IIS6.0配置说明

配置Web站点
在IIS管理控制台中右击对应的Web站点，然后选择属性，即可配置Web站点的属性，在此我仅介绍一下常用的几个配置标签：
网站
在网站标签，你可以在网站标识框修改此网站的默认HTTP标识，也可以点击高级按钮添加其他的HTTP标识和SSL标识；在连接框，你可以配置Web站点在客户端空闲多久时断开与客户端的连接，而保持HTTP连接选项有助于H TTP连接性能的提高，你应该总是启用；最后在下部你可以配置是否启用日志记录以及日志记录文件的存储路径和记录的字段。

性能
在性能标签，你可以限制网站可以使用的网络带宽和并发连接数，假如启用限制网络带宽，则勾选限制网站可以使用的网络带宽，然后输入此网站可以使用的最大带宽即可，不过IIS需要在网络适配器上安装QoS数据包计划程序；默认情况下此Web站点的并发连接数不受限制，你可以限制它可以使用的并发连接数，但是配置时请注重，设置值不应超过应用程序池所设置的核心请求队列长度。

主目录
在主目录标签，主要可以进行以下配置：
修改网站的主目录：配置为本地目录、共享目录或者重定向到其他URL地址；
修改网站访问权限：网站访问权限用于控制用户对网站的访问，IIS 6中具有以下六种网站访问权限，：
∙读取：用户和读取文件内容和属性，默认启用；
∙写入：用户可以修改目录或文件的内容；假如需要启用此权限，请在设置之前慎重考虑。

∙脚本资源访问：答应用户访问脚本文件的源代码，必须和读取或写入权限同时启用方可生效；假如需要启用此权限，请在设置之前慎重考虑。

∙目录浏览：用户可以浏览目录，从而可以看到目录中的所有文件；假如需要启用此权限，请在设置之前慎重考虑。

∙记录访问：当用户浏览此网站时进行日志记录，默认启用。

∙索引资源：答应索引服务对此资源进行索引，默认启用。

需要注重的是，网站访问权限只是完整的用户访问控制体系结构中的一部分，我将在后文介绍IIS完整的用户访问控制体系。

执行权限：执行权限用于控制此网站的程序执行级别，IIS 6中具有以下三种执行权限：
∙无：不能执行任何代码，只能访问静态内容；
∙纯脚本：只能运行脚本代码例如ASP等等，不答应执行可执行程序；∙脚本和可执行文件：答应执行所有脚本和可执行程序，假如需要启用此权限，请在设置之前慎重考虑。

应用程序池：配置此网站所使用的应用程序池；
此外，点击配置可以进入应用程序配置对话框，如下图所示：
在映射标签中，你可以配置应用程序映射，即配置由哪个Web服务扩展来处理具有对应扩展名的文件，IIS默认安装的Web服务扩展如ASP等已经自动添加了应用程序映射，因此你只需要在Web服务扩展中启用；默认情况下勾选了缓存ISAPI扩展，这样以ISAPI方式运行的Web服务扩展可以在被用户请求激活后长驻内存，从而减少加载DLL的时间，否则DLL将在运行之后被卸载。

你应该只有在非凡需要的环境下时才取消此选项，例如调试ISAPI扩展。

在选项标签有个比较重要的选项，就是启用父路径。

父路径指使用“..”相对表示当前路径的父路径的方式，由于具有安全隐患，在IIS 6中是默认禁用的，假如你的程序需要使用，则勾选此选项，不过，在启用之前，你应该检查你的应用程序，以确定不会引起安全问题。

在调试标签，同样也具有一个比较重要的选项：脚本错误的错误消息。

默认情况下当脚本执行错误时，Web站点会向客户发送具体的ASP错误信息，这点有助于Web应用程序的开发；但是在正常的网站运行中，此选项也便于入侵者获得信息，因此建议你在正常的网站运行中，设置为向客户端发送下列文本错误消息，然后输入自定义的错误消息。

文档
在文档标签，你可以配置此网站使用的默认内容文档。

默认内容文档指假如客户请求时并未指定请求的具体文件名时，例如客户访问 /，那么按照在此配置的优先级（从上到下）在对应目录下进行搜索直到找到匹配的文件为止，然后将找到的默认内容文档返回给客户。

由于搜索需要耗费系统性能和降低响应时间，因此你最好确认指定的第一个默认内容文档即存在于网站主目录中。

你可以添加和删除默认内容文档，也可以选择对应名字后点击上移、下移调整优先级。

下部的启用文档页脚功能可以让Web站点自动附件一个HTML格式的页脚到返回给客户的任何一个文档中，不过你选择的页脚文件不应是完整的HTML文件，而应仅仅是部分HTML代码。

目录安全性
在目录安全性标签，你可以配置身份验证和访问控制、IP地址和域名限制、安全通信等，
身份验证和访问控制：点击编辑弹出身份验证方法对话框，IIS 6支持五种身份验证方式，在此我仅介绍常用的三种：
∙匿名访问：注重此匿名访问和Windows中的匿名访问概念不同。

在启用匿名访问时，当客户访问此Web站点时，Web站点会使用预配置的用户账户代替客户进行身份验证，而不需要客户输入身份验证信息。

在安装IIS时，会创建一个名为IUSR_服务器名的用户账户，它属于Guests用户组，具有很少的访问权限。

默认情况下在启用匿名访问时，IIS使用此用户账户来代替客户进行身份验证；不过为了实现更高的安全性和隔离性，你可以配置为使用自定义的用户账户。

但是无论配置为使用任何账户，你都必须确定此账户具有对网站主目录的相应NTFS权限，否则客户的访问将会被拒绝。

∙基本身份验证：基本身份验证是广泛使用的工业标准身份验证方式，它访问时要求用户显式输入身份验证信息，然后通过BASE64编码传送至Web服
务器，由于没有进行加密，假如数据包被其他人捕捉则会造成身份验证信息的泄漏，因此建议你在SSL上使用基本身份验证。

集成Windows身份验证：集成Windows 身份验证在通过网络发送用户名和密码之前，先将它们进行哈希计算，因此更为安全，它在Windows系统中广泛使用。

但是非Windows系统可能不支持集成身份验证，并且不能通过代理使用集成身份验证。

IP地址和域名限制：点击编辑弹出IP地址和域名限制对话框，在此你可以限制可以访问此Web站点的IP地址范围，你可以仅答应你所添加的IP地址范围的访问，也可以答应除了所添加的IP地址范围外的其他IP地址范围的访问。

安全通信：在安全通信中你可以配置Web站点和客户端之间是否启用安全通信，我将在另行撰文介绍。

配置上传文件限制
默认情况下，在IIS 6 全局配置中答应上传的文件长度最大为4 GB，但是在Web站点级却限制了ASP应用程序上传的最大文件长度为200 KB。

假如你需要上传超过200KB的文件，则需要手动修改IIS的metabase.xml中对应W eb站点的AspMaxRequestEntityAllowed属性。

metabase.xml位于"systemroot"\system32\inetsrv目录下，用于保存II S的基本配置信息。

默认情况下IIS是不答应你直接对metabase.xml进行编辑的，你可以通过以下两种方式来实现：
∙停止IISAdmin服务后再编辑；
∙在IIS管理控制台中右击服务器名，选择属性，然后在弹出的服务器属性对话框中勾选答应直接编辑配置数据库，再点击确定即可；
然后在任何文本编辑器中打开Metabase.xml文件，修改对应Web站点的As pMaxRequestEntityAllowed属性即可，它的单位是字节。

Metabase.xml对于IIS至关重要，修改之前最好进行备份。

IIS 6 中的用户访问控制体系
在上面中给大家介绍了Web站点中的配置，可以看到具有网站访问权限、身份验证和访问控制、IP地址和域名限制等配置，它们都只是IIS 6中用户访问控制体系的一部分。

IIS 6中的用户访问控制体系是和Windows系统紧密结合的，当IIS服务器接收到客户所发送的访问请求时，它按照以下步骤进行处理：
IIS检查是否具有匹配客户访问请求的Web站点；假如没有则返回给客户400-错误请求错误信息；
∙IIS检查客户的IP地址是否在Web站点所答应访问的IP地址范围内；
假如被拒绝则IIS拒绝客户访问并返回给客户403.6-禁止访问错误信息；
∙假如Web站点配置为使用除匿名验证的其他验证方式，则提示客户提交身份验证信息，假如客户提交的身份验证信息未能通过IIS服务器的身份验证，则IIS拒绝客户访问并返回给客户401.1-未经授权错误信息；
∙IIS检查网站访问权限，假如不具有相应的网站访问权限，则IIS拒绝客户访问并返回给客户403.2-禁止访问错误信息；
∙此时，工作进程模拟客户提交的用户账户或者使用配置为匿名访问时预定义的用户账户来访问网站主目录对应路径下的资源文件，假如此资源文件存放在NTFS格式的驱动器上，则Windows系统检查该资源文件的NTFS权限，假如工作进程模拟的用户账户不具有相应的权限，则工作进程访问被系统拒绝，此时IIS返回给客户401.3-未经授权错误信息。

假如资源文件存放在FAT32格式的驱动器上则不会进行检查，因此强烈建议大家使用NTFS格式的驱动器并且将网站内容存放在除系统分区外的其他驱动器上，然后使用NTFS权限加以严格限制，这样可以带来更高的安全性。

关于IIS 6安装时的默认权限，可以参考微软的知识库文档“KB812614，Def ault permissions and user rights for IIS 6.0”。

在使用时，默认情况下不会进行用户账户的模拟，因此，所有运行的Web 应用程序访问任何资源访问均使用进程所运行的用户账户，假如你需要创建自定义帐户来运行，请参考微软技术文章如何创建自定义帐户来运行。