервис. Откроется диалоговое окно Учетные записи в Интернете.
- Чтобы создать новую учетную запись NNTP, щелкните кнопку Добавить и выберите Новости. Укажите свое имя, адрес электронной почты и полностью квалифицированное имя сервера новостей (или, если хотите, его IP-адрес). Если виртуальный сервер NNTP не разрешает анонимный доступ, то установите флажок Требуется вход на сервер новостей и задайте свои удостоверения (учетную запись и пароль).
- Щелкните кнопку Далее, а затем Готово.
- Закройте диалоговое окно Учетные записи Интернета. Вы получите предложение доставить списки групп новостей для только что созданных вами учетных записей. Щелкните кнопку Да.
- Появится диалоговое окно Подписка на группу новостей, в котором дан список всех групп новостей, доступных на виртуальном сервере NNTP, с которым вы соединились. В этом окне можно подписаться на интересующие вас группы новостей. Чтобы подписаться на группу новостей, дважды щелкните на ней мышью.
- Чтобы вернуться в главное окно Outlook Express, щелкните ОК.
- Чтобы проверить работу с группами новостей, просто просмотрите их на своем виртуальном сервере, опубликуйте сообщения, прочтите сообщения, и т.д.
Просмотр текущих сеансов NNTP.
После нескольких пробных передач сообщений перейдите в консоль IIS вашего сервера IIS и выберите в дереве консоли узел Текущие сеансы под узлом Виртуальный NNTP-сервер по умолчанию. В результате отобразится информация о пользователях, соединенных с виртуальным сервером в данный момент. Вы можете выбрать любого пользователя, щелкнуть кнопку Действие, а затем, по своему усмотрению, либо завершить сеанс этого пользователя, либо завершить все соединения с виртуальным сервером NNTP.
Перекомпоновка виртуального NNTP-сервера.
Перекомпоновка индексов и хэш-таблиц, используемых виртуальным сервером для ссылок на опубликованные в нем статьи, является важной задачей технического обслуживания виртуальных серверов NNTP. Необходимость в перекомпоновке виртуального сервера NNTP может возникнуть: из-за ручного удаления файлов из каталогов для хранения содержимого NNTP, из-за ошибок диска и потери части содержимого группы новостей или из-за проблем в доступе к статьям.
Чтобы перестроить виртуальный сервер (в нашем примере - Виртуальный NNTP-сервер по умолчанию), выполните следующие действия:
- Остановите Виртуальный NNTP-сервер по умолчанию, выбрав в дереве консоли Виртуальный сервер, a затем щелкнув кнопку Остановить в панели инструментов консоли (или щелкните кнопку Действие или щелкните правой кнопкой мыши на узел Виртуальный сервер, а затем выберите команду Остановить).
- Оставив сервер Виртуальный NNTP-сервер по умолчанию по-прежнему выбранным, щелкните кнопку Действие, укажите на Все задачи и выберите Перестраивание сервера в раскрывающемся меню.
- Выберите Стандартное или Полное перестраивание и щелкните кнопку Начать. Полное перестраивание работает медленней стандартного.
[newpage=Дистанционное администрирование]
Дистанционное администрирование.
Последняя тема данной главы посвящена применению стандартного web-браузера для дистанционного администрирования сайтов, серверов и служб IIS. До сих пор для администрирования IIS мы пользовались только консолью IIS. Однако для IIS необходимо соединение на основе удаленного вызова процедур (RPC, remote procedure call), из-за чего IIS предназначена в первую очередь для администрирования внутренних сетей фирм. Но при помощи Диспетчера служб IIS администраторы могут управлять большинством средств IIS (но не всеми), через сетевые соединения, даже через незащищенные соединения Интернета и через прокси-серверы или брандмауэры (при правильной конфигурации). В данном разделе дано краткое описание компоненты Диспетчер служб IIS и способа ее применения.
Сайт Администрирование веб-узла.
Remote Administration (HTML) (Удаленное администрирование) - дополнительная компонента IIS, не устанавливаемая по умолчанию при установке Windows Server 2003. Когда эта компонента будет установлена, в дереве консоли окна консоли IIS появляется новый web-узел с именем Administration (Администрирование).
Чтобы включить средство удаленного администрирования (HTTP) через панель управления выполните следующее:
- В меню Пуск выберите команду Панель управления.
- Дважды щелкните значок Установка и удаление программ.
- В левой области нажмите кнопку Установка компонентов Windows.
- Установите флажок Сервер приложений и нажмите кнопку Состав.
- Установите флажок Службы IIS и нажмите кнопку Состав.
- Установите флажок Служба WWW и нажмите кнопку Состав.
- Установите флажок Удаленное администрирование (HTML) и нажмите кнопку OK.
- Нажмите кнопку OK в двух других окнах, нажмите кнопку Далее, а затем для завершения работы мастера компонентов Windows - кнопку Готово.
Этот web-узел является фактически ASP-приложением, при помощи которого администраторы могут управлять IIS через любой web-браузер, поддерживающий JavaScript.
Обеспечение возможности для работы дистанционного администрирования.
Чтобы компонента Remote Administration (HTML) могла бы работать, администраторам нужна лишь возможность соединяться с сайтом Administration. Для этого выполните следующие действия:
- В консоли IIS откройте окно свойств для сайта Administration.
- В странице с вкладкой Веб-узел найдите присвоенный этому сайту номер порта TCP, запишите его. Номер порта для этого сайта заданный по умолчанию для открытого соединения по протоколу http - 8098, для защищенного (SSL) соединения по протоколу https - 8099. Чтобы соединяться с сайтом Administration при помощи web-браузера, вы должны знать номер порта.
- Перейдите на вкладку Безопасность каталога и откройте диалоговое окно Ограничение IP-адресов и имен доменов. По умолчанию с сайтом Administration имеет право соединяться только компьютер - локальный хост (IP-адрес 127.0.0.1), а для всех остальных IP-адресов соединение запрещено.
- Добавьте IP-адреса компьютеров, с которых вы собираетесь осуществлять дистанционное администрирование сервера. Удаленные клиенты должны иметь статические IP-адреса.
- Изменения вступят в силу, когда вы закроете окно свойств для сайта Administration.
Проверка дистанционного администрирования.
Чтобы проверить конфигурацию сайта Administration, запустите Internet Explorer на компьютере с IP-адресом, для которого вы разрешили доступ, и откройте URL
http://Имя_Сервера:Порт_Для_Администрирования
где Имя_Сервера - это IP-адрес или DNS-имя сервера IIS, а Порт_Для_Администрирования - записанный вами номер порта для дистанционного администрирования.
Появится диалоговое окно с просьбой ввести ваши удостоверения (имя пользователя, пароль и домен Windows), а затем - предупреждение о том, что вы осуществляете администрирование, пользуясь незащищенным соединением. (Если вы хотите повысить защищенность, то можете сконфигурировать SSL для узла Administration точно так же, как для любых других web-узлов.
С этого момента, если вы сделали все правильно, Remote Administration (HTML) начнет работать, и вы соединитесь с сайтом Administration при помощи своего браузера.
Remote Administration (HTML) позволяет решать большинство административных задач, но не все - например, вы не сможете сконфигурировать отображение сертификатов, потому что эта работа требует координации с другими службами Windows Server 2003, недоступными из web-браузера.
Расширения веб-службы.
С помощью функции Расширения веб-службы вы можете задать, какие шлюзовые интерфейсы (CGI) и интерфейсы прикладного программирования (ISAPI) могут работать на вашем сервере. Также можно задать список запрещенных интерфейсов. Для просмотра и редактирования текущих настроек выделите Расширения веб-службы и в правой части окна вы увидите текущие настройки.
Для того, чтобы включить или отключить расширение, выделите имя расширения и нажмите кнопку Разрешить или Запретить.
К тому же вы можете выполнить ряд дополнительных задач:
- Добавить новые расширения веб-служб. Задайте имя, путь к соответствующему файлу (DLL-файл для ISAPI-расширения или EXE-файл для CGI-расширения) и состояние расширения.
- Разрешить все расширения веб-службы для указанного приложения. Запустите эту задачу и откройте раскрывающийся список приложений, чтобы выбрать определенное приложение. В списке Extensions To Be Allowed вы увидите расширения, которые может использовать это приложение.
- Запрет всех расширений веб-службы. Эта функция в значительной степени сократит возможности вашего сервера, поэтому тщательно продумайте последствия использования этой опции.
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.153 )