Questo documento illustra il processo di installazione di un server Web IIS e la sua configurazione per fornire contenuto statico. Il contenuto statico è una pagina web (HTML) che viene consegnata all'utente non appena viene archiviata. Al contrario, il rendering del contenuto dinamico viene eseguito da un'applicazione Web come ASP.NET, un'applicazione ASP classica o un'applicazione PHP. Il contenuto statico mostra le stesse informazioni per tutti gli utenti; il contenuto dinamico può visualizzare informazioni su un utente specifico, come il nome dell'utente.

Static Content Web Server è la configurazione IIS più semplice per supportare i siti Web HTML. Un server Web con contenuto statico può essere utilizzato per ospitare siti Web interni o esterni (pubblici). L'installazione di IIS 8 installa per impostazione predefinita tutti i moduli IIS necessari per supportare i server Web con contenuto statico. L'installazione predefinita include la capacità di servire file HTML statici, documenti e immagini. IIS 8 supporta l'utilizzo di documenti predefiniti, l'esplorazione di directory, la registrazione e l'accesso anonimo per un server con contenuto statico.

Per aumentare la sicurezza del tuo server web, configura il filtro delle richieste. Vedere l'articolo per le istruzioni.

Innanzitutto, dai un'occhiata allo snap-in IIS Microsoft Management Console (MMC). Aprire IIS MMC scegliendo Start\Strumenti di amministrazione\Gestione Internet Information Services (IIS). MMC configura tutti i componenti IIS installati. È possibile configurare i siti Web nella cartella Siti Web nel riquadro sinistro della console. Quando apri questa cartella, nella parte sinistra della finestra viene visualizzato un elenco di tutti i siti Web di questo server e nella parte destra vengono visualizzate le informazioni di base su ciascuno di essi (vedi Fig. 2.1).

Porta SSL(porta SSL). Specifica la porta su cui il sito Web riceve i dati Secure Sockets Layer. SSL consente di crittografare e/o autenticare i dati mentre viaggiano tra un client e un server (vedi Lezione 10).

Come nel caso precedente, quando si modifica la 443 predefinita di questa porta, i client devono aggiungere il numero di porta all'URL per aprire il sito Web. Ad esempio, se cambi il numero di porta in 1543, i client devono inserire https://www.beerbrewers.com:1543 invece di https://www.beerbrewers.com per accedere al sito.

Avanzato (opzionale)

Facendo clic sul pulsante Avanzate si apre la finestra Configurazione avanzata del sito Web, che configura indirizzi e ID aggiuntivi. Identificatori aggiuntivi consentono agli utenti di accedere a un sito a più indirizzi. Questo approccio è utile se si desidera indirizzare gli utenti che immettono l'URL di un sito a un altro sito sullo stesso computer senza utilizzare DNS (Domain Name System). (Per ulteriori informazioni, vedere il capitolo 8.) La finestra Configurazione avanzata del sito Web specifica i nomi delle intestazioni host in modo che più siti Web possano utilizzare lo stesso indirizzo IP e la stessa porta.

Informazioni sulle intestazioni dei nodi... Le intestazioni host consentono di distinguere un indirizzo di sito Web da un altro. Di solito servono a configurare diversi siti Web per utilizzare lo stesso indirizzo IP e la stessa porta. L'intestazione host è il nome DNS completo che inserisci nella barra degli indirizzi del tuo browser per aprire il sito. Le intestazioni host consentono di conservare lo spazio degli indirizzi pur avendo un indirizzo IP disponibile. Quando la pagina viene richiesta da un browser Web HTTP 1.1, la prima parte della richiesta ha questo aspetto.

GET./.HTTP/1.1 Accetta: .image / gif, .image / xxbitmap ,. image / jpeg, .image / pjpeg, .application / vnd.mspowerpoint ,. application / vnd.ms-excel, .application / msword,. * / * Accept-Language: .en-us..Accept-Encoding: .gzip, .deflate .. Use61 r-agent: .Mozilla / 4.0. (compatibile ; .MSIE.6.0; .Windows.NT.5.2) Host: www.mywebsite.com

Il pezzo di codice dopo Host è il nome dell'intestazione host - www.mywebsite.com. IIS lo utilizza per inviare un messaggio al sito Web appropriato.

I nomi delle intestazioni host sono apparsi per la prima volta nel protocollo HTTP 1.1 e tutti i browser compatibili con HTTP 1.1 funzionano con essi. I browser meno recenti non trasmettono l'intestazione host e navigano sempre al sito Web predefinito per qualsiasi indirizzo IP.

Consigli... Per supportare i browser meno recenti, puoi creare una pagina di indirizzi IP predefinita che elenchi i siti Web e utilizzare i cookie per indirizzare i clienti a tali siti. Internet Explorer versione 4 e Netscape versione 3 e successive supportano le intestazioni host, quindi non ci soffermeremo su questo punto. Per ulteriori informazioni sul supporto per le versioni precedenti del browser, visitare il sito Web di Microsoft.

Nota... I nomi delle intestazioni host fanno parte del protocollo HTTP 1.1 e non possono essere utilizzati su FTP, posta e siti di notizie in IIS. Quando si creano più siti sullo stesso server, è necessario ottenere più indirizzi IP o utilizzare porte diverse. Anche le intestazioni host non sono disponibili quando si utilizza Secure Socket Layer (SSL) perché l'intestazione si trova nella richiesta crittografata.

Aggiunta di un'identità aggiuntiva... È possibile assegnare più indirizzi allo stesso sito web. Il sito risponderà alle richieste pervenute per ogni singolo indirizzo e per tutte in una volta. Ogni indirizzo associato a un sito Web è chiamato identità. Per creare un'identità aggiuntiva per il sito Web, fare clic sul pulsante Aggiungi nella sezione Identificazione sito Web della scheda Sito Web. Si apre la finestra di dialogo Identificazione avanzata del sito Web (vedere la Figura 2.3).

Riso. 2.3. Finestra di dialogo Identificazione avanzata del sito Web

Ogni identità deve essere univoca e utilizzare uno dei tre indirizzi (indirizzo IP, porta TCP o valore dell'intestazione host). Immettere un indirizzo IP, una porta o un nome di intestazione dell'host validi. Come per il campo Indirizzo IP nella scheda Sito Web, il sistema non verifica questo indirizzo sul computer, quindi inserisci un indirizzo valido. Tieni presente che sarà di scarsa utilità se il tuo sito non può essere trovato all'indirizzo specificato in futuro.

Rimozione di identificatori identici... Per rimuovere un'identità, evidenziala e fai clic sul pulsante Rimuovi. Non è possibile eliminare tutti gli identificatori di sito identici in questa finestra, quindi il pulsante OK sarà disattivato.

Modificare le identità... Per modificare l'identità, evidenziala e fai clic sul pulsante Modifica.

Assegnazione di ID SSL identici... È possibile assegnare più identità SSL a un sito Web. Poiché SSL è privo di intestazioni host, cambiano solo l'indirizzo IP e il numero di porta. Se il sito non ha un certificato installato, tutte le opzioni per identificatori SSL identici saranno disabilitate.

Aggiunta di identificatori SSL identici... Fare clic sul pulsante Aggiungi per aggiungere un ID SSL aggiuntivo al sito web. È possibile aggiungere più identificatori; ricorda solo che i certificati SSL si basano sul nome del sito, non sull'indirizzo IP. Qualsiasi indirizzo IP fornito deve essere elaborato tramite un nome DNS. Se si tenta di accedere tramite l'indirizzo IP, il sito non sarà disponibile.

Rimozione di identificatori SSL identici... Per rimuovere un'identità SSL da un sito Web, evidenziala e fai clic sul pulsante Rimuovi. Non è possibile rimuovere tutti gli identificatori SSL identici.

Modifica degli identificatori SSL di identità... Per modificare l'identità SSL di un sito web, evidenzialo e fai clic sul pulsante Modifica.

Limite di tempo di connessione

L'impostazione Timeout connessione nella scheda Sito Web specifica il periodo di tempo, in secondi, durante il quale il server mantiene una connessione aperta per il client. In genere, il browser invia una richiesta al server per mantenere aperta la connessione. Questo processo si chiama supporto per la connessione HTTP(mantenere in vita). Il client utilizza una connessione aperta per più richieste e né il client né il server devono ristabilire la connessione per ciascuna richiesta. Ciò migliora notevolmente le prestazioni, soprattutto per le connessioni a bassa velocità. Al completamento delle richieste, il client informa il server che la connessione può essere chiusa e le risorse che occupa possono essere liberate.

Diciamo che il client non ha chiuso la connessione per qualche motivo. Rimarrà aperto a tempo indeterminato a meno che tu non dica al server di chiuderlo. Il valore di Timeout connessione serve solo per impostare questo intervallo di tempo.

Abilitazione della funzione di supporto della connessione HTTP

L'opzione Abilita HTTP Keep-Alives è abilitata per impostazione predefinita, il che consente al server di accettare richieste HTTP keep-alive dai clienti. La disabilitazione di questa opzione riduce drasticamente le prestazioni sia del client che del server.

Abilitazione del registro

Per impostazione predefinita, i siti Web hanno la registrazione abilitata. Il tipo di registro standard è File di registro esteso W3C. Nella finestra è possibile disattivare o modificare il tipo di registrazione. La registrazione è trattata in dettaglio nel Capitolo 11.

La scheda Prestazioni della finestra Proprietà sito Web (vedere la Figura 2.4) configura la gestione della larghezza di banda e il numero di connessioni al sito.

Riso. 2.4.

Gestione della larghezza di banda

Il parametro Bandwidth Throttling regola la larghezza di banda massima di comunicazione (Kbps). L'impostazione richiede l'Utilità di pianificazione pacchetti di Windows (QOS - applicazione Quality Of Service) per determinare se il pacchetto può essere inviato sulla rete. Il programma mette in coda i dati e li invia in rete alla velocità specificata. IIS installerà automaticamente Windows Packet Scheduler dopo aver impostato la larghezza di banda massima e aver fatto clic su OK.

Quando si configura questo parametro, ricordare che la larghezza di banda del canale di comunicazione della rete locale è 10, 100 o 1000 Mb / se la velocità di Internet, di regola, è molto più bassa. Ad esempio, un collegamento T1 completo è 1,544 Mbps. Se l'impostazione predefinita accettata è 1024K, sarà molto più veloce della velocità del collegamento T1.

Nota... 1 byte è uguale a 8 bit. 1 Kilobyte è uguale a 8192 bit.

Connessioni al sito web

I pulsanti di opzione Connessioni al sito Web consentono di configurare il numero di connessioni client per un determinato sito. L'impostazione predefinita è Illimitato. Se si seleziona Connessioni limitate a, specificare un numero qualsiasi di connessioni compreso tra 0 e 2.000.000.000.

Scheda Filtri ISAPI

Nella scheda Filtri ISAPI (vedi Figura 2.5), puoi aggiungere filtri ISAPI per il tuo sito. Tutto il traffico HTTP diretto al sito verrà passato ai filtri ISAPI nell'ordine qui specificato. Un'estensione ISAPI si applica solo all'estensione a cui è associata e il filtro ISAPI si applica a tutto il traffico del sito. Ciò può causare una riduzione significativa delle prestazioni del sito, soprattutto se il filtro ISAPI è scritto in modo errato e può sprecare risorse di memoria. (Per maggiori informazioni sulla tecnologia ISAPI, vedere la Lezione 5 del corso Programmazione in IIS.)

Riso. 2.5.

Il filtro ISAPI è in uno stato specifico. Una freccia rossa rivolta verso il basso indica che il filtro è attualmente disabilitato. Una freccia verde che punta verso l'alto indica che il filtro è attivo.

Aggiunta di un filtro ISAPI

Per aggiungere un filtro ISAPI, fare clic sul pulsante Aggiungi, assegnare un nome al filtro e quindi selezionare il file eseguibile che filtrerà il traffico. Il nome del filtro dovrebbe essere intuitivo e facile da usare.

Rimozione del filtro ISAPI

Per rimuovere un filtro ISAPI, evidenziare il filtro e fare clic sul pulsante Rimuovi.

Modifica del filtro ISAPI

Per modificare un filtro ISAPI, evidenziare il filtro e fare clic sul pulsante Modifica. Tieni presente che puoi modificare solo il file eseguibile indicato dal filtro. Il nome del filtro non può essere modificato.

Abilitare e disabilitare il filtro ISAPI

Se un filtro è attualmente attivo, può essere disabilitato evidenziando il nome del filtro e facendo clic sul pulsante Disabilita. Se un filtro è attualmente disabilitato, può essere abilitato evidenziando il nome del filtro e facendo clic sul pulsante Abilita. La disabilitazione di un filtro consente di metterne in pausa l'operazione senza rimuoverlo dall'elenco dei filtri.

Modifica dell'ordine di esecuzione

Quando vengono utilizzati più filtri ISAPI, di solito vengono eseguiti in un ordine specifico. Questo ordine è impostato in questa finestra. Per aumentare la priorità di un filtro nell'elenco, evidenziare il suo nome e fare clic sul pulsante Sposta in alto. Per abbassare la priorità di un filtro nell'elenco, evidenziare il suo nome e fare clic sul pulsante Sposta giù.

La scheda Home Directory (vedi Figura 2.6) indica la posizione di questo sito e come elabora i dati.

Puntare IIS alla posizione del contenuto del sito

Per puntare IIS alla posizione del contenuto del sito, selezionare il pulsante di opzione appropriato.

Una directory situata su questo computer... Selezionare questa opzione, quindi nel campo Percorso locale, specificare qualsiasi unità logica e directory in cui si trova il contenuto del sito. Il pulsante Sfoglia ti aiuterà a navigare nella directory desiderata o a inserire un percorso in un campo.

Riso. 2.6.

Una condivisione situata su un altro computer... Selezionando questa opzione cambierà il testo nella scheda Home Directory. La casella di testo Percorso locale sarà denominata Directory di rete e il pulsante Sfoglia sarà Connetti come. Immettere il percorso secondo l'Universal Naming Convention (UNC) come \\ ServerName \ LocationName. Fare clic sul pulsante Connetti come e impostare il nome utente e la password utilizzati da IIS per connettersi alla posizione specificata nella finestra di dialogo Credenziali di sicurezza directory di rete. Se il server non è registrato con il sistema, non dispone di un token di accesso alle condivisioni di rete. E il nome utente e la password inseriti consentiranno a IIS di autenticarsi.

IIS può utilizzare il nome utente e la password forniti dal client durante l'autenticazione al sito. A tale scopo, selezionare l'opzione Usa sempre le credenziali dell'utente autenticato durante la convalida dell'accesso alla directory di rete nella finestra di dialogo Credenziali di sicurezza della directory di rete. Se all'utente non è consentito l'accesso alla risorsa di rete remota, non avrà accesso alle risorse IIS.

Reindirizza all'URL... Quando si seleziona un'opzione, viene visualizzata la casella di testo Reindirizza a. Specifica l'URL a cui andranno i client quando si connettono a questa risorsa. Seleziona una delle opzioni.

• L'URL esatto inserito sopra(URL esatto sopra). Reindirizza il client all'URL specificato nel campo Reindirizza a. Il campo deve contenere un URL completo e valido.
• Una directory sotto l'URL inserito(La cartella sotto l'URL specificato). Reindirizza il client a una cartella figlio nella directory padre specificata dal client nel browser. Se selezioni questa opzione, inserisci semplicemente il nome della sottodirectory, preceduto da una barra (/).
• Un reindirizzamento permanente per questa risorsa(Reindirizzamento permanente a questa risorsa). Utilizzato quando si sposta un sito da un URL a un altro. Invia il messaggio "HTTP 301 Permanent Redirect" al client. Alcuni clienti aggiornano automaticamente i propri segnalibri dopo aver ricevuto questo messaggio.

Opzioni della directory principale

Selezionando i pulsanti di opzione Una directory situata su questo computer o Una condivisione situata su un altro computer è possibile accedere alle opzioni seguenti. Ricorda che IIS è basato su file system, quindi l'utente autenticato (o anonimo) deve disporre dei diritti appropriati quando lavora con le autorizzazioni.

Opzione di accesso all'origine dello script(Accesso ai codici sorgente degli script). Se abilitati, i client ottengono l'accesso al codice sorgente dello script (Active Server Pages, ASP) impostando le autorizzazioni di lettura/scrittura appropriate. Poiché gli script vengono elaborati sul lato server, non concedere al client l'accesso al codice sorgente e lasciare l'opzione disabilitata.

Opzione di lettura(Lettura). Quando questa opzione è abilitata, i client hanno il permesso di leggere i file. Se i client stanno lavorando con contenuti Web sul sito Web, si consiglia di abilitare questa opzione. L'opzione Lettura è disabilitata se i client possono caricare file con permesso di scrittura ed escludere la lettura dei file caricati (vedi nota tecnica correlata).

Opzione di scrittura(Registrazione). Se abilitati, i client con browser HTTP 1.1 che supportano la funzione PUT possono caricare file in questa directory.

Un avvertimento... Se gli utenti sono autorizzati a leggere e scrivere file nella directory, chiunque può caricare il file e quindi eseguirlo. Quando abiliti gli script, questi vengono eseguiti sul server, quindi un utente malintenzionato potrebbe caricare un file ASP dannoso, eseguirlo e danneggiare il server.

Opzione di navigazione nella directory(Sfoglia directory). Quando questa opzione è abilitata, ai client viene concesso il permesso di esplorare le directory e quindi tutti i suoi file. Se esiste una pagina predefinita, verrà mostrata al client. In caso contrario, il client vedrà un elenco di tutti i file e le directory, ad eccezione di quelli virtuali, poiché non sono nel file system. L'abilitazione di questa opzione comporta un rischio per la sicurezza, poiché qualsiasi utente può visualizzare la struttura dei file del sito.

Opzione registro visite(Tenere un registro delle visite). Se abilitato, tutte le visite a questa directory vengono registrate se IIS sta registrando.

Indicizza questa opzione di risorsa(Indicizza questa risorsa). Se abilitato, il catalogo verrà indicizzato dal servizio di indicizzazione Microsoft, se installato e abilitato.

Opzioni dell'applicazione

Nella sezione Impostazioni applicazione, è possibile configurare le impostazioni dell'applicazione per definirne i confini. Quando crei un'applicazione, puoi specificare che venga eseguita nel pool di applicazioni che crei. Ciò consente di separare le applicazioni l'una dall'altra e personalizzare i flussi di lavoro per gestire applicazioni, script o contenuti problematici che si desidera isolare.

Nome dell'applicazione(Nome dell'applicazione). Specifica il nome dell'applicazione da creare. Se la casella di testo è in grigio e il pulsante Crea è disponibile, l'applicazione non è stata ancora creata. Se il pulsante Rimuovi è disponibile, viene definita un'applicazione per questa directory e il suo nome viene visualizzato nella casella di testo Nome applicazione.

Permessi di esecuzione(Autorizzazioni di esecuzione). Imposta il tipo di contenuto consentito su questo sito.

• Nessuno(No). L'impostazione predefinita per IIS è 6. Ciò rappresenta una modifica significativa alla configurazione IIS predefinita. Le versioni precedenti consentivano l'esecuzione di script (come ASP) con un'installazione IIS standard. Ciò ha causato problemi, soprattutto perché IIS è stato installato per impostazione predefinita quando è stato installato Windows e quindi Windows è stato configurato sia per eseguire IIS che per eseguire script IIS. La disabilitazione degli script in un'installazione standard ora fornisce la configurazione IIS più sicura per impostazione predefinita.
• Solo script(Solo script). Consente l'esecuzione di script ASP sul sito. Questa opzione dovrebbe essere abilitata solo quando necessario, poiché consente l'esecuzione di qualsiasi tipo di script.
• Script ed eseguibili(Script ed eseguibili). Consente l'esecuzione di script e file eseguibili sul sito. La categoria degli eseguibili include file (.exe), librerie a collegamento dinamico (.dll) e script di interfaccia gateway comune (.cgi). Questa opzione dovrebbe essere abilitata solo quando necessario, poiché consente l'accesso a file di qualsiasi tipo e consente loro di eseguirli.

Un avvertimento... Assicurati che le autorizzazioni Scrivi NTFS e Scrivi IIS siano disabilitate nelle directory che non sono impostate su Nessuno nelle autorizzazioni di esecuzione.

Pool di applicazioni(Pool di applicazioni). Serve a specificare in quale pool di applicazioni verrà eseguito il contenuto del sito. Questo elenco è popolato con i dati dei pool di applicazioni creati in IIS MMC. Il campo sarà oscurato se non è stata ancora definita alcuna applicazione per la home directory.

Scaricare

Il pulsante Scarica scarica l'applicazione in modalità sandbox dalla memoria. Se l'applicazione viene caricata in memoria e viene apportata una modifica alla configurazione, è necessario scaricarla affinché la modifica abbia effetto. Se il pulsante non è disponibile, significa che l'applicazione non è caricata in memoria o non sei nella directory di avvio dell'applicazione.

Configurazione

Il pulsante Configurazione modifica le impostazioni di configurazione dell'applicazione per la directory. Nella finestra Configurazione Applicazione che compare (vedi Figura 2.7), è possibile configurare alcuni parametri per l'interazione della home directory con script e contenuto eseguibile.

Riso. 2.7.

La finestra Configurazione applicazione contiene le seguenti schede.

Scheda Mappature(Tipi di file). Specifica l'associazione delle estensioni di file con le DLL ISAPI. Per impostazione predefinita, vengono specificate tutte le librerie ASP (.asa, .asp, .cdx, .cer), i connettori di database (.idc) e le inclusioni di backend (.shtm, .shtml, .stm). Quando arriva una richiesta, questo elenco viene utilizzato per capire a quale DLL passare il contenuto, a seconda dell'estensione del file richiesto.

Quando l'opzione Cache ISAPI Extensions è abilitata, le DLL ISAPI vengono memorizzate nella cache e IIS elabora le richieste per le estensioni associate senza ricaricare la DLL. Ciò migliora le prestazioni della maggior parte delle applicazioni ISAPI, incluso ASP. L'opzione è abilitata per impostazione predefinita e si consiglia vivamente di non disabilitarla. Se disabilitato, IIS caricherà ASP.DLL e creerà oggetti di stato dell'applicazione e della sessione ogni volta che viene richiesta una pagina ASP. Dopo aver elaborato la richiesta, IIS scarica immediatamente ASP.DLL. Se il client richiede una pagina ASP durante lo scaricamento dell'applicazione, potrebbe verificarsi un errore. Di norma, l'opzione è disabilitata solo durante il test del codice ISAPI.DLL, ogni volta che è necessario un riavvio.

È possibile aggiungere le proprie librerie ISAPI.DLL e assegnare loro dei collegamenti. Segui questi passaggi per aggiungere e configurare una DLL.

1. Fare clic sul pulsante Aggiungi. Viene visualizzata la finestra di dialogo Aggiungi/modifica mappatura estensione applicazione.
2. Inserisci il nome del file eseguibile (o cercalo) che elaborerà il contenuto.
3. Immettere un nome per l'estensione. Non è necessario mettere un periodo prima della proroga.
4. Specificare se passare solo determinati comandi HTTP all'applicazione o tutti. Per limitare il set di comandi, inserisci i comandi consentiti, separati da virgole.
5. Lascia il motore di script e Verifica che il file esista selezionato a meno che non vi sia alcun motivo per disabilitarli. Successivamente, ti parleremo del loro scopo.

Limitazione dei verbi HTTP(Limita i comandi HTTP). I client HTTP utilizzano i comandi per richiedere le azioni del server. Questi comandi (metodi) sono definiti nella specifica W3C per HTTP. I metodi più comuni sono GET, HEAD, POST e TRACE, sebbene vengano utilizzati anche PUT e DELETE. Si consiglia di limitare il set di comandi per ridurre la vulnerabilità agli attacchi. Ad esempio, il collegamento ai file ASP limita il set ai comandi GET, HEAD, POST e TRACE. Se c'è una restrizione, solo i comandi nell'elenco verranno inviati all'applicazione per l'elaborazione.

1. • Motore di script(Macchina per script). L'opzione è abilitata per impostazione predefinita. In questo caso, IIS tratterà il contenuto come uno script anziché come un file eseguibile, il che impedisce l'inclusione dei permessi di esecuzione nella directory perché gli script sono collegati all'interprete.
   • Verifica che il file esista(Verifica dell'esistenza del file). Quando questa opzione è abilitata, IIS verifica la presenza del file di script e l'autorizzazione dell'utente a lavorare sul file prima di inviarlo all'interprete. Poiché ogni script viene aperto due volte (una per il test e una per la lettura e l'invio di script alla macchina), l'abilitazione di questa opzione porta a una diminuzione delle prestazioni. In IIS 5, l'opzione è disabilitata per impostazione predefinita e, come molte altre opzioni, è disabilitata in IIS 6 per motivi di sicurezza.

Nota... Anche quando si collegano e si abilitano le estensioni ISAPI, potrebbero non funzionare a meno che l'opzione Solo script non sia selezionata nelle autorizzazioni della directory principale. In questo caso, abilitare l'autorizzazione Script ed eseguibili per elaborare correttamente il contenuto.

Per modificare l'associazione di un'applicazione con un'estensione, evidenziare l'estensione e fare clic sul pulsante Modifica. Apparirà la stessa finestra come dopo aver fatto clic sul pulsante Aggiungi, con opzioni identiche.

Per rimuovere un'applicazione da un'estensione, seleziona l'estensione e fai clic sul pulsante Rimuovi, quindi conferma la rimozione.

Il carattere jolly viene utilizzato quando si collega un'applicazione ISAPI a tutte le estensioni di file. La domanda è perché non basta applicare un filtro ISAPI. Esistono alcune differenze tra un filtro ISAPI e la comunicazione dell'applicazione che utilizza un carattere jolly. A livello di amministrazione, i filtri ISAPI vengono applicati all'intero sito Web nel suo insieme e le estensioni ISAPI vengono configurate in base alla directory. La sottodirectory eredita i collegamenti di gruppo con estensioni dalla directory principale, a meno che non ne contenga una propria (nel qual caso i collegamenti principali vengono ignorati).

Fare clic sul pulsante Inserisci per aggiungere un collegamento all'applicazione. Quindi inserisci il nome del file eseguibile (o cercalo) per elaborare il contenuto. L'opzione Verifica l'esistenza del file funziona come per i collegamenti alle estensioni ed è una misura di sicurezza.

Per modificare l'associazione dell'applicazione, evidenziare l'estensione e fare clic sul pulsante Modifica. Viene visualizzata la finestra Aggiungi con opzioni simili.

Per rimuovere il collegamento di un'applicazione, evidenziare l'estensione e fare clic sul pulsante Rimuovi, quindi confermare la rimozione.

I pulsanti Sposta su e Sposta giù impostano la priorità di comunicazione delle applicazioni ISAPI. Le richieste verranno inoltrate tramite i link applicativi specificati nell'ordine qui specificato.

Scheda Opzioni(Opzioni). La scheda Opzioni (vedi Fig. 2.8) viene utilizzata per impostare la configurazione dell'applicazione, la macchina per gli script e determinare come supportare le sessioni.

L'opzione Enable Session State configura ASP per creare una sessione lato server per ogni sessione client sul server. Questo approccio è applicabile solo agli scenari ASP regolari perché lo stato della sessione è configurato nel file web.config per le applicazioni ASP.NET. La sessione memorizza i dati sull'utente, che vanno a ogni pagina che visita. Nel programma, questi dati sono memorizzati in variabili nell'oggetto sessione. Le variabili di sessione possono occupare una quantità significativa di memoria, quindi non è consigliabile utilizzarle in grandi quantità su siti con livelli di traffico elevati per non degradare le prestazioni.

Il parametro Session Timeout specifica il periodo di tempo durante il quale la sessione è inattiva prima di essere chiusa. Immettere un valore compreso tra 1 e 2.000.000.000 di minuti. Chissà, potresti aver bisogno della variabile di sessione tra 3800 anni.

Riso. 2.8.

Consigli... Prenditi il ​​tuo tempo usando gli stati di sessione se stai lavorando con un framework web ASP o usando il riciclo del flusso di lavoro. In un framework web ASP, quando si connette a un sito web, un utente può finire ogni volta su un server diverso. Poiché lo stato della sessione viene creato su un server diverso (non dove l'utente è attualmente connesso), le informazioni sullo stato della sessione vengono perse. Ciò accade anche quando si ricicla un flusso di lavoro che contiene informazioni sulla sessione. Di conseguenza, si consiglia di disattivare l'utilizzo dello stato della sessione o di utilizzare ASP.NET.

Selezionare la casella di controllo Abilita buffering per configurare il server per memorizzare nella cache tutto il contenuto dello script ASP di output prima di inviarlo al browser. L'opzione invia l'output una volta invece che riga per riga. Tuttavia, nel caso di elaborazione di uno script di grandi dimensioni, è necessario visualizzare la pagina immediatamente dopo l'elaborazione del contenuto, quindi questa opzione dovrebbe essere disabilitata.

I percorsi padre consentono di collegarsi alle directory utilizzando nomi di percorso relativi nel codice ASP. Il percorso dello script nella directory padre è indicato da due punti (".."). Questo si applica solo al contenuto dinamico come i file di inclusione. È possibile accedere al contenuto statico utilizzando percorsi relativi. L'opzione Abilita percorsi padre è disabilitata per impostazione predefinita per motivi di sicurezza, poiché il contenuto dinamico può essere eseguito sulla stessa pagina senza specificare una struttura di directory per navigare nella posizione desiderata.

Nota... In IIS 6, i percorsi padre sono disabilitati per impostazione predefinita. Se nel codice sono presenti percorsi relativi e questo codice è stato precedentemente eseguito in IIS 5, è necessario modificare il codice o selezionare l'opzione Abilita percorsi padre in modo che il contenuto dinamico venga eseguito in IIS 6.

L'opzione Lingua ASP predefinita specifica la lingua che elabora il contenuto degli script. Il contenuto degli script è indicato da tag<% и %>... IIS 6 viene fornito con due linguaggi: Microsoft Visual Basic Scripting Edition (predefinito) e Microsoft JScript. Installa qualsiasi macchina di scripting ActiveX per interpretare il contenuto del sito.

Timeout script ASP specifica il tempo massimo per l'esecuzione di uno script. Se l'opzione è disabilitata, uno script scritto in modo analfabeta può essere eseguito indefinitamente e causare problemi sul server. Trascorso il tempo specificato, lo script si interrompe e il contenuto elaborato viene inviato al browser con un messaggio di errore che indica che è stato raggiunto il limite di tempo. Specifica un intervallo da 1 a 2.000.000.000 s (ovvero 63 anni!).

L'opzione Abilita assembly affiancati consente all'applicazione ASP di eseguire codice in una versione specifica dell'applicazione. Puoi installare l'ultima versione della tua applicazione sul server, ma eseguire codice specifico in una DLL o EXE precedente. Per personalizzare il controllo delle versioni, creare un file manifest (file XML) contenente le informazioni su configurazione, posizione e registrazione COM. Dirà a IIS il componente corretto da usare. Aggiungi un file manifest a ciascuna directory virtuale utilizzando una versione diversa del collegamento.

Scheda Debug(Debug). La scheda Debug della finestra Configurazione applicazione (vedere la Figura 2.9) consente di risolvere i problemi di test del codice di script ASP. Quando abilitato, IIS utilizza Microsoft Script Debugger per esaminare il codice. IIS è configurato per eseguire il debug di script sia lato server che lato client. L'abilitazione dello scripting lato server ha un impatto negativo sulle prestazioni, quindi utilizzalo solo quando necessario. È possibile personalizzare il messaggio inviato ai client quando si verifica un errore in uno script.

Riso. 2.9.

• Abilita il debug degli script lato server ASP(Abilita il debug degli script di backend). L'abilitazione dell'opzione configurerà IIS per l'utilizzo di un debugger di script per ispezionare il codice durante l'elaborazione.
• Abilita il debug degli script lato client ASP(Abilita il debug degli script lato client). L'abilitazione di questa opzione consentirà il debug delle pagine ASP utilizzando Microsoft ScriptDebugger sul lato client. Quando si verifica un errore, il client riceverà un messaggio che chiede se eseguire il debug dell'errore.
• Invia messaggi di errore ASP dettagliati al cliente(Inviare messaggi di errore dettagliati al cliente). L'opzione predefinita invia un messaggio di errore standard con il nome del file e il relativo percorso, un messaggio di errore specifico e il numero di riga in cui si è verificato l'errore. Ciò consente ai client di accedere a informazioni dettagliate sulle impostazioni del sito, quindi ha senso inviare altri messaggi di errore per motivi di sicurezza.
• Invia il seguente messaggio di errore di testo al cliente(Inviare il seguente messaggio di testo di errore al client). Seleziona questa opzione e inserisci il testo del tuo messaggio da inviare al client quando si verifica un errore nello script ASP. Ad esempio, inserisci un messaggio con un indirizzo email a cui il cliente può inviare una segnalazione di bug.

Crea layout di versioni adiacenti

Creiamo un file manifest che consenta all'applicazione di utilizzare una versione precedente della DLL. È l'oggetto chiave quando si collegano versioni vicine, quindi iniziamo con esso. Fornisce informazioni a IIS sull'interfaccia utente grafica da utilizzare per l'oggetto COM caricato. Chiamiamo il nostro file Myapp.xml; deve essere posizionato in ogni directory virtuale che utilizza questa DLL.

Ora dobbiamo istruire IIS a utilizzare il collegamento delle versioni vicine. Nella scheda Opzioni, seleziona l'opzione Abilita assiemi affiancati. Quindi inserisci Myapp.xml nel campo Nome file manifest. Il nostro file manifest si trova nella stessa directory, quindi viene specificato solo il nome del file.

La finestra Proprietà del sito Web ha un'altra scheda, Documenti (vedere la Figura 2.10). Configura le pagine del sito Web standard e il piè di pagina che viene posizionato su ciascuna pagina.

Riso. 2.10.

Abilita pagina di contenuto predefinita

Questa opzione specifica la pagina predefinita da visualizzare se non viene specificato alcun nome di documento nell'URL della richiesta. Ad esempio, quando un client accede a http://www.microsoft.com, il server Web IIS verifica la presenza di un documento predefinito. Quando questa opzione è abilitata, viene visualizzato questo documento. Questo approccio non richiede al cliente di specificare il nome del documento per ogni sito visitato. Se il documento predefinito non è definito e il client non ha specificato il nome del documento, l'ulteriore sviluppo degli eventi dipende dal fatto che la navigazione nella directory sia abilitata o disabilitata.

• La navigazione nella directory è abilitata. Il server invia un elenco dei contenuti della directory.
• La navigazione nella directory è disabilitata. Il server invia un messaggio di errore: "La visualizzazione del contenuto di questa directory virtuale è negata".

Aggiunta e rimozione di pagine con contenuto predefinito

IIS cerca i nomi delle pagine specificate se la richiesta non specifica una pagina specifica. Il nome del file deve corrispondere al nome della pagina, quindi non dimenticare di specificare l'estensione e di farlo correttamente (Default.htm non è lo stesso di Default.html). Per aggiungere un nome file all'elenco, fare clic sul pulsante Aggiungi e immettere un nome per la pagina. Per rimuovere un nome di file dall'elenco, selezionalo e fai clic sul pulsante Rimuovi. Non è richiesta alcuna conferma per la cancellazione.

Impostazione dell'ordine delle pagine predefinito

Quando IIS cerca una pagina, per impostazione predefinita, IIS controlla l'elenco nell'ordine specificato in questa finestra. IIS utilizza la prima pagina il cui nome corrisponde ai criteri di ricerca. Per modificare l'ordine degli elementi dell'elenco, evidenziare il nome della pagina e utilizzare i pulsanti Sposta su e Sposta giù per spostarla nella posizione desiderata.

Abilita piè di pagina documento

Seleziona questa opzione per abilitare il piè di pagina del documento. Il piè di pagina è un documento HTML visualizzato in fondo a ogni pagina. Viene utilizzato se su tutte le pagine del sito è necessario inserire alcune informazioni, ad esempio sul diritto d'autore, senza inserire un codice (o file) in ciascuna pagina. Il documento HTML contiene solo codice specifico da visualizzare senza tag di apertura ... I tag vengono utilizzati per formattare il testo nel piè di pagina. Sfortunatamente, i piè di pagina possono essere inseriti solo nelle pagine con contenuto statico (HTML).

Dopo aver abilitato questa opzione, fare clic sul pulsante Sfoglia per selezionare il documento da utilizzare come piè di pagina. Il codice nel documento deve essere compatibile con HTML (non deve contenere script) e non è necessario utilizzare un file con estensione .HTM.

La scheda Directory Security (vedere la Figura 2.11) viene utilizzata per configurare le impostazioni di sicurezza del sito: configurare l'autenticazione del client IIS, specificare quali client possono connettersi al server e proteggere la connessione tra client e server.

Riso. 2.11.

Modifica delle impostazioni di autenticazione e controllo dell'accesso

In questa sezione si seleziona il tipo di autenticazione del sito per garantirne la sicurezza. Sii consapevole delle interazioni tra la sicurezza NTFS e le misure di sicurezza IIS e il loro impatto sugli utenti che si autenticano su una pagina web. Fare clic sul pulsante Modifica per modificare l'impostazione di autenticazione e controllo di accesso. Si aprirà la finestra di dialogo Metodi di autenticazione (vedi Figura 2.12).

Riso. 2.12.

Abilita l'opzione di accesso anonimo(Abilita accesso anonimo). Quando questa opzione è abilitata, gli utenti si collegano alla pagina web senza inserire alcuna credenziale. Nel contesto della sicurezza, viene utilizzato l'account Ospite, un account ospite su Internet. Viene creato durante l'installazione di IIS e denominato IUSR_<имя_компьютера>... L'opzione consente di configurare misure di sicurezza per tutti gli utenti anonimi che visitano il sito utilizzando questo account. Puoi disattivare l'account Internet Ospite e utilizzare invece un altro account (locale o situato su un dominio attendibile).

Consigli... Qualsiasi account utilizzato per accedere alle pagine Web deve disporre dell'autorizzazione file a livello di NTFS. Per ulteriori informazioni sull'impostazione di questi permessi, vedere il Capitolo 6.

Segui questi passaggi per selezionare un account di accesso anonimo.

1. Immettere il nome dell'account nella finestra di dialogo Metodi di autenticazione. Per un account di dominio, usa il formato nome_dominio \ nome utente.
2. Fare clic sul pulsante Sfoglia per trovare il nome desiderato. Verrà visualizzata la finestra di selezione degli oggetti standard di Windows 2003.
3. In questa finestra, seleziona il nome dell'account utente e la sua posizione. Puoi cercare facendo clic sul pulsante Avanzate.
4. Dopo aver selezionato un account, fare clic sul pulsante OK.
5. Immettere la password per l'account nella casella di testo Password. Dopo aver cliccato sul pulsante OK, apparirà una finestra di conferma della password.

Quando fornisci un nome utente e una password, IIS non convalida queste informazioni. Se i dati vengono inseriti in modo errato, IIS funzionerà con accesso anonimo disabilitato al sito. Rilevarlo è difficile perché Internet Explorer utilizzerà automaticamente altri metodi di autenticazione, come le credenziali dell'utente connesso. In qualità di amministratore, avrai accesso alle risorse, ma come utente ospite no. Puoi scoprire l'utente attualmente autenticato utilizzando il file di registro del sito, che registra questo processo. Se utilizzi un account che non ha accesso alla risorsa specificata, apparirà una finestra per l'inserimento dei dati di autenticazione.

Accesso autenticato... La sezione Accesso autenticato della finestra Metodi di autenticazione visualizza i tipi di autenticazione abilitati sul sito. Se l'account guest IIS non ha accesso alla risorsa, IIS verifica i tipi di autenticazione disponibili.

• Autenticazione Windows integrata... Il metodo di autenticazione più sicuro, perfetto per qualsiasi versione del browser Internet Explorer in assenza di proxy HTTP. È integrato in tutti i browser IE a partire dalla versione 2.0. I browser come Netscape non supportano questo metodo di autenticazione. L'autenticazione integrata di Windows utilizza il protocollo challenge/response NT o Kerberos sul server. Kerberos viene utilizzato quando sono supportati un client e un server Kerberos ed è disponibile un centro di distribuzione chiavi (KDC) affidabile; in caso contrario, il principio di richiesta/risposta NT.

Autenticazione analitica per server di dominio Windows... L'autenticazione analitica è disponibile utilizzando gli account di Active Directory. Questo metodo, sebbene associato ad alcuni pericoli, è ancora più sicuro dell'autenticazione di base. Insieme ad Active Directory, è richiesto anche HTTP 1.1, quindi l'autenticazione analitica funziona solo con le versioni più recenti dei browser che supportano questo protocollo. Il controller di dominio deve inoltre conservare una copia aperta di ogni password per controllare le password per informazioni casuali inviate dal client. Questa è la minaccia alla sicurezza. Mantenere le password chiare sul disco è un rischio ovvio, quindi assicurati che il tuo controller di dominio sia protetto in modo sicuro dalle intrusioni, altrimenti un utente malintenzionato potrebbe scoprire le password di cui ha bisogno. Un vantaggio dell'autenticazione analitica è che la password non viene trasmessa in rete in chiaro, come nell'autenticazione di base.

L'autenticazione analitica è un semplice hash e quindi funziona tramite firewall e proxy. È inoltre disponibile per le directory WebDAV (Distributed Authoring and Versioning) basate sul Web. Poiché l'autenticazione analitica richiede un dominio, quando lo selezioni, il campo Realm è disponibile. Se l'autenticazione analitica (o di base) non è abilitata, il campo Realm non è disponibile. Questo campo specifica il database dell'account utente utilizzato per l'autenticazione. Immettere il nome dell'area nel campo utilizzando la tastiera o utilizzare il pulsante Seleziona per selezionare il nome desiderato dall'elenco delle aree.

• Autenticazione di base... Il metodo di autenticazione più semplice e versatile, in cui il nome utente e la password vengono trasmessi in chiaro. Poiché questo metodo non utilizza la crittografia, è facile violarlo. Il vantaggio del metodo è la sua versatilità. Come per l'autenticazione analitica, specificare il database dell'account utente utilizzato per l'autenticazione. Immettere il nome del regno nella casella di testo Reame o fare clic sul pulsante Seleziona per selezionare il regno desiderato dall'elenco.
• Autenticazione del passaporto .NET... Un nuovo metodo di autenticazione utilizzato dalle tecnologie Microsoft. Consente ai clienti di utilizzare il Single Sign-On per i siti Web che supportano il passaporto. Per fornire supporto per il passaporto, è necessario disporre di un server Passport centrale .NET funzionante. È possibile scaricare .NET Passport Server dal sito Web Microsoft MSDN (http://msdn.microsoft.com). Quando viene selezionato questo metodo di autenticazione, il campo Dominio predefinito diventa attivo. Il server IIS deve essere un membro del dominio; è necessario specificare il dominio predefinito per l'autenticazione. Immettere il nome nel campo o premere il pulsante Seleziona per selezionare dall'elenco.

Limitazione dell'accesso tramite indirizzo IP o nome di dominio

IIS consente di limitare l'accesso a un sito utente senza specificare un nome utente e una password. La restrizione dell'indirizzo IP specifica un gruppo specifico di utenti a cui è concesso o negato l'accesso al sito. Viene utilizzato nei seguenti casi.

• È necessario fornire l'accesso al sito per un gruppo specifico di utenti.
• Tutti gli indirizzi IP degli utenti a cui è concesso l'accesso sono noti.
• Devi negare ad altri utenti l'accesso al sito.
• Non è necessaria l'autenticazione come nel controllo degli accessi, oppure è necessario utilizzare un'altra restrizione.

Se si decide di limitare l'accesso tramite indirizzi IP, è necessario configurare queste restrizioni. Fare clic sul pulsante Modifica nell'area Restrizioni indirizzo IP e nome di dominio della scheda Protezione directory. Facendo clic sul pulsante Modifica si aprirà la finestra di dialogo Restrizioni indirizzo IP e nome di dominio (vedere la Figura 2.13). È necessario scegliere la modalità di impostazione della restrizione: negare l'accesso a tutti gli utenti, tranne che a determinate persone, oppure consentire l'accesso a tutti e imporre il divieto di accesso al sito a determinati utenti. Se selezioni l'opzione Accesso concesso, l'approccio di restrizione sarà fedele; selezionando l'opzione Accesso negato si applica il principio "Nega l'accesso a tutti, con poche eccezioni".

Riso. 2.13.

Modifica delle restrizioni sull'indirizzo IP... Fare clic sul pulsante Aggiungi per aggiungere un indirizzo IP all'elenco. Viene visualizzata la finestra Concedi accesso o Nega accesso, a seconda dell'opzione selezionata.

La scelta di concedere o negare l'accesso è una decisione globale. Non è possibile negare l'accesso ad alcuni indirizzi IP e consentire l'accesso ad altri. Qui devi agire secondo il principio "tutto o niente". Seleziona il tipo di accesso richiesto.

• Un computer... Consente di inserire un indirizzo IP nell'elenco di accesso. In questo modo è possibile specificare più computer in sequenza. Se non si conosce l'indirizzo IP del computer, fare clic sul pulsante Ricerca DNS per determinare l'indirizzo IP in base al nome.
• Gruppo di computer... Consente di inserire l'ID di rete e la subnet mask per aggiungere computer all'elenco. È possibile utilizzare maschere di sottorete a lunghezza variabile per identificare in modo abbastanza accurato gli indirizzi IP nell'elenco.
• Nome del dominio... Consente di inserire un nome di dominio per negare l'accesso al sito da esso. Prestare attenzione quando si utilizza questa opzione, poiché esegue la ricerca in ogni client che si connette al server per vedere se è un membro di un dominio negato. Ciò influisce negativamente sulle prestazioni e causa ritardi nell'autenticazione del client. Le ricerche inverse richiedono generalmente molto tempo per essere completate.

Dopo aver selezionato e configurato il tipo di accesso, fare clic su OK in modo che nell'elenco compaia la voce corrispondente.

Per rimuovere, evidenziare la voce e fare clic sul pulsante Rimuovi. Per modificare, evidenziare la voce e fare clic sul pulsante Modifica.

Sicurezza della connessione

L'area Comunicazioni protette nella scheda Protezione directory viene utilizzata per configurare i certificati per l'autenticazione e la crittografia. Consente la creazione di richieste di certificati, l'assegnazione, l'esportazione, l'importazione e il backup dei certificati, la configurazione dell'interazione del server con i certificati client.

Per configurare un certificato su questo server, fare clic sul pulsante Certificato server. Viene visualizzata la finestra della procedura guidata per il certificato del server Web. Fare clic sul pulsante Avanti per modificare le impostazioni di assegnazione del certificato.

• Crea un nuovo certificato(Crea un nuovo certificato). Consente di configurare una richiesta da inviare a un'Autorità di certificazione (CA) (vedi Lezione 10). La richiesta viene inviata all'ufficio certificati online o salvata in un file e quindi il file viene inviato all'ufficio certificati attraverso il processo di registrazione. Installare Servizi certificati sul server per inviare la richiesta all'autorità di certificazione in linea.

  Consigli... Le autorità di certificazione (CA) aziendali si trovano in Active Directory e dispongono di record SRV in DNS in modo da poterli trovare. Per ulteriori informazioni sui record SRV e DNS, vedere il capitolo 8. Se su questo computer è installato un ufficio certificati separato, IIS non sarà in grado di riconoscerlo. Ma questo non è un grosso problema, dal momento che puoi approvare e installare manualmente il certificato (vedi Lezione 7 del corso Programmazione in IIS). Ti consigliamo di posizionare la CA in un luogo sicuro; un server web vulnerabile non è adatto a questo scopo.

  Quando si crea una richiesta da inviare all'autorità di certificazione, seguire questi passaggi.

  1. Seleziona l'opzione Crea un nuovo certificato, quindi fai clic sul pulsante Avanti.
  2. Seleziona l'opzione Prepara la richiesta ora, ma inviala in seguito, quindi fai clic sul pulsante Avanti
  3. Immettere il nome desiderato per il certificato: è possibile specificare qualsiasi nome.
  4. Specificare la lunghezza del certificato in bit. Puoi scegliere 512, 1024, 2048, 4096, 8192 o 16384 bit per creare un hash complesso.
  5. Se desideri selezionare un provider di servizi di crittografia (CSP) per generare questo certificato, seleziona l'opzione appropriata. CSP è l'algoritmo utilizzato per generare i certificati.
  6. Inserisci il nome della tua organizzazione e inserisci l'unità organizzativa. Ricorda che quando utilizzi i servizi di un ufficio di certificazione commerciale, devi fornire il nome ufficiale della tua attività. Fare clic sul pulsante Avanti.
  7. Inserisci un nome di sito comune. Deve corrispondere al nome DNS o NetBIOS utilizzato per il sito. Poiché ogni certificato corrisponde a un nome specifico, è adatto solo per un nome. Se utilizzi un nome DNS o NetBIOS diverso, devi ottenere un nuovo certificato. Fare clic sul pulsante Avanti.
  8. Immettere le informazioni nei campi Città, Stato e Paese. Evita le contrazioni. Fare clic sul pulsante Avanti.
  9. Immettere un nome e una posizione per il file in cui inserire la richiesta. Tenere presente questo file poiché verrà utilizzato nella richiesta del certificato. Fare clic sul pulsante Avanti.
  10. La finestra successiva è la finestra del report. Assicurati che le informazioni che hai inserito siano corrette. Fare clic sul pulsante Avanti.
• Assegna un certificato esistente(Assegnare il certificato esistente). Consente di assegnare al sito Web il certificato corretto memorizzato su questo computer. Quando si seleziona un'opzione, verrà visualizzato un elenco di certificati per questo computer. Evidenziane uno e fai clic sul pulsante Avanti. Seleziona una porta SSL per il sito. La porta predefinita è impostata nella finestra corrente (443). Non modificare questo valore a meno che non sia assolutamente necessario, poiché i client stabiliscono per impostazione predefinita una connessione SSL sulla porta 443. Dopo aver selezionato il numero di porta, rivedere le schermate di riepilogo e completare la procedura guidata. Il certificato installato è disponibile per l'utilizzo immediato da parte dei client.
• Importa un certificato da un file di backup di Key Manager(Importa certificato dall'archivio del gestore chiavi). Consente di importare un certificato esportato utilizzando il programma Key Manager di Windows NT 4.0. Con l'opzione selezionata, vai alla posizione del file .key salvato e seleziona il file. Quindi specificare la porta SSL per il sito, visualizzare le schermate risultanti e completare la procedura guidata.
• Importa un certificato da un file .pfx(Importa certificato da file .pfx). Consente di importare un file di certificato conforme allo standard di sintassi per lo scambio di informazioni personali o PKSC # 12. È uno standard per l'archiviazione o il trasporto di certificati in un formato portatile. Se è necessario archiviare o esportare il certificato dopo l'importazione, selezionare l'opzione Contrassegna certificato come esportabile. Dopo aver selezionato il file .pfx, fornire una password per mantenere il file al sicuro durante l'esportazione. Quindi specificare la porta SSL per il sito, visualizzare le schermate risultanti e completare la procedura guidata.

• Copia o sposta un certificato da un sito server remoto a questo sito(Copiare o spostare il certificato dal server remoto a questo sito). È possibile ottenere certificati da un altro sito web. Questa opzione impedisce l'esportazione del certificato in un file, che rappresenta un rischio per la sicurezza. Segui questi passaggi per copiare o spostare un certificato da un server Web remoto.

  1. Nella finestra Creazione guidata certificato IIS, selezionare l'opzione Copia o sposta un certificato da un sito server remoto a questo sito, quindi fare clic sul pulsante Avanti.
  2. Nella finestra di dialogo Copia/Sposta certificato, selezionare l'azione desiderata.
  3. Seleziona se esportare il certificato da questo sito web. Fare clic sul pulsante Avanti.
  4. Immettere il nome del computer (o individuarlo) da cui viene importato il certificato.
  5. Immettere le credenziali di un utente che dispone di autorizzazioni sufficienti per accedere al certificato, quindi fare clic su Avanti.
  6. Specificare la posizione del sito da cui viene importato il certificato. Utilizzare il pulsante Sfoglia per selezionare questa posizione dall'elenco. Fare clic sul pulsante Avanti.
  7. Controlla i dettagli nella finestra risultante e assicurati di aver importato il certificato corretto.

Elaborazione del certificato... Dopo aver ricevuto una risposta dalla CA, elaborare la richiesta di certificato in sospeso. Per fare ciò, segui questi passaggi.

1. Eseguire nuovamente la Creazione guidata certificato server Web facendo clic sul pulsante Certificato server nella scheda Protezione directory.
2. Nella finestra di dialogo Certificato server, selezionare l'opzione Elabora la richiesta in sospeso e installare il certificato. Fare clic sul pulsante Avanti.
3. Immettere il nome del file di risposta (o individuare la sua posizione) ricevuto dalla CA, quindi fare clic su Avanti.
4. Immettere il numero di porta SSL che deve essere utilizzato dal sito. Fare clic sul pulsante Avanti.
5. Esamina la finestra del rapporto per assicurarti che le informazioni siano corrette.
6. Fare clic sul pulsante Avanti, quindi fare clic sul pulsante Fine.

Il tuo sito ora dispone del certificato corretto e può essere utilizzato per la porta specificata durante l'installazione del file di risposta del certificato. Se non c'è risposta, è necessario eliminare la richiesta in sospeso. Per fare ciò, segui questi passaggi.

1. Nella procedura guidata per il certificato del server Web, selezionare l'opzione Elimina la richiesta in sospeso. Nella finestra di dialogo successiva, verrà visualizzato un messaggio che indica che se si continua a lavorare con la procedura guidata, diventerà impossibile elaborare le risposte a questa richiesta, nonché un'offerta di rifiuto di continuare.
2. Fare clic sul pulsante Avanti per eliminare la richiesta.
3. Fare clic sul pulsante Fine per completare la procedura guidata.

Visualizza i dettagli del certificato installato... Se hai un certificato installato, visualizza le sue informazioni facendo clic sul pulsante Visualizza certificato nella scheda Protezione directory.

• Scheda Generale(Generale). Contiene informazioni sul certificato: lo scopo del certificato, l'emittente del certificato, il cliente del certificato, il periodo di validità del certificato.
• Scheda Dettagli(Particolari). Contiene informazioni molto importanti su un certificato. Da lì, puoi visualizzare tutte le proprietà di un certificato, eseguire l'Esportazione guidata certificati, abilitare o disabilitare lo scopo di un determinato certificato e specificare più posizioni di download da diverse agenzie di certificati.
• Scheda Percorso di certificazione(percorso certificato). Consente di visualizzare la gerarchia dei certificati CA per questo certificato. Visualizza informazioni sulla validità del certificato.

Modifica delle connessioni sicure... Utilizzando il pulsante Modifica, è possibile modificare le associazioni dei certificati e gli elenchi di fiducia (vedere la Figura 2.14). È possibile configurare l'uso forzato di SSL.

Riso. 2.14.

L'opzione Richiedi canale protetto applica SSL sul sito. A qualsiasi browser che non utilizzi SSL verrà negato l'accesso al sito.

L'opzione Richiedi crittografia a 128 bit consente di applicare una crittografia avanzata. Ciò impedisce ai browser con crittografia più debole di accedere al sito. Gli aggiornamenti per Internet Explorer che implementano la crittografia a 128 bit sono disponibili da Microsoft (http://www.microsoft.com/ie). Possono essere scaricati da qualsiasi utente di un paese che non fa parte di un certo numero di stati su cui gli Stati Uniti hanno imposto un embargo informativo (dato che Microsoft è una società del governo degli Stati Uniti).

L'utilizzo dei certificati client implementa l'identificazione degli utenti in connessione sul sito. I certificati client sono un modo per controllare l'accesso. È possibile specificare le seguenti impostazioni.

• Ignorare(Ignorare). Opzione predefinita. Qualsiasi certificato cliente fornito non sarà accettato.
• Accettare(Accettare). Accetta certificato. Consente di configurare le associazioni di certificati, che è facoltativa. Qualsiasi browser senza un certificato client sarà in grado di accedere al sito.
• Richiedere(Richiesta). Richiede l'uso di certificati. A qualsiasi client senza certificato viene negato l'accesso al sito. Per selezionare questa opzione, è necessario selezionare anche l'opzione Richiedi canale protetto.

L'impostazione delle associazioni dei certificati è progettata per autenticare il computer client con un account Windows. Esistono due tipi di relazioni: uno a uno e molti a uno.

• Rapporto uno a uno... Utilizzato nel caso in cui l'account utente disponga di un proprio certificato. A un account utente possono essere associati più certificati, ma questa funzionalità richiede almeno un certificato univoco. Il certificato viene importato e associato all'account, quindi utilizzato per autenticare l'utente.
• Relazione molti a uno... Utilizzato quando più certificati sono associati all'account utente. Specifica il criterio di gruppo per il certificato client con informazioni sul certificato, come il nome di un reparto o di un'organizzazione. Se questi dettagli corrispondono, viene utilizzato l'account specificato.

La scheda Intestazioni HTTP della finestra Proprietà (vedere la Figura 2.15) configura la scadenza del contenuto, la classificazione del contenuto e i tipi MIME e aggiunge le intestazioni HTTP.

Riso. 2.15.

Impostazione della data di scadenza del contenuto

L'opzione imposta la data di scadenza per i file sul sito Web e viene utilizzata per interrompere la memorizzazione nella cache del contenuto dopo un periodo specificato. La data di scadenza viene passata insieme al contenuto quando richiesto. Un oggetto RESPONSE con una proprietà CACHECONTROL o EXPIRES viene utilizzato per impostare l'età della cache e la data di scadenza nelle pagine ASP, ma non funziona con la grafica. L'opzione esegue le funzioni specificate utilizzando i seguenti parametri.

Scade subito(Scadenza immediata). Impedisce al richiedente di memorizzare i dati nella cache. Si consiglia di utilizzarlo su un sito di test o di sviluppo quando si apportano modifiche al codice in modo che le versioni precedenti non vengano memorizzate nella cache nelle cartelle di IE. L'opzione funziona anche per le pagine con contenuto che cambia dinamicamente, quando l'utente riceve un nuovo risultato ogni volta, in modo che i dati di questa pagina non vengano memorizzati nella cache nelle cartelle offline.

Scade dopo(Scadenza dopo). Imposta l'intervallo di tempo in minuti, ore o giorni. È possibile specificare qualsiasi valore compreso tra 1 minuto e 32.767 giorni (sono solo 90 anni).

Scade il(Scadenza tra). Imposta la data di scadenza per il contenuto in un momento specifico. Non è possibile specificare una data di scadenza precedente alla data corrente. Qualsiasi data fino al 31 dicembre 2035. Poiché questa data viene elaborata dal cliente, è controllata dal suo fuso orario, quindi potrebbe esserci qualche variazione nella data di scadenza del contenuto a seconda della zona.

Intestazioni HTTP personalizzate

In questa sezione è possibile creare un'intestazione HTTP personalizzata da inviare al client, oltre alla consueta intestazione ricevuta dal client dal server. Un'apposita intestazione contiene dati aggiuntivi utili al cliente. Supporta anche il nuovo standard HTTP non supportato nativamente da IIS 6.

Segui questi passaggi per aggiungere un titolo personalizzato.

1. Fare clic sul pulsante Aggiungi. Viene visualizzata la finestra di dialogo Aggiungi/modifica intestazione HTTP personalizzata.
2. Inserisci un nome per il titolo personalizzato nel campo fornito.
3. Inserisci il valore dell'intestazione personalizzata nel campo fornito.
4. Fare clic sul pulsante OK.

Il titolo viene modificato con il pulsante Modifica e rimosso con il pulsante Elimina (Rimuovi). Quando si elimina un'intestazione personalizzata, non viene chiesto di confermare l'eliminazione.

Classificazione dei contenuti

È possibile valutare il contenuto del sito. È un sistema volontario sviluppato dalla Internet Content Rating Association (ICRA). ICRA è un'organizzazione senza scopo di lucro e indipendente che consente ai genitori di prendere una decisione obiettiva su ciò che i loro figli possono visualizzare su Internet. Questo sistema è composto da due parti: in primo luogo, il sito viene valutato dal webmaster (l'ICRA non valuta), quindi l'utente finale imposta le opzioni del browser per bloccare determinati siti per il loro contenuto.

Vengono utilizzati due standard di classificazione dei contenuti: il vecchio standard RSACi e il nuovo sistema ICRA. IIS 6 supporta RSACi, che valuta il contenuto in quattro categorie.

1. Violenza.
2. Sesso.
3. Nudismo.
4. parolacce.

Dopo aver valutato il sistema, il webmaster fornisce l'indirizzo e-mail della persona che ha valutato il contenuto per il feedback e la discussione delle valutazioni. È possibile impostare una data di scadenza per le valutazioni dopo la quale cessano di funzionare.

Abilitazione della classificazione dei contenuti del sito... Segui i passaggi seguenti.

1. Aprire la finestra di dialogo Classificazioni contenuto facendo clic sul pulsante Modifica valutazioni nella scheda Intestazioni HTTP.
2. Nella finestra Classificazioni dei contenuti, seleziona l'opzione Abilita valutazioni per questo contenuto.
3. Seleziona il voto che vuoi impostare.
4. Usa il cursore per impostare il livello da 0 a 4.
5. Imposta una valutazione o tutte insieme (se necessario).
6. Inserisci il tuo indirizzo email nel campo fornito. In genere, questo includerà un indirizzo che riflette un account rappresentativo (ad esempio, [e-mail protetta]).
7. Si prega di indicare la data di scadenza. La data deve essere maggiore della data corrente. Inserisci una data prima del 31 dicembre 2035.
8. Fare clic sul pulsante OK.

Tipi MIME

Multipurpose Internet Mail Extensions (MIME) definiscono i tipi di file che IIS serve per i client. IIS 6 serve solo file associati a script o tipi MIME specifici. Quando viene trovata un'estensione IIS senza associazione MIME, il client riceve un errore 404 "Non trovato" e il server esegue il commit di un codice di sottostato di tre.

Nota... C'è un'eccezione alla regola MIME: i file di testo con estensione .txt che non sono MIME o correlati agli script vengono serviti da IIS.

I tipi MIME sono configurati globalmente, a livello di sito Web o directory, e vengono ereditati in ordine decrescente di livelli. Diamo un'occhiata a un esempio di aggiunta di un collegamento MIME.

1. Fare clic sul pulsante Tipi MIME nella scheda Intestazioni HTTP al livello desiderato (globale, sito o directory, a seconda dell'opzione selezionata nella MMC).
2. Fare clic sul pulsante Nuovo.
3. Nella finestra di dialogo Tipo MIME, immettere l'estensione del file nel campo Estensione. In questo caso, specificare l'estensione .log.
4. Inserisci il tipo MIME nel campo fornito. Poiché il file è in formato testo normale, il tipo MIME appropriato è text / plain.
5. Fare clic sul pulsante OK. La nuova estensione viene aggiunta all'elenco.
6. Fare clic sul pulsante OK, quindi di nuovo.

La tua directory (server, sito) è ora impostata per servire i file .log. I clienti che scelgono un file in questa directory lo vedranno nei loro browser. In questa finestra è possibile modificare ed eliminare i collegamenti ai tipi MIME.

Se il tipo MIME è configurato in modo errato, IIS servirà il file, ma il sistema non saprà cosa fare con il file. Gli utenti di IE dovranno scegliere un programma per aprire questo file dall'elenco fornito.

Nota... Come si fa a sapere se il tipo MIME corrisponde al file in questione? RFC2045 e RFC2046 definiscono i campi per i tipi MIME e come la IANA (Internet Protocol Name Allocation Agency) assegna e visualizza i tipi. Questa è la stessa organizzazione che assegna gli indirizzi IP. Un elenco completo dei tipi si trova sul sito Web dell'organizzazione all'indirizzo http://www.iana.org.

La scheda Errori personalizzati (vedi Figura 2.16) viene utilizzata per modificare i messaggi di errore standard inviati da IIS. Visualizza l'associazione di ogni errore HTTP con un codice di stato secondario. Nella scheda è possibile creare messaggi di errore personalizzati e impostare script da eseguire quando si verificano errori.

Riso. 2.16.

I messaggi di errore personalizzati vengono utilizzati per segnalare errori e aiutarti a risolvere i problemi. Ad esempio, hai creato un tipo di messaggio che corrisponde allo script ASP per la notifica al webmaster. Lo script registra l'incidente, visualizza un messaggio sullo schermo che il problema si è verificato per l'utente finale e lo reindirizza alla pagina predefinita. Quando vengono inseriti nello script, i messaggi di errore diventano utili nella diagnosi dei problemi con un sito Web.

Sono disponibili tre tipi di messaggi per la selezione.

• Predefinito(Predefinito). Errore predefinito programmato in IIS. Consente di ripristinare lo stato originale quando non è più necessario un errore speciale.
• File(File). Consente di selezionare un file utilizzando il suo nome completo (ad esempio, C: \ windows \ help \ errors \ iiserror404.asp).
• URL... Consente di indirizzare il client a una pagina del sito utilizzando un percorso URL assoluto (a partire dal livello superiore del sito). Pertanto, le pagine di errore HTTP devono trovarsi nello stesso sito, sebbene possano trovarsi in una directory virtuale. Se inserisci un URL che non è nel formato corretto, verrà visualizzato un messaggio di errore.

Modifica delle proprietà degli errori speciali

Seguire questi passaggi per modificare le proprietà di errori speciali.

1. Evidenzia l'errore HTTP, quindi fai clic sul pulsante Modifica. Viene visualizzata la finestra Modifica proprietà errore personalizzato.
2. Seleziona il tipo di messaggio per questo errore dal menu a discesa.
3. Se si utilizza un file, specificare il percorso del file o individuare la sua posizione.
4. Se si utilizza un URL, immettere il nome assoluto del file.
5. Se si seleziona l'opzione Predefinito, non è necessario specificare nulla.
6. Dopo aver selezionato e configurato un'opzione, fare clic sul pulsante OK.
7. Fare clic sul pulsante OK.

Riso. 2.22.

Creazione di un pool di applicazioni

Il pool di applicazioni predefinito è denominato DefaultAppPool. Ogni sito creato utilizza un DefaultAppPool a meno che non venga specificato un pool diverso. Segui questi passaggi per creare un nuovo pool di applicazioni.

1. Evidenziare il nodo Pool di applicazioni in IIS MMC.
2. Selezionare Azione \ Nuovo \ Pool di applicazioni. Viene visualizzata la finestra di dialogo Aggiungi nuovo pool di applicazioni.
3. Immettere l'ID del pool di applicazioni nella casella di testo. Dovrebbe essere un nome descrittivo e amichevole.
4. Se si utilizza un pool di applicazioni diverso come modello, selezionare l'opzione Usa pool di applicazioni esistente come modello e selezionare quello desiderato dall'elenco.
5. Fare clic sul pulsante OK.

Dopo aver creato un nuovo pool di applicazioni, configurarne le impostazioni. Per aprire la finestra Proprietà pool di applicazioni, selezionare il pool di applicazioni nella MMC ed eseguire il comando Azione \ Proprietà. Si apre la finestra Proprietà, che consente di configurare tutti i pool di applicazioni contemporaneamente. Allo scopo, allocare il livello dei pool di applicazioni anziché un pool separato. Tutti i parametri di questo livello sono identici ai parametri dei singoli pool.

La scheda Riciclaggio (vedi Fig. 2.23) configura la memoria e il riciclaggio del flusso di lavoro. Il riciclaggio dei processi di lavoro aiuta a mantenere IIS attivo e funzionante interrompendo il processo di lavoro e avviandone uno nuovo, liberando tutta la memoria utilizzata dal processo di lavoro.

Riso. 2.23.

È possibile impostare cinque criteri di riciclaggio del processo e utilizzarli singolarmente o tutti in una volta.

• Riciclare i processi dei lavoratori(In Minuti) Consente di configurare per quanto tempo un flusso di lavoro è attivo prima di interromperlo e avviare un nuovo processo. Immettere un valore compreso tra 1 e 4.000.000 di minuti. Al valore di un minuto, il ricircolo sarà così frequente che diventerà un carico molto pesante sul server. Un valore di 4.000.000 min (7,6 anni) viene interpretato come assenza di ricircolo. Per ridurre al minimo le perdite di memoria, imposta il tasso di riciclaggio in modo che corrisponda alla tecnologia utilizzata sul sito. Le applicazioni ASP/COM causano più problemi di perdita di memoria rispetto alle applicazioni ASP.NET o CGI. Il volume delle richieste fatte al sito è un parametro importante in questo caso. Ogni applicazione è diversa, quindi per determinare la frequenza del suo ricircolo, scopri come l'applicazione fornisce il suo supporto.
• Riciclare i processi dei lavoratori(Numero di richieste) Indica il numero di richieste che il flusso di lavoro elabora prima del ricircolo. Specificare qualsiasi valore compreso tra 1 e 4.000.000.
• Riciclare i processi dei lavoratori nei seguenti momenti(Riciclare i processi di lavoro alla prossima volta). Configura orari specifici della giornata per il riciclo quotidiano dei processi di lavoro. È possibile aggiungere, rimuovere e modificare l'ora.

Eliminazione della perdita di memoria

Una perdita di memoria è causata dall'esecuzione di applicazioni che non rilasciano l'intera quantità di memoria di sistema. Ogni volta che l'applicazione viene eseguita, parte della memoria viene persa, di conseguenza non è rimasta RAM sufficiente per il normale funzionamento del sistema. Le perdite di memoria sono molto facili da implementare. Ad esempio, con il seguente codice ASP:

SET MyBadApp = Server.CreateObject ("SomeApp.ThisHurts") MyBadApp.DoSomething

In questo caso chiudere l'applicazione e impostare MyBadApp su Nothing aggiungendo al codice la riga SET MyBadApp = Nothing. Se questo parametro è assente, la memoria occupata dal programma non viene liberata.

Riciclo della memoria(Ricircolo memoria) È possibile eseguire il ricircolo in base all'utilizzo della memoria. Questo è un ottimo modo per prevenire perdite di memoria in quanto ricircola non appena viene raggiunta la soglia.

• Memoria virtuale massima(In Megabyte) (Memoria virtuale massima, MB). Consente di ricircolare i processi di lavoro al raggiungimento di una soglia. Questa misura risolve i problemi di memoria virtuale. Specificare un valore compreso tra 1 e 2.000.000 MB. Si noti che è possibile specificare un valore maggiore della quantità immediata di memoria virtuale (circa 1,9 TB). Ovviamente la soglia di 1 MB viene quasi sempre raggiunta, nel qual caso il ricircolo verrà effettuato regolarmente.
• Memoria massima utilizzata(In Megabyte) (La quantità massima di memoria utilizzata, in MB). Consente il riciclaggio in base all'utilizzo della memoria fisica. Specificare un valore compreso tra 1 e 2.000.000 MB, che è molto più della memoria installata su un normale server Windows.

Nella scheda Performance (vedi Fig. 2.24) è possibile configurare i parametri per evitare di sovraccaricare il processore.

Riso. 2.24.

• Timeout di inattività(Tempo di fermo). Specifica la quantità di tempo durante la quale un processo di lavoro può essere inattivo prima dell'arresto. Consente di implementare il lavoro di un gran numero di applicazioni che sono spesso inattive, poiché non occuperanno tempo del processore. Inserisci un periodo di tempo compreso tra 1 e 4.000.000 di minuti.
• Limite coda richieste(Limite di richieste in coda). Specifica il numero di richieste accodate dal pool di applicazioni prima di rifiutare nuove richieste. Consente di evitare di sovraccaricare il server di richieste. Quando viene raggiunto il limite specificato, il server risponde a tutte le richieste con un errore HTTP 503 "ServiceUnavailable". Specificare qualsiasi valore compreso tra 0 e 65.535 richieste in coda.
• Utilizzo massimo della CPU (percentuale)(Utilizzo massimo del processore, in percentuale). Consente al pool di applicazioni di utilizzare una determinata quantità di tempo del processore, fino al valore specificato. Questa opzione calcola la CPU per tenere traccia del tempo della CPU e non lo fa in tempo reale. Specificare qualsiasi valore compreso tra 1 e 100 percento.
• Aggiorna i numeri di utilizzo della CPU (in minuti)(Aggiorna i valori di utilizzo della CPU in, min). Imposta il tempo di aggiornamento per la funzione di calcolo della CPU. Il numero di processi CPU viene aggiornato dopo il tempo specificato. Imposta qualsiasi valore da 1 a 1440 min.
• Azione eseguita quando l'utilizzo della CPU supera la CPU massima(Azione intrapresa quando viene superato l'utilizzo massimo del processore). Sono disponibili due opzioni: Nessuna azione e Spegnimento. L'opzione Nessuna azione scrive semplicemente l'evento nel registro. L'opzione Shutdown interroga i processi di lavoro nel pool di applicazioni.

Kit web... Consentono di distribuire le richieste tra diversi processi di lavoro in un determinato pool di applicazioni, ottenendo un livello più elevato di prestazioni e affidabilità, poiché l'applicazione utilizzerà diversi processi di lavoro e un errore in uno di essi non influirà sul lavoro degli altri. Il parametro Numero massimo di processi di lavoro imposta il numero di processi di lavoro in questo pool di applicazioni. Specificare qualsiasi valore compreso tra 1 e 4.000.000.

Un avvertimento... L'installazione di troppi processi di lavoro avrà un impatto negativo sulle prestazioni del sistema, poiché ogni processo occupa circa 5 MB di memoria solo all'avvio. Tienilo a mente quando specifichi il numero massimo di processi di lavoro da eseguire sul server.

La scheda Salute (vedi Figura 2.25) configura le impostazioni che mantengono lo stato operativo di questo pool di applicazioni e le impostazioni per il rilevamento dei problemi.

Riso. 2.25.

• Abilita ping(Abilita le richieste di ping). Configura il sistema per inviare periodicamente richieste di ping ai processi di lavoro. Una mancanza di risposta da un flusso di lavoro significa che c'è un problema in esso; IIS interrompe questo processo e ne crea invece uno nuovo. Immettere un valore compreso tra 1 e 4.000.000 di sec.
• Protezione rapida in caso di guasto(Protezione dagli errori in linea). Protegge il server tenendo traccia degli errori nei flussi di lavoro. Quando un servizio rileva un certo numero di errori entro un determinato periodo di tempo, IIS chiude questo pool di applicazioni per proteggere il server. Il server risponderà a tutte le nuove richieste con un errore HTTP 503 "Servizio non disponibile".
• fallimenti(Errori). Configura il numero di errori tollerati dal server prima di eseguire la funzione di protezione dagli errori in linea. Specificare qualsiasi valore compreso tra 1 e 4.000.000.
• Periodo di tempo (tempo in minuti)(Periodo di tempo, in minuti). Imposta l'intervallo di tempo per il verificarsi degli errori dopo il quale viene eseguita la funzione di protezione dagli errori in linea. Inserisci un intervallo di tempo compreso tra 1 e 4.000.000 di minuti.

Di seguito è riportata una descrizione di come funziona il processo in esame.

1. Si verifica un errore nel flusso di lavoro.
2. IIS scrive un evento di terminazione del processo imprevisto nel registro dell'applicazione, specificando il numero di identificazione del processo e il codice di uscita.
3. IIS riavvia automaticamente il processo di lavoro quando arriva un altro processo.
4. Le azioni vengono ripetute fino al raggiungimento della soglia.
5. Quando viene raggiunta la soglia, IIS scrive un evento nel registro dell'applicazione sull'arresto automatico del pool di applicazioni a causa di errori ripetuti.
6. Tutti i client che utilizzano questo pool di applicazioni riceveranno un errore 503 "Servizio non disponibile".
7. I passaggi vengono ripetuti fino all'arresto e al riavvio del pool di applicazioni.

Limiti di tempo di avvio e spegnimento... I processi di lavoro non vengono uccisi immediatamente dopo l'arresto, richiedono del tempo per essere caricati. Per interrompere il flusso di lavoro, gli viene inviata una richiesta di annullamento, quindi viene dato il tempo per completare le operazioni correnti e uscire dalla coda, e solo allora il processo viene annullato. Con il riciclo, il processo appena creato è pronto per iniziare a funzionare anche prima del completamento del vecchio processo per non interrompere il servizio. A volte un flusso di lavoro non si interrompe completamente o si verificano problemi all'avvio. I limiti di tempo vengono utilizzati per configurare il tempo di attesa di IIS prima che si verifichi un problema.

• Limite di tempo di avvio(Limite di tempo di caricamento). Configura il tempo di attesa di IIS per l'avvio di un processo di lavoro. Specifica un intervallo di tempo compreso tra 1 e 4.000.000 di secondi.
• Limite di tempo di spegnimento(Limite di tempo). Configura il tempo di attesa di IIS per l'arresto pianificato di un processo di lavoro. Specifica un intervallo di tempo compreso tra 1 e 4.000.000 di secondi.

La scheda Identità (vedere la Figura 2.26) specifica l'account di sicurezza utilizzato dal processo di lavoro nel pool di applicazioni. Per impostazione predefinita, i processi di lavoro vengono eseguiti come servizi di rete (l'opzione Servizio di rete è abilitata) con diritti limitati nel sistema operativo.

Riso. 2.26.

Specificare il metodo di identificazione da utilizzare per i flussi di lavoro. Seleziona un'identificazione specifica o fornisci un account utente. Quest'ultima opzione rappresenta un rischio per la sicurezza perché gli account hanno accesso esteso al sistema operativo.

• Servizio di rete(Servizio di rete). L'impostazione predefinita, che è l'impostazione più sicura e consigliata per l'esecuzione di flussi di lavoro. In questo caso, è impossibile per i processi di lavoro accedere e controllare direttamente il sistema operativo.
• Servizio locale(Servizio Locale). Fornisce un insieme più ampio di diritti nel sistema operativo rispetto all'opzione precedente. Concede l'accesso al sistema operativo, ma nega l'accesso agli oggetti esterni al server. È vietata anche l'interazione con il desktop.
• Sistema locale(sistema locale). Fornisce un insieme di diritti più ampio rispetto a Servizio locale. L'opzione, infatti, garantisce il pieno diritto di accesso all'intero sistema.

Tutti e tre gli account fanno parte del gruppo IIS_WPG, che si trova nel sistema locale, e i diritti di accesso a cui sono assegnati ai processi. Se un processo di lavoro necessita di più diritti di quelli di cui dispone attualmente, abilita tali diritti per il gruppo IIS_WPG. Quando si configura un account per un processo di lavoro, assicurarsi che l'account sia membro del gruppo IIS_WPG.

• Configurabile(personalizzabile). Specifica l'account con cui verranno eseguiti i processi di lavoro. Immettere un nome per l'account oppure fare clic sul pulsante Sfoglia e selezionare un account nella finestra visualizzata.

Una volta avviato, il flusso di lavoro dispone di un token di accesso all'autenticazione per il quale è configurato. Quando una richiesta proviene da un client, il token di accesso del client viene utilizzato per elaborare la richiesta. Questa azione è chiamata spersonalizzazione e consente ai flussi di lavoro di essere eseguiti a un livello di sicurezza basso e contemporaneamente a un livello di sicurezza elevato.

Supporto IT

Configurazione della pubblicazione Web 1C, collegamento dell'attrezzatura del registratore di cassa

1. Configurazione di un server web in IIS

Installare il server Web Internet Information Server, incluso per impostazione predefinita in Microsoft Windows Server. Durante l'installazione, assicurarsi di selezionare i componenti:

• Funzionalità HTTP comuni
  • Contenuto statico
  • Documento predefinito
  • Navigazione nella directory
  • Errori HTTP
• Sviluppo di applicazioni
  • ASP.NET 3.5
  • Estensibilità .NET 3.5
  • Estensioni ISAPI
  • Filtri ISAPI
• Correzione e diagnosi (Salute e Diagnostica)
  • Registrazione HTTP
  • Monitoraggio della richiesta
• Strumenti di gestione
  • Console di gestione IIS

2. Pubblicazioni della base in 1C

Sullo stesso server in cui è distribuito il server Web IIS, installare 1C: Enterprise (componenti a 32 bit), assicurandosi di selezionare i seguenti componenti durante l'installazione:

• 1C: Impresa
• Moduli di estensione del server Web

Se si prevede di configurare un modulo di estensione del server Web a 64 bit, è inoltre necessario eseguire il programma di installazione del server a 64 bit dalla consegna 1C: Enterprise corrispondente e installare il componente:

• Modulo di estensione del server Web

Ora è necessario impostare i diritti necessari per le cartelle chiave utilizzate quando si lavora con l'accesso web ai database 1C: Enterprise. Per la directory per l'archiviazione dei file dei siti Web pubblicati sul server Web (per impostazione predefinita: C: \ inetpub \ wwwroot \), devi dare pieni diritti al gruppo "Utenti"(Utenti). In linea di principio, puoi saltare questo passaggio, ma poi per pubblicare o modificare la pubblicazione del database, dovrai eseguire 1C: Enterprise come amministratore. Per configurare la sicurezza di questa directory, fare clic con il tasto destro su di essa e selezionare "Proprietà"(Proprietà).

Nella finestra delle proprietà che si apre, vai alla scheda "Sicurezza"(Sicurezza) e premere il pulsante "Modificare"(Modifica...) per modificare le autorizzazioni correnti. Apparirà una finestra per le autorizzazioni per questa directory. Nell'elenco dei Gruppi o dei nomi utente selezionare il gruppo Utenti e nell'elenco dei permessi per il gruppo selezionato impostare il flag "Accesso completo"(Pieno controllo). Quindi premere Applicare(Applica) per salvare le modifiche e chiudere tutte le finestre utilizzando il pulsante "OK".

Successivamente, è necessario concedere tutti i diritti alla directory con i file installati "1C: Enterprise" (per impostazione predefinita: C:\Programmi (x86)\1cv8\ per un modulo di espansione a 32 bit e C: \ Programmi \ 1cv8 \ per 64 bit) gruppo IIS_IUSRS... Per fare ciò, eseguiamo le azioni simili a quelle sopra descritte, con l'unica differenza che affinché il gruppo necessario appaia nell'elenco "Gruppi o utenti"(Gruppi o nomi utente), è necessario fare clic sul pulsante sotto l'elenco "Aggiungere"(Aggiungi ..), e nella finestra per la selezione di gruppi o utenti, fare clic su "Inoltre"(Avanzate ...).

Quindi premere il pulsante a destra "Ricerca"(Trova ora), dopodiché selezioniamo il gruppo richiesto IIS_IUSRS nella tabella dei risultati di ricerca e fare clic su "OK".

E infine, se la pubblicazione è su un filebase, devi anche dare al gruppo IIS_IUSRS pieni diritti alla directory con i file di questa infobase.

Passiamo alla pubblicazione del database direttamente sul web server. Per fare ciò, esegui 1C: Enterprise in Configuratore per la base che si desidera pubblicare. Quindi seleziona dal menu "Amministrazione" - "Pubblicazione su un server web ..."

Si aprirà la finestra per la configurazione delle proprietà della pubblicazione sul web server. I campi principali richiesti per la pubblicazione sono già compilati di default:

• Il nome della directory virtuale è il nome utilizzato per accedere al database sul server web. Può consistere solo di caratteri dell'alfabeto latino.
• Server Web: viene selezionato dall'elenco dei server Web trovati sul computer corrente. Nel nostro caso, questo è Internet Information Services.
• Directory: la posizione fisica della directory in cui verranno posizionati i file dell'applicazione virtuale.
• I flag corrispondenti possono essere utilizzati per specificare i tipi di client da pubblicare e anche per indicare la possibilità di pubblicare servizi Web. Nella tabella seguente è possibile modificare l'elenco dei servizi Web che verranno pubblicati e, nella colonna "Indirizzo", modificare il sinonimo con cui si accederà a questo servizio Web.
• Inoltre, per il web server IIS, è possibile indicare la necessità di eseguire l'autenticazione sul web server utilizzando il sistema operativo impostando l'apposito flag.

Dopo aver selezionato le impostazioni di pubblicazione necessarie, fare clic su "Pubblicare".

Se la pubblicazione è andata a buon fine, vedremo il messaggio corrispondente.

2.3 Connessione a un'infobase pubblicata tramite un browser web

Puoi anche connetterti a questa infobase da qualsiasi computer in rete accedendo al server web sul suo interno (o se porta 80- da esterno) indirizzo IP.

3. Creare un certificato SSL gratuito Let's Encrypt su IIS

La presenza di un certificato SSL per il sito consente di proteggere da attacchi i dati dell'utente trasmessi in rete uomo nel mezzo e garantire l'integrità dei dati trasmessi.

CriptiamoÈ un'autorità di certificazione non commerciale che emette automaticamente certificati SSL/TLS gratuiti tramite API. Vengono emessi solo certificati di convalida del dominio con un periodo di validità di 90 giorni, il che non rappresenta un problema grazie alla capacità di riemissione automatica dei certificati integrata, che garantisce la continuità della protezione.

Di seguito viene descritto un modo per ottenere un certificato SSL da Let's Encrypt utilizzando l'utilità della console LetsEncrypt-Win-Simple... È una semplice procedura guidata che consente di selezionare uno dei siti in esecuzione su IIS e di emettere e associare automaticamente un certificato SSL ad esso.

3.1 Generazione di un certificato SSL

Scarica l'ultima versione del client dalla pagina GitHub del progetto https://github.com/PKISharp/win-acme/releases

Decomprimiamolo in una directory sul server con IIS: c:\inetpub\letsencrypt

Verrà avviata una procedura guidata interattiva, che ti chiederà prima di specificare la tua e-mail, a cui verranno inviate le notifiche sui problemi con il rinnovo del certificato e di accettare il contratto con l'utente.

Quindi dovrai scegliere che devi creare un nuovo certificato ( N: Crea nuovo certificato) e selezionare il tipo di certificato (nel nostro esempio non è necessario utilizzare un certificato con più SAN), quindi è sufficiente selezionare la voce 1. Singolo legame di un sito IIS.

Il passaggio successivo consiste nell'eseguire la convalida del dominio. Sono disponibili diverse opzioni di convalida: TLS, voce DNS o HTTP). L'opzione più semplice è selezionare l'elemento 4 Creare un'applicazione temporanea in IIS (consigliato)... In questo caso, verrà creata una piccola applicazione sul server web attraverso la quale i server Let's Encrypt possono convalidare.

Nota. Quando si esegue un controllo TLS/HTTP, il sito deve essere accessibile dall'esterno tramite il nome DNS completo utilizzando i protocolli HTTP (80/TCP) e HTTPS (443/TCP).

Dopo la convalida, l'utilità letencrypt-win-semplice invierà automaticamente una richiesta per generare un certificato, scaricarlo (tutti i file necessari, così come la chiave privata vengono salvati nella directory C:\Users\User\AppData\Roaming\letsencrypt-win-simple) e creare un binding su il sito web dell'IIS. Nel caso in cui sul sito sia già installato un certificato SSL, verrà sostituito con uno nuovo. Inoltre, nell'Utilità di pianificazione di Windows verrà creata una regola che viene eseguita ogni giorno e che emette e installa automaticamente un nuovo certificato ogni 60 giorni.

3.2 Creazione di un pool separato e di un sito collegato con un certificato SSL.

Crea un pool IIS separato per LetsEncrypt

Aggiungiamo il sito al nuovo pool. Indichiamo il porto 443 (o un altro a cui inoltriamo in seguito sulla porta 443).

Specifica il nuovo certificato in Certificati SSL:

Configura un link al nostro sito:

Controllo.

4. Collegamento delle apparecchiature del registratore di cassa. Inoltro della porta COM su TCP/IP utilizzando Virtual Serial Ports Emulator (VSPE).

4.1 Configurazione di VSPE sul server

Avvia il programma VSPE. Fare clic sul pulsante "Crea un nuovo dispositivo".

Successivamente, è necessario creare porte virtuali (ogni checkout ha la propria porta). È meglio ridurre i numeri di porta per evitare problemi.

Nella finestra che si apre, nel menu a tendina, seleziona TcpServer... premi il bottone "Ulteriore".

Imposta il numero della porta TCP locale su cui ascoltare. Selezionare la porta COM alla quale è collegata l'apparecchiatura tramite il convertitore di interfaccia. premi il bottone "Impostazioni".

Solitamente, quando parlano di server web, intendono soluzioni basate sulla piattaforma Linux. Ma se la tua infrastruttura viene distribuita sulla base di Windows Server, sarebbe logico utilizzare il server Web IIS. Contrariamente alla credenza popolare, questa è una piattaforma molto popolare che consente di lavorare con i CMS più diffusi e dispone di un'ampia gamma di sistemi progettati per funzionare specificamente su Windows e IIS.

L'indubbio vantaggio di IIS è la sua stretta integrazione con altre tecnologie e strumenti di sviluppo Microsoft. In particolare, le soluzioni web per IIS possono sfruttare le ricche funzionalità di .NET e interagire facilmente con le applicazioni desktop su tale piattaforma. Se non sei ancora interessato a questo, al tuo servizio c'è un'ampia selezione di CMS già pronti, inclusi quelli scritti appositamente per IIS. Oggi vedremo come installare e configurare IIS per funzionare con soluzioni web basate su ASP.NET e installare uno dei popolari CMS per questa piattaforma.

Per installare un server web su una piattaforma Windows, vai allo snap-in ruoli v Server Manager e scegli di installare i ruoli Server Web (IIS) e Server delle applicazioni.

Ma non affrettarti a fare clic su Avanti, a sinistra, sotto il nome di ciascun ruolo, è disponibile un'opzione Servizi di ruolo, vai su di esso e imposta le seguenti opzioni per l'Application Server: Supporto per server Web (IIS), Condivisione porta TCP e Attivazione HTTP.

E per il server web, installa il servizio Server FTP.

Quindi installa i ruoli selezionati. Per verificare se IIS funziona, digita l'indirizzo IP del tuo server nel tuo browser, dovresti vedere una pagina stub del server web standard.

Ora andiamo a configurare il server, per questo apriamo Gestore di Internet Information Services (IIS)(che si trova in Start - Amministrazione).

Prima di tutto, creeremo un nuovo sito, per questo, fai clic con il pulsante destro del mouse sull'elemento Siti web nel menu laterale di IIS Manager e selezionare Crea un nuovo sito web.

Nella finestra che si apre, specificare il nome del sito, il percorso della cartella principale (per impostazione predefinita, i siti utente si trovano in C: \ inetpub \ wwwroot), che devi prima creare e specificare l'hostname (nome di dominio del sito), nel nostro caso iissite.local

Non dimenticare di aggiungere un A-record con il nome del tuo sito al server DNS o di scrivere le righe necessarie nei file hosts di quelle postazioni da cui accederai al sito

In linea di principio, puoi già posizionare pagine Web nella cartella del sito e accedervi tramite un browser, ma l'accesso FTP ad esso non interferirà con il lavoro completo con il sito. Per fare ciò, fai clic con il pulsante destro del mouse sul nome del tuo sito nel menu laterale e seleziona Aggiungi pubblicazione FTP

Quindi, specifica il collegamento del servizio FTP alle interfacce e alle porte di rete e configura le impostazioni di sicurezza. Se hai intenzione di utilizzare SSL, tieni presente che hai bisogno di un certificato, anche se se utilizzerai l'accesso FTP solo per le tue esigenze, puoi cavartela con un certificato autofirmato. Non dimenticare di selezionare la casella per avviare automaticamente il sito FTP.

Nella pagina successiva, specifica i parametri di accesso al server, ti consigliamo di specificare utenti specifici che lavoreranno con questo sito.

Il server web è configurato ed è possibile utilizzarlo per ospitare pagine HTML, ma i siti moderni utilizzano un DBMS per archiviare i propri dati, quindi il passaggio successivo è installare MS SQL Express 2012, che è più che sufficiente per le nostre attività. L'installazione viene eseguita con i valori predefiniti, tranne Modalità di autenticazione passare a Modalita `mista e imposta una password per il superutente del server SQL sa.

Ora proviamo a installare qualsiasi CMS popolare creato sulla base della tecnologia ASP.NET, un'ampia selezione di tali soluzioni è presentata nella galleria delle applicazioni Web Microsoft. Si ricorda che cliccando il pulsante di download si riceverà un pacchetto per l'installazione tramite Web PI, per l'installazione su IIS sarà necessario andare sul sito dello sviluppatore e scaricare il pacchetto completo dal CMS

Installeremo Orchard CMS, per ottenere il pacchetto segui il link e seleziona Scarica come zip, decomprimi l'archivio risultante e carica il contenuto della cartella Orchard nella radice del sito.

Questo CMS è basato su ASP.NET 4, quindi configureremo il nostro sito per utilizzare le tecnologie necessarie. Per fare ciò, fare clic con il tasto destro del mouse sul nome del sito nel menu laterale e selezionare Gestione del sito web - Opzioni avanzate

Nella finestra che si apre, cambia il parametro Pool di applicazioni indicando lì ASP.NET v.4

Quindi impostare i diritti necessari alla cartella con il sito, è necessario aggiungere all'utente IIS_IUSRS la possibilità di scrivere e modificare il contenuto di questa cartella.

Inoltre, non dimenticare di creare un database per il sito, per questo vai a SQL Server Management Studio e facendo clic con il tasto destro sull'elemento Banca dati nel menu laterale, crea una nuova base.

1. Pre-creare una directory Sito di prova per il contenuto del sito nella directory c: \inetpub sul server. Questo può essere fatto anche dal sistema operativo di base: utilizzando l'esploratore, aprire la directory \\ win_web_srv \ con $ e creare una cartella o nella riga di comando sul server utilizzando il comando mkdir.

2. Nel catalogo sito di prova creare un file index.html seguente contenuto

Sito di prova per esperimenti

3. Nel file ospite nel sistema operativo di base, registreremo la corrispondenza tra l'indirizzo IP del nostro server web e il nome del nuovo sito TestSite.

4. Avvia Gestore di Internet Information Services (IIS) nel sistema operativo di base.

5. Ci colleghiamo al nostro server web remoto.

6. Nel riquadro di destra "Collegamenti" seleziona un nodo "Siti", nel riquadro di sinistra "Azioni" scegliere "Aggiungi sito web"

7. Nella finestra che si apre, definire i parametri principali del sito:

nome del sito - Sito di prova(è possibile impostarne uno arbitrario, verrà utilizzato solo per identificare il sito all'interno del server web)

directory dei contenuti, percorso fisico - c: \ inetpub \ testsite

Effettueremo il binding tramite l'intestazione host.

Nome host - Sito di prova(questo è il nome del sito a cui accederanno i visitatori)

8. Pertanto, abbiamo creato un nuovo sito e l'abbiamo associato all'intestazione dell'host (nome host).

9. Controlla se il sito funziona. Nel browser, nella barra degli URL, scrivi http: // testsite / Dovresti vedere la pagina index.html sito creato.

10. Configuriamo "Documento predefinito"

11. Sul pannello di connessione nel nodo siti scegli il nostro sito Sito di prova e nella parte centrale della finestra principale, seleziona la voce "Documento predefinito"

12. Ci possono essere più documenti per impostazione predefinita, l'amministratore può organizzare l'elenco di questi documenti, determinando così la sequenza della loro ricerca nel catalogo. Se il documento predefinito non viene trovato, viene preso in considerazione impostando il parametro Navigazione nella directory

13. Si prega di notare che le impostazioni per il nostro sito sono state ereditate da un livello superiore. Perché abbiamo solo una pagina index.html e nient'altro è ancora previsto, allora modificheremo queste impostazioni. Utilizza gli elementi disponibili nel pannello Azioni a destra:

Rimuovi tutti i nomi di file dall'elenco tranne index.html

· Aggiungi un nuovo nome default.html

Sposta il file index.html in cima

14. Di conseguenza, dovresti ottenere qualcosa come questa immagine.

15. Dopo le modifiche, guarda nel catalogo principale del nostro sito c: \ inetpub \ TestSite il file è apparso web.config che contiene modifiche alla configurazione solo per un sito specifico, relative alle impostazioni Documento predefinito

16. Creiamo una directory virtuale.

17. Nel catalogo c: \ inetpub \ testsite sul server creare una sottodirectory vd.

18. In IIS Manager, fare clic con il pulsante destro del mouse sul nome del nostro sito e selezionare ricaricare

19. Tieni presente che è apparsa una cartella nella struttura del sito, ma si tratta piuttosto di una cartella reale, non virtuale. J. si trova nella struttura della directory fisica del nostro sito.

20. Nel tuo browser, scrivi http: // testsite / vd nella barra degli URL, riceverai il seguente messaggio di errore

21. Questa reazione del server web è spiegata dal fatto che nella directory vd non c'è un singolo file specificato nelle impostazioni Documento predefinito e impostazione Navigazione nella directory ereditato dal sito ha un valore di parametro Abilitato = Falso, cioè. la navigazione nella directory è vietata.

22. Consenti la navigazione nella directory per la cartella vd

23. Nella struttura del sito, seleziona la cartella VD, e sulla pagina Opportunità nel gruppo IIS, seleziona la voce Sfoglia il catalogo Pertanto, saremo in grado non solo di configurare i parametri di visualizzazione del contenuto della directory, ma prima di tutto abilitare tale possibilità per la cartella VD.

24. Fare clic sul lato sinistro del pannello Azioni paragrafo Accendere. Nella parte centrale della finestra, le opzioni corrispondenti per visualizzare il contenuto della directory saranno disponibili per la modifica.

25. Aggiornare la pagina nel browser

26. Si prega di notare che il file è stato creato automaticamente nella directory VD web.config, che definisce solo i permessi per visualizzare la directory

27. Cercando di creare un "vero" Directory virtuale al di fuori della struttura di directory del nostro sito. Ad esempio, alla radice del disco INSIEME A creare una directory VD_TestSito. Di conseguenza, a differenza della cartella VD, questa cartella non è entrata automaticamente nella struttura del nostro sito.

28. In IIS Manager, fare clic con il tasto destro del mouse sul nodo del nostro sito (TestSite) e selezionare la voce "Aggiungi directory virtuale"

29. Resta solo da definire i parametri della directory virtuale e indicare la sua posizione fisica

30. Nella finestra "Aggiunta di una directory virtuale" definire i parametri della directory virtuale: alias e posizione fisica. Si prega di notare che l'alias (alias) non corrisponde al nome della cartella. Nella riga del browser nell'URL, dovrai utilizzare solo l'alias specificato.

31. Attenzione alla differenza tra le icone delle due cartelle nella struttura del sito

32. Per catalogare c: \ VD_TestSite creare una pagina html primitiva denominata index.html

33. In un browser, nella barra degli URL, digitare http: // testsite / vd1. Assicurati che la pagina creata sia visualizzata. In generale, una directory virtuale può fare riferimento a una directory situata anche su un'altra macchina fisica, nel qual caso il percorso viene specificato come percorso UNC.

34. Proviamo molto a sperimentare diversi modi di collegare il sito.

35. Tentativo di associare il sito alla porta.

36. In Gestore di Internet Information Services (IIS), sul pannello "Azioni" scegliere "Associazioni", poi "Aggiungere" e specificare una porta non standard 4545

37. Nel tuo browser, scrivi http: // web_win_srv nella barra degli URL. Deve vedere la pagina Sito Web predefinito, cioè. sito predefinito.

38. Ora proviamo a scrivere http: // web_win_srv: 4545 nella riga dell'URL. La pagina del nostro sito dovrebbe aprirsi - TestSite.

39. Pertanto, abbiamo ottenuto che il nostro sito è collegato in due modi:

Porta 80 e intestazione host TestSite

Porta 4545

40. Facciamo conoscenza con le impostazioni delle restrizioni per il nostro sito.

41. Sul pannello "Azioni" scegliere oggetto "Opzioni aggiuntive"

42. Un numero stranamente elevato di Throughput massimo e Connessioni massime significa che non sono stati fissati limiti.

43. Le restrizioni possono essere modificate utilizzando l'oggetto "Restrizioni..." sul pannello "Azioni"

44. Ora sperimentiamo i messaggi di errore con i quali il nostro server risponde ad azioni errate dei visitatori o delle applicazioni ospitate su di esso.

45. In un browser, prova ad aprire una pagina del nostro sito che non esiste, ad esempio http: //testsite/test.html. Perché non esiste tale pagina, il server restituirà un messaggio di errore con il codice 404 ... Questo messaggio può essere modificato per renderlo più "visitatore".

46. ​​​​Diamo un'occhiata a tutte le pagine corrispondenti agli errori per il sito TestSite, che ha ereditato dal livello del server web

47. Proviamo a cambiare il messaggio quando si verifica un errore 404 .

48. Creiamo la nostra pagina html con il nome 404.htm e mettilo nella directory c: \ inetpub \ TestSite \ err.Contenuto del file 404.htm

File non trovato

Sfortunatamente, il contenuto che stavi cercando non è qui.

Prova a selezionare le informazioni che desideri accedendo alla pagina principale del sito:

49. Sul pannello Azioni scegliere oggetto "Modificare…"

50. In un browser, prova ad aprire una pagina deliberatamente inesistente sul nostro sito Web, ad esempio http: //testsite/test.html

51. Diamo un'occhiata al vagabondo che abbiamo creato appositamente per l'errore 404.

52. Ora proviamo a connetterci al nostro sito ea lavorare con esso utilizzando un protocollo HTTPS sicuro basato su certificati SSL.

53. Diamo un'occhiata ai certificati che sono presenti sul nostro computer locale (sistema operativo di base) e sul server web. Per fare ciò, utilizzeremo lo snap-in MMC appropriato.

54. Avvia la console di gestione dalla riga di comando cmd.

55. Aggiungiamo l'attrezzatura di cui abbiamo bisogno.

File -> Aggiungi o rimuovi snap-in

56. Dall'elenco degli snap-in disponibili, selezionare "Certificati" e premere il pulsante "Aggiungere".

57. Nella finestra che si apre, seleziona l'opzione "Conto computer", clicca "Ulteriore" e "Pronto"

58. Dopodiché lo snap-in apparirà nell'elenco "Attrezzature selezionate ...", per completare premere "OK"

59. Allo stesso modo, aggiungi lo snap-in alla stessa console "Certificati" per un server Web remoto. Solo durante il processo di configurazione, specificare il nome del server web remoto.

60. In questo modo, otteniamo l'accesso alla gestione dei certificati situati negli archivi sul computer locale (sistema operativo di base) e sul server web remoto.

62. Per lavorare sul protocollo HTTPS, è necessario disporre di un certificato del server e questo certificato deve essere certificato da un'autorità di certificazione. Come parte del lavoro di laboratorio, non ci "preoccuperemo" della creazione di un certificato "completo", che sarebbe corretto utilizzare. Certifichiamo il certificato per il nostro server Web con un certificato radice autofirmato, che noi stessi creeremo e trasferiremo all'archivio dei certificati radice attendibili sulla macchina locale (sistema operativo di base). È chiaro che questo "non è sport", e nella vita reale non può essere usato, ma per i nostri esperimenti lo farà. Ciò è dovuto al fatto che la nostra rete di laboratori ha troppe convenzioni e non esiste un'autorità di certificazione principale o un controller di dominio funzionante.

63. Un altro ostacolo è causato dalla modalità di installazione del server web - Server Core, in cui non è presente "IIS Manager", quindi tutte le azioni di configurazione vengono eseguite principalmente in remoto o in modalità riga di comando. Quando IIS è gestito in remoto tramite IIS Manager, non è possibile accedere alla funzione di gestione dei certificati per IIS (per il confronto, vedere le immagini sottostanti, schermate dal server Web in modalità di installazione completa). Ma non stiamo cercando modi facili.

64. Quindi, creiamo tutti i certificati utilizzando la riga di comando. Per questo useremo l'utilità makecert.exe da Windows SDK per Windows Server 2008 e .Net Framework 3.5

65. Creare un certificato radice autofirmato. Sul server web, nella riga di comando (cmd), inserisci il comando

makecert.exe –ss root –sr localMachine –n “CN = TestCompany” -eku 1.3.6.1.5.5.7.3.1 –r

–radice Ss indica che il certificato verrà creato nell'archivio certificati radice attendibile

-R- creare un certificato autofirmato

–Eku 1.3.6.1.5.5.7.3.1- identificatore del certificato per l'autenticazione del server; per il client, è necessario utilizzare l'autenticazione client (1.3.6.1.5.5.7.3.2)

66. Crea un certificato per il sito web, firmato dal nostro certificato radice. È importante che il valore del parametro CN corrispondeva esattamente all'URL del nome del sito. Ad esempio, il certificato generato sarà valido solo per testsite, ma non valido per www.testsite.

makecert –pe –ss my –n “CN = testsite” –b 01/01/2013 –e 01/01/2036 –sky exchange –in “TestCompany” –is root –eku 1.3.6.1.5.5.7.3.1 - sr localMachine

67. A seguito delle manipolazioni eseguite, abbiamo il certificato radice creato nell'archivio "Autorità di certificazione attendibili" e il nostro certificato per il sito Web nell'archivio "Personale"

68. Trova questi certificati da solo nella console di gestione del sistema operativo di base.

69. Aprire "Internet Information Services Manager" e associare il sito Web di prova per potervi accedere tramite HTTPS. Tieni presente che in fase di associazione selezioniamo il protocollo HTTPS e come Certificato SSL indichiamo il certificato che abbiamo creato con il nome "testsite"

70. Nel browser, proviamo ad accedere al sito di prova tramite il protocollo HTTPS.

https: \\ sito di prova

71. Presta attenzione, perché l'organizzazione "TestCompany" non è nota alla nostra macchina locale, quindi il browser ha emesso un avviso

72. Nonostante l'avvertimento, continuiamo a lavorare con il sito.

73. Affinché tutto sia bello, dobbiamo inserire il certificato radice della nostra organizzazione di test (TestCompany) nell'archivio dei certificati radice attendibili sul computer locale (sistema operativo di base). Esportiamo il certificato radice in un file (ad esempio, TestCompany.cert) utilizzando la console di gestione.

74. Importiamo il certificato dal file TestCompany.cert nell'archivio dei certificati radice attendibili sulla macchina locale (sistema operativo di base).

75. Nel browser, riaprire il nostro sito di prova, utilizzando il protocollo HTTPS per accedervi. Vediamo che l'identificazione del certificato è andata a buon fine.

76. Prova a utilizzare il protocollo HTTP per lavorare con il sito di prova.

http: \\ sito di prova

77. Vediamo che il sito può elaborare sia le richieste HTTP che HTTPS. Per vietare l'uso del protocollo HTTP e per elaborare tutte le richieste solo tramite il protocollo HTTPS, è necessario nelle impostazioni del sito Web Opzioni SSL seleziona un'opzione "Richiedi SSL"... Inoltre, qui puoi configurare il comportamento del sito web per quanto riguarda il certificato client SSL.

78. Adesso proviamo ad accedere al sito di test utilizzando il protocollo HTTP. Vediamo che l'accesso è negato.

79. Se proviamo a utilizzare il certificato SSL emesso per il sito TestSite per un altro sito (ad esempio, per il sito predefinito), riceveremo un messaggio di errore nella finestra del browser.

80. Associa tu stesso il sito predefinito per utilizzare il protocollo HTTPS e il certificato SSL generato per il sito TestSite e controlla se si verifica l'errore.

81. Crea il tuo certificato SSL per il sito predefinito e modifica l'associazione affinché il sito funzioni correttamente utilizzando il protocollo HTTPS.

82. E, ultimo ma non meno importante...

83. Forniremo l'opportunità di ospitare sui nostri siti web server creati con PHP.

84. Prima di tutto, controlla se il nostro server web CGI è supportato. Assicurarsi che durante l'installazione del componente IIS-CGI non sia stato installato

oclist | Di più

85. Installare il modulo IIS-CGI