Internet Information Services 6 (IIS 6) er en kraftig plattform for hosting nettsider på både det offentlige Internett og på private intranett. Opprette og konfigurere nettsider og virtuelle kataloger er brød-og-smør oppgaver for IIS administratorer, og i denne artikkelen vil vi gå gjennom prosessen med å gjøre dette ved hjelp av både GUI (IIS Manager) og ved hjelp av ulike skript som følger med Windows Server 2003 . De syv spesifikke oppgaver vi vil gå gjennom vil omfatte:
- Opprette en lokal Virtual Directory
- Opprette en Remote Virtual Directory
- Kontrollere tilgang til et Web Side
- Konfigurering Web Site Logging
Konfigurering Web Site Omadressering
stoppe og starte nettsteder
For ordens interesse, vil vi forklare disse oppgavene i forbindelse med et fiktivt selskap kalt TestCorp som det distribuerer IIS for sitt intranett.
Innledende trinn
I motsetning til tidligere versjoner av Microsoft Windows, er IIS ikke installert som standard på Windows Server 2003. Hvis du vil installere IIS, åpne Administrer Server fra Start-menyen og legg til Application Server rolle:
Legg merke til at for enkle sikkerhetsgrunner IIS bør bare installeres på medlemsservere, ikke domenekontrollere. Grunnen er at hvis du installerer IIS på en domenekontroller og webserveren blir kompromittert, kan angriperen få tilgang til kontoene database og skape kaos med nettverket ditt.
Opprette et nettsted
Den enkleste metoden er å bruke en egen IP-adressen til å identifisere hvert nettsted på maskinen din. La oss si at serveren vår har fem IP-adresser som er tildelt det fra utvalget 172.16.11.220 gjennom 172.16.11.224. Før vi oppretter en ny HR nettsted, la oss først undersøke identifisere på Default Web Site. Åpne IIS Manager i Administrative verktøy, velge nettsteder i konsolltreet, og høyreklikk på Default Web Site og åpne det er egenskaper:
IP-adresse for Default Web Site er All Ikke tilordnet. Dette betyr en IP-adresse ikke spesifikt er tildelt et annet nettsted på maskinen åpner Default Web Site stedet. En typisk bruk for Default Web Site er å redigere det er standard dokument for å vise generell informasjon som en firmalogo og hvordan du kontakter Support Desk.
La oss bruke IP-adressen 172.16.11.221 for Human Resources nettsted og gjøre D: \\ HR mappen der hjemmesiden for dette nettstedet er lagret. For å opprette HR området, høyreklikker du på nettsidene node og velg Ny - > Web Site. Dette starter Web Site Creation Wizard. Klikk på Neste og skriv inn en beskrivelse for området:
Klikk Neste på nytt og angi 172.16.11.221 som IP-adressen til nettstedet:
Klikk på Neste, og angi D: \\ HR som hjemmet mappen for området. Vi har ryddet i boksen for å nekte anonym tilgang til området fordi dette er et internt intranett slik at bare godkjente brukere skal kunne få tilgang til det (offentlig nettsider generelt tillate anonym tilgang):
Klikk på Neste og la bare lesetilgang aktivert ettersom Human Resources området vil i utgangspunktet kun brukes til å informere de ansatte på selskapets retningslinjer:
Klikk på Neste og deretter Fullfør for å opprette den nye nettsiden:
La oss nå lage en ny intranettområde, denne gangen for Help Desk, som vil bruke IP-adressen 172.16.11.222 og hjem mappen D: \\ Help. Vi vil opprette dette ved hjelp av et skript i stedet for det grafiske brukergrensesnittet:
Og her er resultatet:
Skriptet vi brukte her er Iisweb.vbs, en av flere IIS administrasjons skript tilgjengelig når du installerer IIS på Windows Server 2003. Den grunnleggende syntaksen i dette skriptet er lett å regne ut fra forrige skjermbilde, og en full syntaks kan bli funnet her
. Legg merke til at i motsetning til Web Site Creation Wizard brukt tidligere. du kan ikke bruke dette skriptet lage et nettsted med anonym tilgang deaktivert. Så hvis du ønsker å deaktivere anonym tilgang bør du gjøre det ved å åpne egenskapene ark for Help Desk nettstedet, velge fanen Directory Security, og klikke på Rediger-knappen under Autentisering og tilgangskontroll. Dette åpner Autentiseringsmetoder boks hvor du kan tømme boksen for å deaktivere Anonym tilgang og la Windows integrert autentisering som den eneste autentiseringsmetode tilgjengelig for klienter på nettverket:
Opprette en lokal Virtual Directory
La oss si at Human Resources holder sin politikk i en mappe som heter D: \\ HR Politikk på webserveren din, og du ønsker at brukere skal kunne bruke nettadressen http://172.16.11.221/policies når de trenger å få tilgang til disse retningslinjene. For å gjøre dette trenger vi å skape en virtuell katalog som assosierer /politikk delen av URL, kalt alias for den virtuelle katalogen, med den fysiske katalogen D: \\ HR Politikk hvor disse dokumenter er faktisk plassert.
La oss gjøre dette nå. Høyreklikk på HR området og velg Ny - > Virtual Directory for å starte Virtual Directory Creation Wizard. Klikk på Neste og skriv alias for den virtuelle katalogen:
Klikk på Neste, og angi den fysiske mappen på den lokale serveren for å kartlegge dette alias:
< P> Klikk på Neste, og angi tillatelser (igjen vi skal bare la Les aktivert) og avslutte veiviseren. Her er resultatet:
La oss gjøre noe lignende med en annen IIS skript som heter Iisvdir.vbs, bare vi vil opprette en /prosedyrer virtuell katalog i stedet:
Åpne IIS Manager for å vise den nye virtuelle katalogen:
Merk forskjellen på ikonene for de to virtuelle kataloger. Det er fordi når skriptet oppretter en virtuell katalog det skaper også en søknad utgangspunktet for denne katalogen, mens veiviseren ikke. Dette gjør ikke noe om, siden for nå er vi bare hosting statisk innhold i disse katalogene. For den fulle syntaksen Iisvdir.vbs se her
.
Opprette en Remote Virtual Directory
Help Desk liker å gjøre ting annerledes enn Human Resources gjør, og deres bruksanvisningen er lagret i HTML-skjemaet i aksjen \\\\ srv230 \\ helpdesk på et nettverk fil server. La oss lage en ekstern virtuell katalog i Help Desk nettsted som assosierer alias /Brukermanual med denne aksjen. Høyreklikk på Help Desk nettstedet og velg Ny - > Virtual Directory for å starte Virtual Directory Creation Wizard igjen, angi Brukermanual som alias for katalogen, og skriv inn \\\\ srv230 \\ helpdesk som UNC-banen til aksje:
Klikk på Neste og en ny skjerm vises som ber deg om å enten angi legitimasjon for å få tilgang til aksje eller bruk brukerens godkjent legitimasjon for dette formålet (vi vil bruke sistnevnte):
Klikk på Neste og Fullfør veiviseren . La oss se på resultatet:
Den Iisvdir.vbs skript kan på samme måte brukes for å lage eksterne virtuelle kataloger.
kontrollere tilgangen til et nettsted
Nå som vi har et par nettsider og virtuelle kataloger skapt, la oss se på noen administrasjonsoppgaver. Dette blir bare en kort oversikt - du kan finne en mye mer detaljert behandling av faget i min bok IIS 6 Administration (Osborne /McGraw-Hill
)
Først la oss se på. hvordan vi kan kontrollere tilgangen til våre nettsider. Det er i hovedsak fire måter du kan gjøre dette: NTFS tillatelser, web tillatelser, IP-adresse restriksjoner, og godkjenningsmetode. NTFS-tillatelser er din frontlinjen i forsvaret, men det er en generell tema som vi ikke kan dekke i detalj her. Web tillatelser er spesifisert i kategorien Hjem Directory of nettstedets egenskaper:
Som standard bare Les tillatelse er aktivert, men du kan også tillate skrivetilgang slik at brukerne kan laste opp eller endre filer på nettstedet.
Script kilde tilgang slik at brukerne kan se koden i skript (vanligvis ikke en god idé), eller Directory surfing slik at brukerne kan se en liste over filer på din side (heller ikke en god idé) . Web-tillatelser gjelde likt for alle brukere som prøver å få tilgang til nettstedet, og de er brukt før NTFS-tillatelser er brukt. Så hvis Les web tillatelse nektes men NTFS Les tillatelse er tillatt, er brukere nektet adgang til området. kan brukes
IP-adresse restriksjoner for å tillate eller nekte tilgang til nettstedet ditt ved klienter som har en bestemt IP-adresse, har en IP-adresse innenfor et område på adresser, eller har et bestemt navn DNS domene. For å konfigurere dette, velg fanen Directory Security, og klikk på Rediger-knappen under IP-adresse og domenenavn restriksjoner. Dette åpner følgende dialogboks som standard ikke begrense tilgangen til nettstedet:
Det viktigste å se etter her er at å nekte tilgang basert på domenenavn innebærer reverse DNS-oppslag hver gang klienter prøver å koble til ditt nettsted, og dette kan ha betydelig innvirkning på ytelsen til nettstedet ditt.
Den endelige måten å kontrollere tilgangen til nettsteder er å bruke godkjenningsmetodene dialogboksen vi så på tidligere:
I sammendraget, de fem godkjenningsalternativer som vises her er :
- integrert Windows-godkjenning
. Brukes hovedsakelig for nettsider på en privat intranett.- Digest autentisering
. /Svar-godkjenning ordning som bare fungerer med klienter som kjører Internet Explorer 5.0 eller senere.- Enkel godkjenning
. Eldre godkjenningen, som overfører passord over nettverket i klartekst, så bruk dette kun i forbindelse med SSL.- . NET Passport-autentisering
. Tillater brukere å benytte seg av .NET Passport for godkjenning.
Konfigurering Web Site Logging
Siden nettsider er førsteklasses mål for angripere, har du sannsynligvis vil logge treff på nettstedet ditt for å se hvem som besøker den. Som standard IIS 6 logger trafikk til alt innhold som kan ses på bunnen av kategorien Generelt i egenskapene for en nettside eller virtuell katalog:
Standard logging formatet er W3C Utvidet Log File Format, og klikke Egenskaper indikerer nye loggfiler opprettes daglig i den angitte katalogen. Det er en god idé å spesifisere at lokal tid brukes til logging trafikk da dette gjør det lettere å tolke loggene:
Nøkkelen er selvfølgelig en anmeldelse loggfilene jevnlig for å se etter mistenkelig aktivitet. IIS inkluderer ikke noe til dette formålet, men de IIS 6.0 Resource Kit Tools gjør inkluderer versjon 2.1 av Microsoft Log parser, som kan brukes for å analysere IIS logger. Du kan laste ned disse verktøyene her
.
Konfigurering Web Site omadressering
Noen ganger må du ta din nettside nede for vedlikehold, og i slike tilfeller er det en god idé å omdirigere all klient trafikk dirigert til området ditt til en alternativ side eller siden informere brukerne hva som skjer. IIS kan du omdirigere en nettside til en annen fil eller mappe på samme eller en annen nettside eller til en URL på Internett. For å konfigurere omdirigering du bruke kategorien Hjemmekatalog og velg omdirigering alternativet du vil bruke:
Stoppe og starte nettsteder
Til slutt, hvis områder blir tilgjengelige du kan må starte IIS for å få dem til å fungere igjen. Omstart IIS er en siste utvei som noen brukere som er tilkoblet blir brutt og alle data som er lagret i minnet ved IIS søknader vil bli tapt. Du kan starte IIS bruker IIS Manager ved å høyreklikke på serveren node:
Du kan også gjøre det samme fra kommandolinjen ved hjelp av iisreset kommandoen:
Type iisreset /?
for hele syntaksen til denne kommandoen. Du kan også starte og stoppe enkelte nettsteder bruker IIS Manager eller Iisweb.vbs script. Og du kan stoppe eller starte individuelle IIS tjenester ved hjelp av netto kommandoer, for eksempel net stop w3svc
vil stoppe WWW tjenester bare.
Sammendrag
I denne artikkelen har jeg forklart hvordan du oppretter og konfigurerer nettsider og virtuelle kataloger på IIS 6. Det meste av det vi har dekket også gjelder for IIS 5 på Windows 2000 som godt. I neste artikkel vil jeg i dybden opprette og konfigurere FTP-områder og implementere FTP User Isolation, en ny funksjon i Windows Server 2003. For en dypere titt på IIS 6 se min bok IIS 6 Administration (Osborne /McGraw-Hill )
.
- Digest autentisering
Anonymous tilgang
. Brukes hovedsakelig for nettsider på offentlige (Internett) webservere. - integrert Windows-godkjenning
Opprette et nettsted