Windows+Server+2008服务器配置及管理实战详解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图8-9 IIS 管理器
图8-10 Web 服务器安装成功
8.2.2 配置IP 地址和端口
Web 服务器安装完成以后,可以使用默认创建的Web 站点来发布Web 网站。
不过,如果服务器中绑定有多个IP 地址,就需要为Web 站点指定唯一的IP 地址及端口。
在IIS 管理器中,右击默认站点,单击快捷菜单中的“编辑绑定”命令,或者在右侧“操作”栏中单击“绑定”,显示如图8-11所示的“网站绑定”窗口。
默认端口为80,使用本地计算机中的所有IP 地址。
选择该网站,单击“编辑”按钮,显示如图8-12所示的“编辑网站绑定”窗口,在“IP 地址”下拉列表框中选择欲指定的IP 地址即可。
在“端口”文本框中可以设置Web 站点的端口号,且不能为空。
“主机名”文本框用于设置用户访问该Web 网站时的名称,当前可保留为空。
图8-11 “网站绑定”窗口
图8-12 “编辑网站绑定”窗口
注 意 使用默认值80端口时,用户访问该网站不需输入端口号,如
http://192.168.0.1或 。
但如果端口号不是80,那么访问Web 网站时就必须提
供端口号,如http://192.168.0.1:8000或:8000。
设置完成以后,单击“确定”按钮保存设置,并单击“关闭”按钮关闭即可。
此时,在IE 浏览器的地址栏中输入Web 服务器的地址,显示如图8-13所示的窗口,表示可以访问Web 网站。
168
图8-13 Web 网站
8.2.3 配置主目录
主目录也就是网站的根目录,用于保存Web 网站的网页、图片等数据,默认路径为“C:\Intepub\wwwroot ”。
但是,数据文件和操作系统放在同一磁盘分区中,会存在安全隐患,
并可能影响系统运行,因此应设置为其他磁盘或分区。
打开IIS 管理器,选择欲设置主目录
的站点,在右侧窗格的“操作”选项卡中单击“基
本设置”,显示如图8-14所示的“编辑网站”
窗口,在
“物理路径”文本框中显示的就是网站
的主目录。
在“物理路径”文本框中输入Web 站
点的新主目录路径,或者单击“浏览”按钮选择,最后单击“确定”按钮保存即可。
图8-14 “编辑网站”窗口 8.2.4 配置默认文档
用户访问网站时,通常只需输入网站域名即可,无需输入网页名,实际上此时显示的网页就是默认文档。
一般情况下,Web 网站需要至少一个默认文档,当用户使用IP 地址或域名访问且没有输入网页名时,Web 服务器就会显示默认文档的内容。
在IIS 管理器的左侧树形列表中选择默认站点,在中间窗格显示的默认站点主页中,双击“IIS ”选项区域的“默认文档”图标,显示如图8-15所示的“默认文档”列表。
有5种默认文档,分别为Default.htm 、Default.asp 、index.htm 、index.html 和iisstar.htm 。
当用户访问时,IIS 会自动按顺序由上至下依次查找与之相对应的文件名。
169
图8-15 “默认文档”列表
单击右侧“操作”任务栏中的“添加”链接,
显示如图8-16所示的“添加默认文档”窗口,在“名称”
文本框中可输入欲添加的默认文档名称。
单击“确定”按钮,即可添加该默认文档。
新添加的默认文档自动排列在最上方,如图8-17所示,
可通过单击右侧“操作”栏中的“上移”和“下移”超级链接来调整各个默认文档的顺序。
图8-16 “添加默认文档”窗口
图8-17 添加的默认文档
若要删除或禁用某个默认文档,只需选择相应的默认文档,然后单击“删除”或“禁用”超级链接即可。
8.2.5 配置访问权限和安全
默认状态下,允许所有的用户匿名连接IIS 网站,即访问时不需要使用用户名和密码登录。
不过,如果对网站的安全性要求高,或网站中有机密信息,就需要对用户限制,禁止匿名访问,而只允许特殊的用户账户才能进行访问。
170
1.禁用匿名访问
在IIS管理器中,选择欲设置身份验证的Web站点,如图8-18所示。
在站点主页窗口中,选择“身份验证”,双击,显示“身份验证”窗口。
默认情况下,“匿名身份验证”为“启用”状态,如图8-19所示。
图8-18 Web站点
图8-19 “身份验证”窗口
右击“匿名身份验证”,单击快捷菜单中的“禁用”命令,即可禁用匿名用户访问。
2.使用身份验证
在IIS 7.0的身份验证方式中,还提供基本验证、Windows身份验证和摘要身份验证。
需要注意的是,一般在禁止匿名访问时,才使用其他验证方法。
不过,在默认安装方式下,这些身份验证方法并没有安装。
可在安装过程中或者安装完成后手动选择。
在“服务器管理器”窗口中,展开“角色”节点,选择“Web服务器(IIS)”,单击“添加角色服务”,显示如图8-20所示的“选择角色服务”窗口。
在“安全性”选项区域中,可选择欲安装的身份验证方式。
图8-20 “选择角色服务”窗口
171
安装完成后,打开IIS管理器,再打开“身份验证”窗口,所经安装的身份验证方式显示在列表中,并且默认均为禁用状态,如图8-21所示。
图8-21 “身份验证”窗口
可安装的身份验证方式共有三种,区别如下。
●基本身份验证:该验证会“模仿”为一个本地用户(即实际登录到服务器的用户),
在访问Web服务器时登录。
因此,若欲以基本验证方式确认用户身份,用于基本验
证的Windows用户必须具有“本地登录”用户权限。
默认情况下,Windows主域控
制器(PDC)中的用户账户不授予“本地登录”用户的权限。
但使用基本身份验证方
法将导致密码以未加密形式在网络上传输。
蓄意破坏系统安全的人可以在身份验证过
程中使用协议分析程序破译用户和密码。
●摘要式身份验证:该验证只能在带有Windows域控制器的域中使用。
域控制器必须具有
所用密码的纯文本复件,因为必须执行散列操作并将结果与浏览器发送的散列值相比较。
●Windows身份验证:集成Windows验证是一种安全的验证形式,它也需要用户输入
用户账户和密码,但用户名和密码在通过网络发送前会经过散列处理,因此可以确保
安全性。
当启用Windows验证时,用户的浏览器通过Web服务器进行密码交换。
Windows身份验证使用Kerberos v5验证和NTLM验证。
如果在Windows域控制器上
安装了Active directory服务,并且用户的浏览器支持Kerberos v5验证协议,则使用
Kerberos v5验证,否则使用NTLM验证。
Windows身份验证优先于基本验证,但它并不提示用户输入用户名和密码,只有Windows
验证失败后,浏览器才提示用户输入其用户名和密码。
Windows身份验证非常安全,但是在通过HTTP代理连
接时,Windows身份验证不起作用,无法在代理服务器
或其他防火墙应用程序后使用。
因此,Windows身份验
证最适合企业Intranet环境。
例如,当Web服务器使用基本身份验证时,在客
户端访问该网站时,会提示如图8-22所示的“连接到图8-22 “连接到”窗口
”窗口。
在“用户名”和“密码”文本框中,输入合法的用户名及密码,单击“确定”按钮即可打开该网页。
172
3.通过IP地址限制保护网站
在IIS中,还可以通过限制IP的方式来增加网站的安全性。
通过允许或拒绝来自特定IP 地址的访问,可以有效地避免非法用户的访问。
不过,这种方式只适合于向特定用户提供Web 网站的情况。
同样,“IP地址限制”功能也需要手动安装,可在“选择角色服务”窗口中勾选“IP和域限制”复选框以进行安装。
设置允许访问的IP地址的操作步骤如下。
打开IIS管理器,选择欲限制的Web站点,双击“IPv4地址和域限制”图标,显示如图8-23所示的“IPv4地址和域限制”窗口。
在右侧“操作”任务栏中,单击“添加允许条目”链接,显示如图8-24所示的“添加允许限制规则”窗口。
如果要添加一个IP地址,可点选“特定IPv4地址”单选按钮,并输入允许访问的IP地址即可;如果要添加一个IP地址段,可点选“IPv4地址范围”单选按钮,并输入IP地址及子网掩码即可。
图8-23 “IPv4地址和域限制”窗口
图8-24 “添加允许限制规则”窗口图8-25 “添加拒绝限制规则”窗口
单击“确定”按钮,IP地址添加完成。
“拒绝访问”与“允许访问”正好相反。
通过“拒绝访问”设置将拒绝来自一个IP地址
或IP地址段的计算机访问Web站点。
不过,已
授予访问权限的计算机仍可访问。
单击“添加拒
绝条目”按钮,在打开的“添加拒绝限制规则”
窗口中,添加拒绝访问的IP地址,如图8-25所
示。
其操作步骤与“添加允许条目”中相同,这
里不再赘述。
8.2.6 配置自定义错误
有时可能会因为网络出现问题,或者因为Web服务器设置的原因,而使得用户无法正常访问Web网页。
为了能够使用户清楚地了解不能访问的原因,在Web服务器上应设置相应的反馈给用
173
户的错误页。
错误页可以是自定义的错误页,也可以是包含排除故障信息的详细错误信息。
默认情况下,IIS已经集成了一些常见的错误代码。
在“Default Web Site”主页中单击“错误页”图标,显示如图8-26所示的“错误页”窗口,显示一些常用的错误代码信息。
图8-26 “错误页”窗口
如果要更改某个错误页代码号,可右击代码名称,单击快捷菜单中的“更改状态”命令,则错误页代码号变为可改写状态,重新输入新的代码号即可。
如果要查看或修改错误页代码信息,右击一个错误页代码,在快捷菜单中单击“编辑”命令,或者在右侧“操作”栏中单击“编辑”链接,显示如图8-27所示的“编辑自定义错误页”窗口,此时即可自定义发生该错误时返回给用户的信息,以及发生该错误时所执行的操作。
●将静态文件中的内容插入错误响应中:在“文件路径”文本框中可设置当发生错误时,
返回给客户端的Web页。
如果勾选“尝试返回使用客户端语言的错误文件”复选框,可以根据客户端计算机所使用的语言不同页返回相应的错误页。
●在此网站上执行URL:选择该项后,可在“URL(相对于网站根目录)”文本框中输入
相对于网站根目录的相对路径中的错误页,如“/ErrorPages/404.aspx”。
●以302重定向响应:选择该项后,可在“绝对URL(A)”文本框中输入当发生该错误
时重定向的网站地址。
虽然IIS自带了一些错误页代码,但并不一定能满足用户的所有需要。
因此,可以自行添加一些错误页代码。
在“错误页”窗口中,单击“添加”按钮,显示如图8-28所示的“添加自定义错误页”窗口。
在“状态代码”文本框中设置一个错误页代码号,根据需要在“响应操作”选项区域中设置当发生错误时的响应操作即可。
最后,单击“确定”按钮保存设置。
图8-27 “编辑自定义错误页”窗口
图8-28 “添加自定义错误页”窗口
174
8.2.7 配置MIME类型
MIME(Multipurpose Internet Mail Extensions)即多功能Internet邮件扩充服务,这是一种保证非ASCII码文件在Internet上传播的标准,最早用于邮件系统传送图片等非ASCII的内容,如今浏览器也支持这种规范。
如果Web服务器中没有添加相应的MIME类型,则用户无法访问该类型的文件。
在IIS管理器中,选择Web站点主页,双击“MIME类型”图标,显示如图8-29所示的“MIME类型”窗口,显示了系统已经集成的MIME类型。
图8-29 “MIME类型”窗口
如果想添加新的MIME类型,可在“操作”栏
中单击“添加”链接,显示如图8-30所示的“添加MIME
类型”窗口。
在“文件名扩展名”文本框中输入欲添加的
MIME类型,如“.iso”,在“MIME类型”文本框中输入
文件扩展名所属的类型。
图8-30 “添加MIME类型”窗口
单击“确定”按钮,MIME类型添加完成。
如果还要添加其他MIME类型,可按以上步骤继续操作。
8.2.8 配置安全Web服务
为了保护Web网站的安全,防止数据在传输过程中被截获和篡改,可以在Web服务器上配置SSL(Secure Socket Layer,安全套接字层)。
SSL是一种利用证书实现数据加密的技术,HTTP协议可用来加密传输对安全比较敏感的数据和信息,实现Web服务端与Web客户端的安全通信。
而客户端访问时,则要使用“https://DNS域名或IP地址”的形式。
1.创建SSL证书
由于SSL是利用证书实现数据加密传输,因此,若要使用SSL,必须在Web服务器端创建用于SSL加密的证书。
证书包含了有关服务器的信息,服务器允许客户在共享敏感信息之前
175
对其加以积极识别,Web服务器只有安装有效服务器证书后才拥有安全通信功能。
在“Internet信息技术(IIS)管理器”窗口中选择服务器名称,在“主页”中的“IIS”区域中双击“服务器证书”图标,显示如图8-31所示的“服务器证书”窗口。
在安装IIS 7.0时,系统自动创建了一个证书,网络管理员可以直接应用该证书实现SSL,也可以导入已有证书,或者创建新证书。
这里,以创建一个自签名证书为例。
在“操作”任务栏中单击“创建自签名证书”超级链接,显示如图8-32所示的“创建证书申请”窗口。
在“为证书指定一个好记名称”文本框中为新证书设置一个名称。
图8-31 “服务器证书”窗口
图8-32 “创建自签名证书”窗口
单击“确定”按钮,自签名证书创建完成,并显示在证书列表中,如图8-33所示。
选择新创建的证书,在右侧“操作”栏中单击“查看”链接,显示如图8-34所示的“证书”窗口,可以查看该证书的名称、颁发者、颁发给、到期日期和证书哈希等详细信息,单击“确定”按钮。
图8-33 证书创建完成
图8-34 “证书”窗口
2.创建SSL网站
当SSL证书创建完成以后,即可创建HTTPS站点,并启用SSL设置。
需要注意的是,HTTPS 站点只能在创建SSL证书后创建,不能将已创建的HTTP站点更改为HTTPS站点。
176
在IIS管理器窗口的“连接”栏中,右击“网站”,在快捷菜单中单击“添加网站”命令,显示“添加网站”窗口,设置网站名称、物理路径,在“类型”下拉列表中选择“https”,在“IP地址”下拉列表中指定IP地址,“端口”使用默认的443即可;在“SSL证书”下拉列表中选择该网站欲使用的证书,如图8-35所示。
单击“确定”按钮,HTTPS网站创建完成,如图8-36所示。
图8-35 “添加网站”窗口
图8-36 HTTPS网站创建完成
在HTTPS网站主页中,双击“IIS”区域中的“SSL设置”图标,显示如图8-37所示的“SSL设置”窗口。
勾选“要求SSL”复选框,默认启用40位数据加密方法。
如果勾选“需要128位SSL”复选框,则启动128位数据加密方法。
在“客户证书”选项区域中选择三种证书接受方式,分别如下。
●忽略:系统默认设置,不接受提供客户端证书,因此安全性最低。
●接受:启用服务器端的SSL设置,并接受客户端证书(若提供),在允许客户端获得
内容访问权限之前验证客户端身份。
这里选择该项。
●必需:在接受访问之前要求用户必须提供证书,以验证客户端身份的有效性,安全性
最高。
设置完成后,在右侧“操作”栏中单击“应用”链接,应用所有设置,如图8-38所示。
图8-37 “SSL设置”窗口
图8-38 应用SSL设置
177。