IIS6.0官方技术必读
如何启用 Web 服务扩展
为了更好地预防恶意用户和攻击者的攻击,在默认情况下,没有将 IIS 安装在 Microsoft® Windows® Server 2003 家族的成员上。而且,当您最初安装 IIS 时,该服务在高度安全和“锁定”的模式下安装。在默认情况下,IIS 只为静态内容提供服务 - 即,诸如 ASP、ASP.NET、服务器端的包括文件、WebDAV 发布和 FrontPage® Server Extensions 功能只有在启用时才工作。如果在安装 IIS 之后未启用该功能,IIS 将返回一个 404 错误。有关如何排解 404 错误(包括 404.2 和 404.3)、与 IIS 6.0 的新安装相关的问题或从低版本的 IIS 进行升级的详细信息,请参阅疑难解答。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
启用 Web 服务扩展
在 IIS 管理器中,单击“Web 服务扩展”文件夹。
在详细信息窗格中,选择要启用的 Web 服务扩展,然后单击“允许”。
要查看 Web 服务扩展的属性,请选择一个扩展,然后单击“属性”。
如何创建网站或 FTP 站点
IIS 在安装时会在硬盘上创建一个默认网站配置。您可以使用 \Inetpub\Wwwroot 目录发布 Web 内容,也可以创建所选的任何目录或虚拟目录。为了创建 FTP 站点,必须安装和启动文件传输协议 (FTP) 服务。默认情况下不会安装它。
使用 IIS 管理器创建网站或 FTP 站点不会创建内容,而只创建一个用于从中发布内容的目录结构和多个配置文件。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
使用默认网站
在 IIS 管理器中,展开本地计算机,展开“网站”文件夹,右键单击“默认网站”,然后单击“属性”。
在“网站”选项卡上,在“网站标识”下的“描述”框中键入网站的名称。
单击“确定”。新站点的名称出现在 IIS 管理器中。
新建网站
在 IIS 管理器中,展开本地计算机,右键单击“网站”文件夹,指向“新建”,然后单击“网站”。出现“网站创建向导”。
单击“下一步”。
在“描述”框中,键入站点的名称,然后单击“下一步”。
键入或单击站点的 IP 地址(默认值为“全部未分配”)、TCP 端口和主机头(例如,www.mysite.com),然后单击“下一步”。
在“路径”框中,键入或浏览到包含或将要包含站点内容的目录,然后单击“下一步”。
选中与要指定给用户的网站访问权限相对应的复选框,然后单击“下一步”。
单击“完成”。
要在以后更改这些设置和其他设置,请右键单击网站,然后打击“属性”。
安装 FTP 服务
从“开始”菜单,单击“控制面板”。
双击“添加或删除程序”。
单击“添加/删除 Windows 组件”。
从“组件”列表框中,单击“应用程序服务器”,然后单击“详细信息”。
从“应用程序服务器的子组件”列表框中,单击“Internet 信息服务 (IIS)”,然后单击“详细信息”。
从“Internet 信息服务的子组件”列表框中,选中“文件传输协议 (FTP) 服务”复选框。
单击“确定”两次。
单击“下一步”。您可能被提示插入 Windows Server 2003 家族光盘或输入网络安装路径。
单击“完成”,然后单击“关闭”。
注意 IIS 管理器会在安装 FTP 服务的过程中创建一个默认 FTP 站点。可使用 \Inetpub\Ftproot 目录发布内容,也可以另创建一个。
新建 FTP 站点
在 IIS 管理器中,展开本地计算机,右键单击“FTP 站点”文件夹,指向“新建”,然后单击“FTP 站点”。出现“FTP 站点创建向导”。
单击“下一步”。
在“描述”框中,键入站点的名称,然后单击“下一步”。
键入或单击站点的 IP 地址(默认值为“全部未分配”)和 TCP 端口,然后单击“下一步”。
单击所需的用户隔离选项,然后单击“下一步”。
在“路径”框中,键入或浏览到包含或将要包含共享内容的目录,然后单击“下一步”。
选中与要指定给用户的 FTP 站点访问权限相对应的复选框,然后单击“下一步”。
单击“完成”。
要在以后更改这些设置和其他设置,请右键单击 FTP 站点,然后打击“属性”。
如何创建虚拟目录
在大多数情况下,发布到网站或 FTP 站点的内容位于计算机上的根目录或主目录中,如 C:\Inetpub\Wwwroot\。但是,在某些情况下,内容会放在其他位置甚至远程计算机上。
要从主目录或根目录以外的其他目录中进行发布,可创建虚拟目录。虚拟目录不包含在主目录中,但在显示给客户浏览器时就像位于主目录中一样。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
创建虚拟目录
在 IIS 管理器中,展开“FTP 站点”文件夹,展开要向其中添加虚拟目录的 FTP 站点,右键单击要在其中创建虚拟目录的站点或文件夹,指向“新建”,然后单击“虚拟目录”。出现“虚拟目录创建向导”。
单击“下一步”。
在“别名”框中,键入虚拟目录的名称。这是用户键入的名称,应当简短且易于键入。
单击“下一步”。
在“路径”框中,键入或浏览到驻留虚拟目录的物理目录,然后单击“下一步”。
在“允许下列权限”下,选中与要指定给用户的访问权限相对应的复选框,然后单击“下一步”。
注意 出于安全目的,在选择访问权限时,请考虑只允许默认的“读取”权限。通过按照这种方式限制权限可避免恶意用户攻击网站。有关详细信息,请参阅 Windows 帮助中的保护虚拟目录和访问控制。
单击“完成”。虚拟目录在当前选定的文件夹级别下创建。
如果使用的是 NTFS 文件系统,还可以创建虚拟目录。
创建 NTFS 格式的虚拟目录
打开 Windows 资源管理器。
右键单击要成为虚拟目录的文件夹,然后单击“共享和安全”。
单击“Web 共享”选项卡。
单击“共享文件夹”。
在“别名”框中,键入虚拟目录的名称。
单击“确定”两次。
如何创建应用程序池
要点 只有在工作进程隔离模式下运行时才能使用这个 IIS 6.0 功能。
当 IIS 6.0 在工作进程隔离模式下运行时,可将 Web 应用程序组合到应用程序池中。应用程序池允许将特定配置设置应用于多个应用程序组,并允许工作进程为这些应用程序提供服务。可向应用程序池指定任何 Web 目录或虚拟目录。
通过创建新应用程序池并向它们指定网站和 Web 应用程序,可提高服务器的效率和可靠性,并使其他应用程序即使在新应用程序池终止时也总是可用。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
创建新应用程序池
在 IIS 管理器中,展开本地计算机,右键单击“应用程序池”,指向“新建”,然后单击“应用程序池”。
在“应用程序池 ID”框中,键入新应用程序池的名称。
在“应用程序池设置”下,单击“对新的应用程序池使用默认设置”或“将现有应用程序池作为模板”。
如果您选择的是“将现有应用程序池作为模板”,请从“应用程序池名称”列表框中,单击要用作模板的应用程序池。
单击“确定”。
如何创建和隔离应用程序
要创建应用程序,应将目录指定为应用程序的开始位置(应用程序根目录)。然后您可以设置应用程序的属性。每个应用程序都可以有一个好记的名称;该名称出现在 IIS 管理器中并给出了一种区分应用程序的方法。应用程序名称不在其他地方使用。
网站默认作为根目录级别的应用程序。当您创建一个网站时,同时会创建一个默认应用程序。您可以使用这个根目录级别的应用程序,也可删除它,还可通过删除它并创建一个新应用程序来替换它。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
创建应用程序
在 IIS 管理器中,展开本地计算机,右键单击作为应用程序开始位置的目录,然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“应用程序设置”部分,单击“创建”。如果看到的是“删除”按钮(而非“创建”按钮),则说明应用程序已经创建。
在“应用程序名”框中,键入应用程序的名称。
单击“确定”。
隔离应用程序表示将它们配置为在与 Web 服务器和其他应用程序不同的进程(内存空间)中运行。可在下列某种隔离模式下运行 IIS 6.0:工作进程隔离模式或 IIS 5.0 隔离模式。IIS 不能同时在这两种模式下运行。
在全新安装时,工作进程隔离模式是运行服务器的默认模式。在该模式中,可通过将应用程序添加到包括隔离设置的应用程序池中来隔离它。有关创建和配置应用程序池的详细信息,请参阅配置应用程序池。
在工作进程隔离模式中隔离应用程序
在 IIS 管理器中,展开本地计算机,展开“网站”文件夹,右键单击要隔离的应用程序,然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡(取决于应用程序)。
在“应用程序设置”部分中,在“应用程序池”列表框中,单击应用程序池。
单击“应用”,然后单击“确定”。
IIS 5.0 隔离模式允许您在 IIS 6.0 中运行为早期版本的 IIS 开发的应用程序。
在 IIS 5.0 隔离模式中隔离应用程序
在 IIS 管理器中,展开本地计算机,展开“网站”文件夹,右键单击要隔离的应用程序,然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡(取决于应用程序)。如果在列为“开始位置”目录的目录中,则“应用程序名”框已填好。
从“执行权限”列表框中,单击相应的进程选项。
单击“确定”。在创建单独的进程之前,Web 服务器将完成任何当前的对应用程序请求的处理。在对应用程序的下一个请求中,应用程序将在相应的内存空间中运行。
注意 服务器端的包括文件 (SSI) 和 Internet 数据库连接器 (IDC) 应用程序无法在 Web 服务器之外的内存空间运行。
如何获取和备份 SSL 证书
安全套接字层 (SSL) 证书包含通过网络建立标识(即称为身份验证的过程)所使用的信息。与验证的常见形式一样,证书使 Web 服务器和用户在建立连接前能够互相进行身份验证。
“服务器证书”包含关于服务器的信息,该信息允许客户在共享敏感信息之前对服务器进行确认性识别。“客户端证书”包含关于请求访问站点的客户的个人信息,可在允许其访问站点之前正确加以识别。
本主题限于获取、安装和备份服务器证书。有关获取客户端证书的信息,请参阅获取客户端证书。
有两种方式可以获取服务器证书。您可以颁发自己的证书,也可以从证书颁发机构获取证书。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用非 Administrators 组中的帐户登录到计算机,然后使用运行方式命令来以管理员身份执行该步骤。
发布自己的服务器证书
使用 Microsoft 证书服务 2.0 创建用来发布和管理证书的自定义服务。您可以为 Internet 或公司 Intranet 创建服务器证书,以便公司能够完全控制证书管理策略。有关详细信息,请参阅 Microsoft 证书服务帮助。
–或–
使用 Web 服务器证书向导请求和安装服务器证书。
从证书颁发机构获取服务器证书
查找提供可满足贵公司业务需求的服务的证书颁发机构,然后请求服务器证书。
–或–
使用 Web 服务器证书向导创建证书请求,您可以将证书请求发送到证书颁发机构。
在证书已被处理且返回给您之后,使用 Web 服务器证书向导安装证书。
保护好证书和密钥对非常重要;必须将它们备份到磁盘并保存在安全的地方。
创建服务器证书和私钥的备份副本
查找正确的证书存储。这通常是证书管理器中的本地计算机存储位置。
如果未在 Microsoft 管理控制台 (MMC) 中安装证书管理器,则需要安装它。
在个人存储位置中右键单击证书,指向“所有任务”,然后单击“导出”。
选择“是,导出私钥”。
按照向导默认的设置,当系统提示时,为证书备份文件键入一个密码。
不要选择“如果导出成功,删除密钥”,因为这将禁用当前服务器证书。
完成向导以导出服务器证书的备份副本。
如果已经在 MMC 中安装了证书管理器,它将指向正确的本地计算机证书存储位置。
将证书管理器添加到 MMC
从“开始”菜单,单击“运行”。
在“打开”框中,键入 mmc,然后单击“确定”。出现“Microsoft 管理控制台”。
在“文件”菜单上,单击“添加/删除管理单元”。
在“独立”选项卡上,单击“添加”。
从“可用的独立管理单元”列表框中,单击“证书”,然后单击“添加”。
单击“计算机帐户”选项,然后单击“下一步”。
单击“本地计算机(运行这个控制台的计算机)”选项,然后单击“完成”。
单击“关闭”,然后单击“确定”。
如何备份和还原配置数据库
IIS 管理员可使用 IIS 管理器或编程管理脚本来创建备份文件。备份文件是指配置数据库配置文件 (MetaBase.xml) 和匹配的配置数据库架构文件 (MBSchema.xml) 的副本。使用配置数据库配置的备份和还原功能,可从备份文件中还原配置数据库。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
创建安全备份(需要密码)
在 IIS 管理器中,右键单击本地计算机,指向“所有任务”,然后单击“备份/还原配置”。
单击“创建备份”。
在“配置备份名称”框中,键入备份文件的名称。
选中“使用密码加密备份”复选框,在“密码”框中键入密码,然后在“确认密码”框中键入同一个密码。
单击“确定”,然后单击“关闭”。
创建不受保护的备份(无需密码)
在 IIS 管理器中,右键单击本地计算机,指向“所有任务”,然后单击“备份/还原配置”。
单击“创建备份”。
在“配置备份名称”框中,键入备份文件的名称。
单击“确定”,然后单击“关闭”。
还原配置数据库备份
在 IIS 管理器中,右键单击本地计算机,指向“所有任务”,然后单击“备份/还原配置”。
在“备份”列表框中,单击要还原的“自动备份”文件的版本,然后单击“还原”。如果被提示输入密码,请键入所选择的用来保护备份的密码。
如何重定向网站
当浏览器请求网站上的网页或程序时,Web 服务器查找由 URL 标识的网页并将其返回到浏览器。当移动网站上的一个网页时,您无法总是更正所有引用该页上的旧 URL 的链接。为了确保浏览器能够找到位于新 URL 的网页,可以命令 Web 服务器将浏览器“重定向”到新 URL。
可以将对一个目录中文件的请求重定向到另一个目录、另一个网站或者另一个目录中的另一个文件。当浏览器请求位于原始 URL 的文件时,Web 服务器命令浏览器通过使用新 URL 请求网页。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
将请求重定向到另一个网站或目录
在 IIS 管理器中,展开本地计算机,右键单击要重定向的网站或目录,然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“此资源的内容来自”下,单击“重定向到 URL”。
在“重定向到”框中,键入目标目录或网站的 URL。例如,要将对 Catalog 目录中文件的所有请求都重定向到 NewCatalog 目录,请键入 /NewCatalog。
重定向对单个文件的所有请求
在 IIS 管理器中,展开本地计算机,右键单击要重定向的网站或目录,然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“此资源的内容来自”下,单击“重定向到 URL”。
在“重定向到”框中,键入目标文件的 URL。
选中“上面输入的准确 URL”复选框以防止 Web 服务器将原始文件名附加到目标 URL 中。
您可以在目标 URL 中使用通配符和重定向变量来准确控制如何将源 URL 转换为目标 URL。
还可以使用重定向方法将对特定目录中文件的所有请求重定向到一个程序。通常,您应该将所有参数从原始 URL 传递到该程序,这可以通过重定向变量来完成。
将请求重定向到程序
在 IIS 管理器中,展开本地计算机,右键单击要重定向的网站或目录,然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“此资源的内容来自”下,单击“重定向到 URL”。
在“重定向到”框中,键入该程序的 URL,其中包括将参数传递到该程序所需的任何重定向变量。例如,要将 Scripts 目录中所有的脚本请求重定向到日志程序中(该程序记录请求的 URL 以及与该 URL 一起传递的任何参数),请键入 /Scripts/Logger.exe?URL=$V+PARAMS=$P。$V 和 $P 是重定向变量。
选中“上面输入的准确 URL”复选框以防止 Web 服务器将原始文件名附加到目标 URL 中。
