Ta dokument vas vodi skozi postopek namestitve spletnega strežnika IIS in njegove konfiguracije za prikaz statične vsebine. Statična vsebina je spletna stran (HTML), ki se uporabniku dostavi, ko je shranjena. Nasprotno pa dinamično vsebino upodablja spletna aplikacija, kot je ASP.NET, klasična aplikacija ASP ali aplikacija PHP. Statična vsebina prikazuje enake informacije za vse uporabnike; dinamična vsebina lahko prikaže informacije o določenem uporabniku, na primer uporabniško ime.

Spletni strežnik s statično vsebino je najpreprostejša konfiguracija IIS za podporo spletnih mest HTML. Spletni strežnik s statično vsebino se lahko uporablja za gostovanje notranjih ali zunanjih (javnih) spletnih mest. Namestitev IIS 8 privzeto namesti vse module IIS, ki so potrebni za podporo spletnih strežnikov statične vsebine. Privzeta namestitev vključuje možnost serviranja statičnih datotek HTML, dokumentov in slik. IIS 8 podpira uporabo privzetih dokumentov, brskanje po imeniku, beleženje in anonimni dostop za strežnik s statično vsebino.

Če želite povečati varnost svojega spletnega strežnika, konfigurirajte filtriranje zahtev. Za navodila si oglejte članek.

Najprej si oglejte vtičnik IIS Microsoft Management Console (MMC). Odprite MMC IIS tako, da izberete Start \ Administrative Tools \ Internet Information Services (IIS) Manager. MMC konfigurira vse nameščene komponente IIS. Spletna mesta lahko konfigurirate v mapi Spletna mesta v levem podoknu konzole. Ko odprete to mapo, se v levem delu okna prikaže seznam vseh spletnih mest tega strežnika, v desnem delu pa osnovne informacije o vsaki od njih (glej sliko 2.1).

vrata SSL(vrata SSL). Določa vrata, na katerih spletno mesto prejme podatke sloja varnih vtičnic. SSL omogoča šifriranje in/ali preverjanje pristnosti podatkov med potovanjem med odjemalcem in strežnikom (glejte 10. predavanje).

Kot v prejšnjem primeru morajo stranke pri spreminjanju privzete vrednosti 443 tega vratu URL-ju dodati številko vrat, da odprejo spletno mesto. Če na primer spremenite številko vrat na 1543, morajo stranke za dostop do spletnega mesta vnesti https://www.beerbrewers.com:1543 namesto https://www.beerbrewers.com.

Napredno (izbirno)

S klikom na gumb Napredno odprete okno Napredna konfiguracija spletnega mesta, ki konfigurira dodatne naslove in ID-je. Dodatni identifikatorji omogočajo uporabnikom dostop do spletnega mesta na več naslovih. Ta pristop je uporaben, če želite uporabnike, ki vnašajo URL enega spletnega mesta, usmeriti na drugo spletno mesto v istem računalniku brez uporabe DNS (Domain Name System). (Za več informacij glejte poglavje 8.) Okno Napredna konfiguracija spletnega mesta določa imena glave gostitelja, tako da lahko več spletnih mest uporablja isti naslov IP in vrata.

O glavah vozlišč... Glave gostitelja vam omogočajo razlikovanje enega naslova spletnega mesta od drugega. Običajno služijo za konfiguriranje različnih spletnih mest za uporabo istega naslova IP in vrat. Glava gostitelja je popolnoma kvalificirano ime DNS, ki ga vnesete v naslovno vrstico brskalnika, da odprete spletno mesto. Glave gostitelja vam omogočajo, da prihranite naslovni prostor, medtem ko imate na voljo en naslov IP. Ko stran zahteva spletni brskalnik HTTP 1.1, je prvi del zahteve videti takole.

GET./.HTTP/1.1 Sprejmi: .image / gif, .image / xxbitmap ,. image / jpeg, .image / pjpeg, .application / vnd.mspowerpoint ,. aplikacija / vnd.ms-excel, .application / msword,. * / * Jezik sprejema: .en-us..Accept-Encoding: .gzip, .deflate .. Use61 r-agent: .Mozilla / 4.0. (združljiv ; .MSIE.6.0; .Windows.NT.5.2) Gostitelj: www.mywebsite.com

Del kode za gostiteljem je ime glave gostitelja - www.mywebsite.com. IIS ga uporablja za pošiljanje sporočila na ustrezno spletno mesto.

Imena glave gostiteljev so se prvič pojavila v protokolu HTTP 1.1 in vsi brskalniki, združljivi s HTTP 1.1, delujejo z njimi. Starejši brskalniki ne prenašajo glave gostitelja in se vedno pomaknejo na privzeto spletno mesto za kateri koli naslov IP.

Nasvet... Za podporo starejšim brskalnikom lahko ustvarite stran s privzetim naslovom IP, ki navaja spletna mesta in uporabite piškotke za usmerjanje strank na ta spletna mesta. Internet Explorer različice 4 in Netscape različice 3 in novejše podpirata glave gostitelja, zato se na tej točki ne bomo zadrževali. Za več informacij o podpori za starejše različice brskalnikov obiščite Microsoftovo spletno mesto.

Opomba... Imena glav gostiteljev so del protokola HTTP 1.1 in jih ni mogoče uporabiti na FTP, pošti in spletnih mestih z novicami v IIS. Ko ustvarjate več spletnih mest na istem strežniku, morate pridobiti več naslovov IP ali uporabiti različna vrata. Glave gostitelja prav tako niso na voljo pri uporabi sloja varne vtičnice (SSL), ker je glava v šifrirani zahtevi.

Dodajanje dodatne identitete... Isti spletni strani je mogoče dodeliti več naslovov. Spletno mesto bo odgovorilo na zahteve, ki prihajajo za vsak posamezen naslov in za vse naenkrat. Vsak naslov, povezan s spletnim mestom, se imenuje identiteta. Če želite ustvariti dodatno identiteto za spletno mesto, kliknite gumb Dodaj v razdelku Identifikacija spletnega mesta na zavihku Spletno mesto. Odpre se pogovorno okno Napredna identifikacija spletnega mesta (glejte sliko 2.3).

riž. 2.3. Pogovorno okno za napredno identifikacijo spletnega mesta

Vsaka identiteta mora biti edinstvena in uporabljati enega od treh naslovov (naslov IP, vrata TCP ali vrednost glave gostitelja). Vnesite kateri koli veljaven naslov IP, vrata ali ime glave gostitelja. Tako kot pri polju IP Address na zavihku Spletno mesto, sistem ne preveri tega naslova v računalniku, zato vnesite kateri koli veljaven naslov. Upoštevajte, da ne bo koristilo, če vaše spletne strani v prihodnosti ne bo mogoče najti na navedenem naslovu.

Odstranjevanje identičnih identifikatorjev... Če želite odstraniti identiteto, jo označite in kliknite gumb Odstrani. V tem oknu ne morete izbrisati vseh enakih identifikatorjev spletnih mest, zato bo gumb V redu zatemnjen.

Urejanje identitet... Če želite spremeniti identiteto, jo označite in kliknite gumb Uredi.

Dodeljevanje enakih SSL ID-jev... Spletnemu mestu je mogoče dodeliti več identitet SSL. Ker SSL nima glave gostitelja, se spremenita le naslov IP in številka vrat. Če spletno mesto nima nameščenega potrdila, bodo vse možnosti za identične identifikatorje SSL onemogočene.

Dodajanje identičnih identifikatorjev SSL... Kliknite gumb Dodaj, da spletnemu mestu dodate dodaten ID SSL. Doda se lahko več identifikatorjev; samo ne pozabite, da certifikati SSL temeljijo na imenu spletnega mesta, ne na naslovu IP. Vsak podani naslov IP mora biti obdelan prek imena DNS. Če poskusite dostopati prek naslova IP, stran ne bo na voljo.

Odstranjevanje identičnih identifikatorjev SSL... Če želite s spletnega mesta odstraniti identiteto SSL, jo označite in kliknite gumb Odstrani. Ne morete odstraniti vseh enakih identifikatorjev SSL.

Spreminjanje identifikatorjev SSL identitete... Če želite spremeniti SSL identiteto spletnega mesta, jo označite in kliknite gumb Uredi.

Časovna omejitev povezave

Nastavitev Časovna omejitev povezave na zavihku Spletno mesto določa čas, v sekundah, v katerem strežnik vzdržuje odprto povezavo za odjemalca. Običajno brskalnik pošlje strežniku zahtevo, da ohrani povezavo odprto. Ta postopek se imenuje podpora za povezavo HTTP(obdržati pri življenju). Odjemalec uporablja odprto povezavo za več zahtev in niti odjemalcu niti strežniku ni treba znova vzpostaviti povezave za vsako zahtevo. To močno izboljša zmogljivost, zlasti pri nizkih hitrostih. Ob izpolnjevanju zahtev odjemalec obvesti strežnik, da se povezava lahko zapre in sredstva, ki jih zaseda, lahko sprostijo.

Recimo, da odjemalec iz nekega razloga ni prekinil povezave. Ostal bo odprt za nedoločen čas, razen če strežniku naročite, naj ga zapre. Vrednost časovne omejitve povezave je samo za nastavitev tega časovnega intervala.

Omogočanje funkcije podpore za povezavo HTTP

Možnost Omogoči HTTP Keep-Alives je privzeto omogočena, kar omogoča strežniku, da sprejme zahteve HTTP ohranja živ od strank. Če onemogočite to možnost, se močno zmanjša učinkovitost tako odjemalca kot strežnika.

Omogočanje dnevnika

Spletna mesta imajo privzeto omogočeno beleženje. Standardna vrsta dnevnika je razširjena datoteka dnevnika W3C. V oknu lahko izklopite ali spremenite vrsto beleženja. Dnevnik je podrobno obravnavan v 11. poglavju.

Zavihek Performance v oknu Lastnosti spletnega mesta (glejte sliko 2.4) konfigurira upravljanje pasovne širine in število povezav spletnega mesta.

riž. 2.4.

Upravljanje pasovne širine

Parameter Bandwidth Throttling prilagodi največjo komunikacijsko pasovno širino (Kbps). Nastavitev zahteva razporejevalnik paketov Windows (QOS – aplikacija za kakovost storitve), da ugotovi, ali je paket mogoče poslati po omrežju. Program postavi podatke v čakalno vrsto in jih pošlje po omrežju z določeno hitrostjo. IIS bo samodejno namestil Windows Packet Scheduler, ko nastavite največjo pasovno širino in kliknete V redu.

Pri konfiguraciji tega parametra ne pozabite, da je pasovna širina komunikacijskega kanala lokalnega omrežja 10, 100 ali 1000 Mb / s, hitrost interneta pa je praviloma veliko nižja. Na primer, polna povezava T1 je 1,544 Mbps. Če je sprejeta privzeta vrednost 1024K, bo veliko hitrejša od hitrosti povezave T1.

Opomba... 1 bajt je enak 8 bitom. 1 kilobajt je enak 8192 bitov.

Spletne povezave

Izbirni gumbi Povezave spletnega mesta vam omogočajo, da konfigurirate število odjemalskih povezav za dano spletno mesto. Privzeto je Neomejeno. Če izberete Povezave omejene na, podajte poljubno število povezav od 0 do 2.000.000.000.

Zavihek ISAPI Filtri

Na zavihku Filtri ISAPI (glejte sliko 2.5) lahko dodate filtre ISAPI za svoje spletno mesto. Ves promet HTTP, usmerjen na spletno mesto, bo posredovan filtrom ISAPI v vrstnem redu, določenem tukaj. Razširitev ISAPI velja samo za razširitev, s katero je povezana, filter ISAPI pa se uporablja za ves promet spletnega mesta. To lahko povzroči znatno poslabšanje zmogljivosti spletnega mesta, še posebej, če je filter ISAPI napačno zapisan in lahko zapravi pomnilniške vire. (Za več informacij o tehnologiji ISAPI glejte 5. predavanje predmeta Programiranje v IIS.)

riž. 2.5.

Filter ISAPI je v določenem stanju. Rdeča puščica, usmerjena navzdol, pomeni, da je filter trenutno onemogočen. Zelena puščica, ki kaže navzgor, pomeni, da je filter vklopljen.

Dodajanje filtra ISAPI

Če želite dodati filter ISAPI, kliknite gumb Dodaj, filtru dajte ime in nato izberite izvedljivo datoteko, ki bo filtrirala promet. Ime filtra mora biti uporabniku prijazno in enostavno za uporabo.

Odstranitev filtra ISAPI

Če želite odstraniti filter ISAPI, ga označite in kliknite gumb Odstrani.

Zamenjava filtra ISAPI

Če želite spremeniti filter ISAPI, ga označite in kliknite gumb Uredi. Upoštevajte, da lahko urejate samo izvedljivo datoteko, na katero kaže filter. Ime filtra ni mogoče spremeniti.

Omogočanje in onemogočanje filtra ISAPI

Če je filter trenutno aktiven, ga lahko onemogočite tako, da označite ime filtra in kliknete gumb Onemogoči. Če je filter trenutno onemogočen, ga lahko omogočite tako, da označite ime filtra in kliknete gumb Omogoči. Če onemogočite filter, lahko zaustavite njegovo delovanje, ne da bi ga odstranili s seznama filtrov.

Spreminjanje vrstnega reda izvedbe

Ko se uporablja več filtrov ISAPI, se običajno izvajajo v določenem vrstnem redu. Ta vrstni red je nastavljen v tem oknu. Če želite povečati prednost filtra na seznamu, označite njegovo ime in kliknite gumb Premakni navzgor. Če želite znižati prioriteto filtra na seznamu, označite njegovo ime in kliknite gumb Premakni navzdol.

Zavihek Domači imenik (glejte sliko 2.6) označuje lokacijo te strani in način obdelave podatkov.

Usmerjanje IIS na lokacijo vsebine mesta

Če želite IIS usmeriti na lokacijo vsebine spletnega mesta, izberite ustrezen izbirni gumb.

Imenik, ki se nahaja na tem računalniku... Izberite to možnost in nato v polju Lokalna pot podajte kateri koli logični pogon in imenik, kjer se nahaja vsebina spletnega mesta. Gumb Prebrskaj vam bo pomagal navigirati do želenega imenika ali vnesti pot v polje.

riž. 2.6.

Skupna raba, ki se nahaja na drugem računalniku... Če izberete to možnost, se spremeni besedilo na zavihku Domači imenik. Besedilno polje Lokalna pot se bo imenovalo Omrežni imenik, gumb Prebrskaj pa bo Poveži kot. Vnesite pot v skladu z univerzalno konvencijo o poimenovanju (UNC) kot \\ Ime strežnika \ LocationName. Kliknite gumb Poveži kot in v pogovornem oknu Varnostne poverilnice omrežnega imenika nastavite uporabniško ime in geslo, ki ju uporablja IIS za povezavo z določeno lokacijo. Če strežnik ni registriran v sistemu, potem nima žetona za dostop do omrežnih delnic. Vneseno uporabniško ime in geslo bosta IIS omogočila preverjanje pristnosti.

IIS lahko uporabi uporabniško ime in geslo, ki ju je zagotovil odjemalec pri preverjanju pristnosti na spletnem mestu. Če želite to narediti, v pogovornem oknu Varnostne poverilnice omrežnega imenika izberite možnost Vedno uporabljaj poverilnice overjenega uporabnika pri preverjanju dostopa do omrežnega imenika. Če uporabniku ni dovoljen dostop do oddaljenega omrežnega vira, potem ne bo dobil dostopa do virov IIS.

Preusmeri na URL... Ko izberete možnost, se prikaže besedilno polje Preusmeri v. Določite URL, na katerega bodo šle stranke, ko se povežejo s tem virom. Preverite eno od možnosti.

• Zgoraj vneseni točen URL(Natančen URL zgoraj). Preusmeri odjemalca na URL, naveden v polju Preusmeri na. Polje mora vsebovati popoln in veljaven URL.
• Imenik pod vnesenim URL-jem(Mapa pod navedenim URL-jem). Preusmeri odjemalca v podrejeno mapo pod nadrejenim imenikom, ki ga je odjemalec določil v brskalniku. Če izberete to možnost, preprosto vnesete ime podimenika s predpono s poševnico (/).
• Trajna preusmeritev za ta vir(Trajna preusmeritev na ta vir). Uporablja se pri premikanju spletnega mesta z enega URL-ja na drugega. Odjemalcu pošlje sporočilo "HTTP 301 Permanent Redirect". Nekatere stranke po prejemu tega sporočila samodejno posodobijo svoje zaznamke.

Možnosti domačega imenika

Če izberete izbirni gumb Imenik, ki se nahaja v tem računalniku, ali Skupna raba, ki se nahaja v drugem računalniku, vam omogoči dostop do spodnjih možnosti. Ne pozabite, da IIS temelji na datotečnih sistemih, zato mora imeti overjeni (ali anonimni) uporabnik ustrezne pravice pri delu z dovoljenji.

Možnost dostopa do vira skripta(Dostop do izvornih kod skript). Ko je omogočeno, odjemalci pridobijo dostop do izvorne kode skripta (Active Server Pages, ASP) z nastavitvijo ustreznih dovoljenj za branje/pisanje. Ker se skripti obdelujejo na strani strežnika, odjemalcu ne dovolite dostopa do njihove izvorne kode in pustite možnost onemogočeno.

Možnost branja(Branje). Ko je ta možnost omogočena, dobijo odjemalci dovoljenje za branje datotek. Če stranke delajo s spletno vsebino na spletnem mestu, je priporočljivo omogočiti to možnost. Možnost Branje je onemogočena, če je odjemalcem dovoljeno nalaganje datotek z dovoljenjem za pisanje in izključitev branja naloženih datotek (glejte povezano tehnično opombo).

Možnost pisanja(Snemanje). Ko je omogočeno, je odjemalcem z brskalniki HTTP 1.1, ki podpirajo funkcijo PUT, dovoljeno nalaganje datotek v ta imenik.

Opozorilo... Če je uporabnikom dovoljeno branje in zapisovanje datotek v imenik, lahko vsakdo naloži datoteko in jo nato izvede. Ko omogočite skripte, se izvajajo na strežniku, tako da lahko napadalec naloži zlonamerno datoteko ASP, jo izvede in poškoduje strežnik.

Možnost brskanja po imeniku(Prebrskaj imenike). Ko je ta možnost omogočena, se odjemalcem podeli dovoljenje za brskanje po imenikih in s tem po vseh datotekah. Če privzeta stran obstaja, bo prikazana odjemalcu. V nasprotnem primeru bo odjemalec videl seznam vseh datotek in imenikov, razen virtualnih, saj niso v datotečnem sistemu. Omogočanje te možnosti predstavlja varnostno tveganje, saj si lahko vsak uporabnik ogleda datotečno strukturo spletnega mesta.

Možnost obiskov dnevnika(Vodite dnevnik obiskov). Ko je omogočeno, se vsi obiski tega imenika zabeležijo, če IIS beleži.

Indeksirajte to možnost vira(Indeksirajte ta vir). Če je omogočeno, bo katalog indeksirala Microsoftova storitev indeksiranja, če je nameščena in omogočena.

Možnosti aplikacije

V razdelku Nastavitve aplikacije lahko konfigurirate nastavitve aplikacije, da določite njihove meje. Ko ustvarite aplikacijo, lahko podate, da se izvaja v področju aplikacij, ki ga ustvarite. To vam omogoča, da ločite aplikacije drug od drugega in prilagodite poteke dela za obravnavanje problematičnih aplikacij, skriptov ali vsebine, ki jo želite izolirati.

Ime aplikacije(Ime aplikacije). Določa ime aplikacije, ki jo želite ustvariti. Če je besedilno polje zatemnjeno in je gumb Ustvari na voljo, aplikacija še ni bila ustvarjena. Če je gumb Odstrani na voljo, je za ta imenik definirana aplikacija in njeno ime je prikazano v besedilnem polju Ime aplikacije.

Izvedite dovoljenja(dovoljenja za izvajanje). Nastavi vrsto vsebine, ki je dovoljena na tem spletnem mestu.

• Nobena(Ne). Privzeta vrednost za IIS je 6. To predstavlja pomembno spremembo konfiguracije IIS, ki je že iz škatle. Prejšnje različice so omogočale izvajanje skriptov (kot je ASP) s standardno namestitvijo IIS. To je povzročilo težave, še posebej, ker je bil IIS privzeto nameščen, ko je bil nameščen Windows, zato je bil Windows konfiguriran tako za zagon IIS kot za izvajanje skriptov IIS. Onemogočanje skriptiranja pri standardni namestitvi zdaj privzeto zagotavlja najbolj varno konfiguracijo IIS.
• Samo skripti(Samo skripti). Omogoča izvajanje skriptov ASP na spletnem mestu. To možnost je treba omogočiti le, kadar je to potrebno, saj omogoča izvajanje katere koli vrste skriptov.
• Skripti in izvedljive datoteke(Skripte in izvedljive datoteke). Omogoča izvajanje skriptov in izvedljivih datotek na spletnem mestu. Kategorija izvedljivih datotek vključuje datoteke (.exe), knjižnice z dinamičnimi povezavami (.dll) in običajne skripte vmesnika prehoda (.cgi). To možnost je treba omogočiti le, kadar je to potrebno, saj omogoča dostop do datotek katere koli vrste in jim omogoča njihovo izvajanje.

Opozorilo... Prepričajte se, da sta dovoljenja Write NTFS in Write IIS onemogočeni v imenikih, ki v dovoljenjih za izvajanje niso nastavljeni na Brez.

Zbirka aplikacij(zbirka aplikacij). Služi za določitev, v katerem področju aplikacij se bo izvajala vsebina spletnega mesta. Ta seznam je napolnjen s podatki iz področij aplikacij, ustvarjenih v IIS MMC. Polje bo zatemnjeno, če za domači imenik še ni bila definirana nobena aplikacija.

Raztovoriti

Gumb Razloži aplikacijo v peskovniku razbremeni iz pomnilnika. Če se aplikacija naloži v pomnilnik in se spremeni konfiguracija, jo je treba razložiti, da sprememba začne veljati. Če gumb ni na voljo, to pomeni, da aplikacija ni naložena v pomnilnik ali pa niste v začetnem imeniku aplikacije.

Konfiguracija

Gumb Konfiguracija spremeni nastavitve konfiguracije aplikacije za imenik. V oknu Konfiguracija aplikacije, ki se prikaže (glejte sliko 2.7), lahko konfigurirate nekaj parametrov za interakcijo domačega imenika s skripti in izvedljivo vsebino.

riž. 2.7.

Okno Konfiguracija aplikacije vsebuje naslednje zavihke.

Zavihek Preslikave(Vrste datotek). Določa povezavo razširitev datotek z DLL-ji ISAPI. Privzeto so določene vse knjižnice ASP (.asa, .asp, .cdx, .cer), priključki za bazo podatkov (.idc) in zaledni del (.shtm, .shtml, .stm). Ko pride zahteva, se ta seznam uporablja za ugotavljanje, kateri DLL naj posreduje vsebino, odvisno od razširitve zahtevane datoteke.

Ko je možnost Cache ISAPI Extensions omogočena, se datoteke DLL ISAPI predpomnijo v pomnilniku in IIS obdela zahteve za povezane razširitve brez ponovnega nalaganja DLL. To izboljša zmogljivost večine aplikacij ISAPI, vključno z ASP. Možnost je privzeto omogočena in močno priporočamo, da je ne onemogočite. Ko je onemogočen, bo IIS naložil ASP.DLL in ustvaril objekte stanja aplikacije in seje vsakič, ko bo zahtevana stran ASP. Po obdelavi zahteve IIS takoj razloži ASP.DLL. Če odjemalec med razlaganjem aplikacije zahteva stran ASP, lahko pride do napake. Praviloma je možnost onemogočena samo pri testiranju kode ISAPI.DLL, ko je potreben ponovni zagon.

Možno je dodati lastne knjižnice ISAPI.DLL in jim dodeliti povezave. Sledite tem korakom, da dodate in konfigurirate DLL.

1. Kliknite gumb Dodaj. Prikaže se pogovorno okno Dodaj/Uredi preslikavo razširitve aplikacije.
2. Vnesite ime izvedljive datoteke (ali jo poiščite), ki bo obdelala vsebino.
3. Vnesite ime za razširitev. Pred podaljšanjem ni treba postaviti pike.
4. Določite, ali želite aplikaciji posredovati samo določene ukaze HTTP ali vse. Če želite omejiti nabor ukazov, vnesite dovoljene ukaze, ločene z vejicami.
5. Pustite označeno Skriptni mehanizem in preverite, ali datoteka obstaja, razen če ni razloga, da bi jih onemogočili. Nato vam bomo povedali o njihovem namenu.

Omejevanje HTTP glagolov(Omejite ukaze HTTP). Odjemalci HTTP uporabljajo ukaze za zahtevanje dejanj strežnika. Ti ukazi (metode) so opredeljeni v specifikaciji W3C za HTTP. Najpogostejše metode so GET, HEAD, POST in TRACE, čeprav se uporabljata tudi PUT in DELETE. Priporočljivo je, da omejite nabor ukazov, da zmanjšate ranljivost za napade. Na primer, povezovanje z datotekami ASP omeji nabor na ukaze GET, HEAD, POST in TRACE. Če obstaja omejitev, bodo aplikaciji v obdelavo poslani samo ukazi s seznama.

1. • Skriptni motor(Skriptni stroj). Možnost je privzeto omogočena. V tem primeru bo IIS vsebino obravnaval kot skript in ne kot izvedljivo datoteko, kar preprečuje vključitev dovoljenj za izvajanje v imenik, ker so skripti povezani s tolmačem.
   • Preverite, da datoteka obstaja(Preverjanje obstoja datoteke). Ko je ta možnost omogočena, IIS preveri prisotnost skriptne datoteke in uporabnikovo dovoljenje za delo z datoteko, preden jo pošlje tolmaču. Ker se vsak skript odpre dvakrat (enkrat za testiranje in enkrat za branje in pošiljanje skriptov v napravo), omogočanje te možnosti vodi do zmanjšanja zmogljivosti. V IIS 5 je ta možnost privzeto onemogočena, tako kot mnoge druge možnosti pa je iz varnostnih razlogov onemogočena v IIS 6.

Opomba... Tudi pri povezovanju in omogočanju razširitev ISAPI morda ne bodo delovale, razen če je v dovoljenjih domačega imenika izbrana možnost Samo skripti. V tem primeru omogočite dovoljenje za skripte in izvedljive datoteke za uspešno obdelavo vsebine.

Če želite spremeniti povezavo aplikacije z razširitvijo, označite razširitev in kliknite gumb Uredi. Prikaže se isto okno kot po kliku na gumb Dodaj z enakimi možnostmi.

Če želite odstraniti aplikacijo iz razširitve, izberite razširitev in kliknite gumb Odstrani, nato potrdite odstranitev.

Nadomestni znak se uporablja pri povezovanju aplikacije ISAPI z vsemi priponami datotek. Vprašanje je, zakaj ne bi preprosto uporabili filtra ISAPI. Obstaja nekaj razlik med filtrom ISAPI in komunikacijo aplikacije z uporabo nadomestnega znaka. Na ravni administracije se filtri ISAPI uporabljajo za celotno spletno mesto kot celoto, razširitve ISAPI pa so konfigurirane za vsak imenik. Podimenik podeduje skupinske povezave s končnicami iz nadrejenega imenika, razen če vsebuje lastne (v tem primeru se nadrejene povezave prezrejo).

Kliknite gumb Vstavi, da dodate povezavo do aplikacije. Nato vnesite ime izvedljive datoteke (ali pobrskajte po njej), da obdelate vsebino. Možnost Preveri, da datoteka obstaja, deluje enako kot za povezave razširitev in je varnostni ukrep.

Če želite spremeniti povezavo aplikacije, označite razširitev in kliknite gumb Uredi. Prikaže se okno Dodaj s podobnimi možnostmi.

Če želite odstraniti povezavo do aplikacije, označite razširitev in kliknite gumb Odstrani, nato potrdite odstranitev.

Gumbi Pomakni navzgor in Premakni navzdol nastavita komunikacijsko prioriteto aplikacij ISAPI. Zahteve bodo posredovane preko navedenih povezav do aplikacij v vrstnem redu, ki je tukaj določen.

Zavihek Možnosti(Opcije). Zavihek Možnosti (glej sliko 2.8) se uporablja za nastavitev konfiguracije aplikacije, skriptnega stroja in določanje, kako podpirati seje.

Možnost Omogoči stanje seje konfigurira ASP, da ustvari sejo na strani strežnika za vsako odjemalsko sejo na strežniku. Ta pristop je uporaben samo za običajne scenarije ASP, ker je stanje seje konfigurirano v datoteki web.config za aplikacije ASP.NET. Seja shranjuje podatke o uporabniku, ki gredo na vsako stran, ki jo obišče. V programu so ti podatki shranjeni v spremenljivkah v objektu seje. Spremenljivke seje lahko zavzamejo veliko količino pomnilnika, zato jih ni priporočljivo uporabljati v velikem številu na spletnih mestih z visoko stopnjo prometa, da ne bi poslabšali učinkovitosti.

Parameter Časovna omejitev seje določa, koliko časa je seja nedejavna, preden se zapre. Vnesite poljubno vrednost med 1 in 2.000.000.000 minut. Kdo ve, morda boste potrebovali spremenljivko seje čez 3800 let.

riž. 2.8.

Nasvet... Vzemite si čas z uporabo stanj seje, če delate s spletnim ogrodjem ASP ali uporabljate recikliranje delovnega toka. V spletnem okviru ASP lahko uporabnik ob povezovanju s spletnim mestom vsakič konča na drugem strežniku. Ker je stanje seje ustvarjeno na drugem strežniku (ne tam, kjer je uporabnik trenutno prijavljen), se informacije o stanju seje izgubijo. To se zgodi tudi pri recikliranju poteka dela, ki vsebuje informacije o seji. Zato priporočamo, da onemogočite uporabo stanja seje ali uporabite ASP.NET.

Označite potrditveno polje Omogoči medpomnjenje, da konfigurirate strežnik, da predpomni vso vsebino izhodnega skripta ASP, preden jo pošlje brskalniku. Možnost pošlje izhod enkrat namesto vrstice za vrstico. Vendar pa morate v primeru obdelave velikega skripta stran prikazati takoj po obdelavi vsebine, zato je treba to možnost onemogočiti.

Nadrejene poti vam omogočajo povezovanje z imeniki z uporabo relativnih imen poti v kodi ASP. Pot do skripta v nadrejenem imeniku je označena z dvema pikama (".."). To velja samo za dinamično vsebino, kot so vključene datoteke. Do statične vsebine je mogoče dostopati z uporabo relativnih poti. Možnost Omogoči nadrejene poti je iz varnostnih razlogov privzeto onemogočena, saj se lahko dinamična vsebina izvaja na isti strani brez določitve strukture imenika za navigacijo do želene lokacije.

Opomba... V IIS 6 so nadrejene poti privzeto onemogočene. Če imate v kodi relativne poti in je bila ta koda že izvedena v IIS 5, morate spremeniti kodo ali potrditi možnost Omogoči nadrejene poti, da se dinamična vsebina izvaja v IIS 6.

Možnost Privzeti jezik ASP določa jezik, ki obdeluje vsebino skriptov. Vsebina skript je označena z oznakami<% и %>... IIS 6 je dobavljen z dvema jezikoma: Microsoft Visual Basic Scripting Edition (privzeto) in Microsoft JScript. Namestite kateri koli skriptni stroj ActiveX za interpretacijo vsebine na spletnem mestu.

Časovna omejitev skripta ASP določa najdaljši čas za izvajanje skripta. Če je možnost onemogočena, se lahko nepismeno napisan skript izvaja neomejeno in povzroča težave na strežniku. Ko poteče določen čas, se skript ustavi in ​​obdelana vsebina se pošlje brskalniku s sporočilom o napaki, ki navaja, da je bila časovna omejitev dosežena. Določite kateri koli interval od 1 do 2.000.000.000 s (to je 63 let!).

Možnost Enable Side By Side Assemblies omogoča aplikaciji ASP, da izvede kodo v določeni različici aplikacije. Na strežnik lahko namestite najnovejšo različico svoje aplikacije, vendar izvedite določeno kodo v starejši DLL ali EXE. Če želite prilagoditi različice, ustvarite datoteko manifesta (datoteka XML), ki vsebuje informacije o konfiguraciji, lokaciji in registraciji COM. IIS-u bo povedal pravilno komponento za uporabo. Dodajte datoteko manifesta v vsak virtualni imenik z uporabo druge različice povezave.

Zavihek za odpravljanje napak(Odpravljanje napak). Zavihek Odpravljanje napak v oknu Konfiguracija aplikacije (glejte sliko 2.9) vam pomaga pri odpravljanju težav pri testiranju kode skripta ASP. Ko je omogočen, IIS za pregled kode uporablja razhroščevalnik Microsoft Script. IIS je konfiguriran za odpravljanje napak tako skriptov na strani strežnika kot odjemalca. Omogočanje skriptov na strani strežnika negativno vpliva na zmogljivost, zato ga uporabite le, kadar je to potrebno. Sporočilo, ki se pošlje odjemalcem, ko pride do napake v skriptu, lahko prilagodite.

riž. 2.9.

• Omogoči odpravljanje napak skriptov na strani strežnika ASP(Omogoči odpravljanje napak zalednih skriptov). Če omogočite možnost, boste IIS konfigurirali za uporabo razhroščevalnika skriptov za pregledovanje kode med obdelavo.
• Omogoči odpravljanje napak skriptov na strani odjemalca ASP(Omogoči razhroščevanje skriptov na strani odjemalca). Če omogočite to možnost, boste omogočili odpravljanje napak na straneh ASP z uporabo Microsoft ScriptDebuggerja na strani odjemalca. Ko pride do napake, bo odjemalec prejel sporočilo z vprašanjem, ali naj odpravi napako.
• Pošljite podrobna sporočila o napakah ASP odjemalcu(Odjemalcu pošljite podrobna sporočila o napakah). Privzeta možnost pošlje standardno sporočilo o napaki z imenom datoteke in relativno potjo, posebnim sporočilom o napaki in številko vrstice, kjer je prišlo do napake. To strankam omogoča dostop do podrobnih informacij o nastavitvah spletnega mesta, zato je smiselno poslati druga sporočila o napakah zaradi varnosti.
• Naročniku pošljite naslednje besedilno sporočilo o napaki(Odjemalcu pošljite naslednje besedilno sporočilo o napaki). Izberite to možnost in vnesite besedilo svojega sporočila, ki bo poslano odjemalcu, ko pride do napake v skriptu ASP. Vnesite na primer sporočilo z e-poštnim naslovom, kamor lahko stranka pošlje poročilo o napaki.

Ustvari postavitev sosednjih različic

Ustvarimo datoteko manifesta, ki aplikaciji omogoča uporabo starejše različice DLL. Je ključni objekt pri povezovanju sosednjih različic, zato začnemo z njim. IIS-u zagotavlja informacije o tem, kateri grafični uporabniški vmesnik naj uporabi za naloženi objekt COM. Pokličimo našo datoteko Myapp.xml; postaviti ga je treba v vsak virtualni imenik, ki uporablja ta DLL.

Zdaj moramo IIS-u naročiti, naj uporabi povezovanje sosednjih različic. Na zavihku Možnosti potrdite možnost Omogoči vzporedne sklope. Nato v polje Ime datoteke manifesta vnesite Myapp.xml. Naša datoteka manifesta se nahaja v istem imeniku, zato je podano samo ime datoteke.

Okno Lastnosti spletnega mesta ima še en zavihek Dokumenti (glejte sliko 2.10). Konfigurira standardne spletne strani in nogo, ki je postavljena na vsako stran.

riž. 2.10.

Omogoči stran s privzeto vsebino

Ta možnost določa privzeto stran za prikaz, če v URL-ju zahteve ni podano ime dokumenta. Na primer, ko odjemalec vnese http://www.microsoft.com, spletni strežnik IIS preveri, ali je privzeti dokument. Ko je ta možnost omogočena, se prikaže ta dokument. Ta pristop od stranke ne zahteva, da navede ime dokumenta za vsako obiskano spletno mesto. Če privzeti dokument ni definiran in odjemalec ni podal imena dokumenta, je nadaljnji razvoj dogodkov odvisen od tega, ali je brskanje po imeniku omogočeno ali onemogočeno.

• Brskanje po imeniku je omogočeno. Strežnik pošlje seznam vsebine imenika.
• Brskanje po imeniku je onemogočeno. Strežnik pošlje sporočilo o napaki: "Ogled vsebine tega navideznega imenika je zavrnjen."

Dodajanje in odstranjevanje strani s privzeto vsebino

IIS išče imena navedenih strani, če zahteva ne določa določene strani. Ime datoteke se mora ujemati z imenom strani, zato ne pozabite določiti končnice in to naredite pravilno (Default.htm ni isto kot Default.html). Če želite na seznam dodati ime datoteke, kliknite gumb Dodaj in vnesite ime za stran. Če želite odstraniti ime datoteke s seznama, ga izberite in kliknite gumb Odstrani. Za izbris ni potrebna potrditev.

Nastavitev privzetega vrstnega reda strani

Ko IIS išče stran, IIS privzeto preveri seznam v vrstnem redu, določenem v tem oknu. IIS uporablja prvo stran, katere ime ustreza iskalnim kriterijem. Če želite spremeniti vrstni red elementov na seznamu, označite ime strani in uporabite gumba Premakni navzgor in Premakni navzdol, da jo premaknete na želeno mesto.

Omogoči nogo dokumenta

Označite to možnost, da omogočite nogo dokumenta. Noga je dokument HTML, prikazan na dnu vsake strani. Uporablja se, če morate na vse strani spletnega mesta postaviti nekaj informacij, na primer o avtorskih pravicah, ne da bi na vsako stran vnesli kodo (ali datoteko). Dokument HTML vsebuje samo določeno kodo za prikaz brez odpiralne oznake ... Oznake se uporabljajo za oblikovanje besedila v nogi. Na žalost je noge mogoče postaviti samo na strani s statično vsebino (HTML).

Ko omogočite to možnost, kliknite gumb Prebrskaj, da izberete dokument, ki ga želite uporabiti kot nogo. Koda v dokumentu mora biti združljiva s HTML (ne sme vsebovati skript) in ni treba uporabljati datoteke s pripono .HTM.

Zavihek Varnost imenika (glejte sliko 2.11) se uporablja za konfiguriranje varnostnih nastavitev spletnega mesta: konfigurirajte preverjanje pristnosti odjemalca IIS, določite, kateri odjemalci se lahko povežejo s strežnikom, in zaščitite povezavo med odjemalcem in strežnikom.

riž. 2.11.

Spreminjanje nastavitev preverjanja pristnosti in nadzora dostopa

V tem razdelku izberete vrsto preverjanja pristnosti spletnega mesta, da zagotovite njegovo varnost. Zavedajte se interakcije med varnostnimi ukrepi NTFS in varnostnimi ukrepi IIS ter njihovim vplivom na uporabnike, ki se overijo na spletni strani. Kliknite gumb Uredi, da spremenite nastavitev za preverjanje pristnosti in nadzor dostopa. Odpre se pogovorno okno Metode preverjanja pristnosti (glejte sliko 2.12).

riž. 2.12.

Omogoči možnost anonimnega dostopa(Omogoči anonimni dostop). Ko je ta možnost omogočena, se uporabniki povežejo s spletno stranjo brez vnosa poverilnic. V okviru varnosti se uporablja račun za goste - račun gosta na internetu. Ustvarjen je med namestitvijo IIS in se imenuje IUSR_<имя_компьютера>... Možnost vam omogoča, da konfigurirate varnostne ukrepe za vse anonimne uporabnike, ki obiščejo spletno mesto s tem računom. Lahko se odjavite od računa za internet za goste in namesto tega uporabite drug račun (lokalni ali v zaupanja vredni domeni).

Nasvet... Vsak račun, ki se uporablja za dostop do spletnih strani, mora imeti dovoljenje za datoteko na ravni NTFS. Za več informacij o nastavitvi teh dovoljenj glejte 6. poglavje.

Sledite tem korakom, da izberete račun za anonimni dostop.

1. V pogovorno okno Metode preverjanja pristnosti vnesite ime računa. Za račun domene uporabite obliko ime_domene \ uporabniško ime.
2. Kliknite gumb Prebrskaj, da poiščete želeno ime. Prikaže se standardno okno za izbiro predmetov sistema Windows 2003.
3. V tem oknu izberite ime uporabniškega računa in njegovo lokacijo. Iščete lahko s klikom na gumb Napredno.
4. Ko izberete račun, kliknite gumb V redu.
5. V besedilno polje Geslo vnesite geslo za račun. Po kliku na gumb V redu se prikaže okno za potrditev gesla.

Ko vnesete uporabniško ime in geslo, IIS teh informacij ne potrdi. Če so podatki vneseni napačno, bo IIS deloval z onemogočenim anonimnim dostopom do spletnega mesta. Zaznavanje tega je težko, ker bo Internet Explorer samodejno uporabil druge metode preverjanja pristnosti, na primer prijavljene uporabniške poverilnice. Kot skrbnik boste imeli dostop do virov, kot gost uporabnik pa ne. Trenutno preverjenega uporabnika lahko ugotovite z datoteko dnevnika spletnega mesta, ki beleži ta postopek. Če uporabljate račun, ki nima dostopa do navedenega vira, se prikaže okno za vnos podatkov za preverjanje pristnosti.

Preverjen dostop... Razdelek Preverjen dostop v oknu Metode preverjanja pristnosti prikazuje vrste preverjanja pristnosti, omogočene na spletnem mestu. Če račun gosta IIS nima dostopa do vira, IIS preveri razpoložljive vrste preverjanja pristnosti.

• Integrirano preverjanje pristnosti Windows... Najbolj varna metoda preverjanja pristnosti, popolna za katero koli različico brskalnika Internet Explorer, če ni proxy HTTP. Vgrajen je v vse brskalnike IE od različice 2.0. Brskalniki, kot je Netscape, ne podpirajo te metode preverjanja pristnosti. Integrirano preverjanje pristnosti Windows uporablja NT izziv/odziv ali protokol Kerberos na strežniku. Kerberos se uporablja, če sta podprta odjemalec in strežnik Kerberos in je na voljo zaupanja vreden distribucijski center ključev (KDC); sicer pa načelo NT zahteve/odgovora.

Analitično preverjanje pristnosti za strežnike domen Windows... Analitično preverjanje pristnosti je na voljo z uporabo računov Active Directory. Ta metoda, čeprav je povezana z nekaterimi nevarnostmi, je še vedno varnejša od osnovnega preverjanja pristnosti. Poleg Active Directory je potreben tudi HTTP 1.1, zato analitična avtentikacija deluje samo z novejšimi različicami brskalnikov, ki podpirajo ta protokol. Krmilnik domene mora hraniti tudi odprto kopijo vsakega gesla, da preveri gesla za naključne informacije, ki jih pošlje odjemalec. To je varnostna grožnja. Shranjevanje gesel v golem besedilu na disku je očitno tveganje, zato poskrbite, da je vaš krmilnik domene varno zaščiten pred vdori, sicer bi lahko napadalec ugotovil, katera gesla potrebuje. Prednost analitičnega preverjanja pristnosti je, da se geslo ne prenaša po omrežju v jasnem, kot pri osnovnem preverjanju pristnosti.

Analitično preverjanje pristnosti je preprosto razprševanje in zato deluje prek požarnih zidov in proxyjev. Na voljo je tudi za spletne imenike za distribuirano avtorstvo in različice (WebDAV). Ker analitična avtentikacija zahteva domeno, je na voljo polje Realm, ko jo izberete. Če analitična (ali osnovna) avtentikacija ni omogočena, polje Realm ni na voljo. To polje določa bazo podatkov uporabniškega računa, ki se uporablja za preverjanje pristnosti. S tipkovnico vnesite ime območja v polje ali pa z gumbom Izberi izberite želeno ime s seznama območij.

• Osnovna avtentikacija... Najenostavnejša in najbolj vsestranska metoda preverjanja pristnosti, pri kateri se uporabniško ime in geslo prenašata v jasnem besedilu. Ker ta metoda ne uporablja šifriranja, jo je enostavno zlomiti. Prednost metode je njena vsestranskost. Tako kot pri analitičnem preverjanju pristnosti podajte bazo podatkov uporabniškega računa, ki se uporablja za preverjanje pristnosti. Vnesite ime področja v besedilno polje Realm ali kliknite gumb Izberi, da izberete želeno področje s seznama.
• Preverjanje pristnosti .NET Passport... Nova metoda preverjanja pristnosti, ki jo uporabljajo Microsoftove tehnologije. Strankam omogoča uporabo enotne prijave na spletna mesta, ki podpirajo potne liste. Če želite zagotoviti podporo za potne liste, morate imeti delujoč .NET Central Passport Server. Strežnik .NET Passport lahko prenesete s spletnega mesta Microsoft MSDN (http://msdn.microsoft.com). Ko je izbran ta način preverjanja pristnosti, postane polje Privzeta domena aktivno. Strežnik IIS mora biti član domene; morate določiti privzeto domeno za preverjanje pristnosti. Vnesite njegovo ime v polje ali pritisnite gumb Izberi, da izberete s seznama.

Omejitev dostopa po naslovu IP ali imenu domene

IIS vam omogoča, da omejite dostop do uporabniškega mesta, ne da bi navedli uporabniško ime in geslo. Omejitev naslova IP določa določeno skupino uporabnikov, ki jim je odobren ali zavrnjen dostop do spletnega mesta. To se uporablja v naslednjih primerih.

• Dostop do spletnega mesta je treba zagotoviti določeni skupini uporabnikov.
• Vsi IP naslovi uporabnikov, ki jim je bil odobren dostop, so znani.
• Drugim uporabnikom morate onemogočiti dostop do spletnega mesta.
• Ni potrebe po preverjanju pristnosti kot pri nadzoru dostopa ali pa morate uporabiti drugo omejitev.

Če se odločite omejiti dostop z naslovi IP, je treba te omejitve konfigurirati. Kliknite gumb Uredi v območju Omejitve naslova IP in domenskega imena na zavihku Varnost imenika. S klikom na gumb Uredi se odpre pogovorno okno IP Address And Domain Name Omejitve (glejte sliko 2.13). Izbrati je treba način postavitve omejitve: prepovedati dostop vsem uporabnikom, razen določenim določenim osebam, ali omogočiti dostop vsem in naložiti prepoved dostopa do strani za določene uporabnike. Če izberete možnost odobrenega dostopa, bo pristop omejevanja zvest; če izberete možnost Denied Access, se uveljavi načelo "zavrni dostop vsem z nekaj izjemami".

riž. 2.13.

Spreminjanje omejitev naslova IP... Kliknite gumb Dodaj, da dodate naslov IP na seznam. Prikaže se okno Dovoli dostop ali Zavrni dostop, odvisno od tega, katera možnost je izbrana.

Odločitev za odobritev ali zavrnitev dostopa je globalna odločitev. Ne morete zavrniti dostopa do nekaterih naslovov IP in dovoliti dostop do drugih. Tukaj morate delovati po načelu "vse ali nič". Izberite želeno vrsto dostopa.

• En računalnik... Omogoča vnos naslova IP na seznam dostopov. Na ta način je mogoče zaporedoma določiti več računalnikov. Če ne poznate naslova IP računalnika, kliknite gumb DNS Iskanje, da določite naslov IP po imenu.
• Skupina računalnikov... Omogoča, da vnesete ID omrežja in masko podomrežja, da dodate računalnike na seznam. Maske podomrežja s spremenljivo dolžino se lahko uporabljajo za precej natančno prepoznavanje naslovov IP na seznamu.
• Domena... Omogoča vam, da vnesete ime domene, da onemogočite dostop do spletnega mesta z nje. Pri uporabi te možnosti bodite previdni, saj poišče vsakega odjemalca, ki se poveže s strežnikom, da ugotovi, ali je član zavrnjene domene. To negativno vpliva na zmogljivost in povzroča zamude pri preverjanju pristnosti odjemalcev. Povratna iskanja so običajno dolgotrajna za dokončanje.

Ko izberete in konfigurirate vrsto dostopa, kliknite V redu, da se ustrezen vnos prikaže na seznamu.

Če želite odstraniti, označite vnos in kliknite gumb Odstrani. Za urejanje označite vnos in kliknite gumb Uredi.

Varnost povezave

Področje Varne komunikacije na zavihku Varnost imenika se uporablja za konfiguriranje potrdil za preverjanje pristnosti in šifriranje. Omogoča ustvarjanje zahtev za potrdila, dodeljevanje, izvoz, uvoz in varnostno kopiranje potrdil, konfiguriranje interakcije strežnika s potrdili odjemalca.

Če želite konfigurirati potrdilo na tem strežniku, kliknite gumb Certifikat strežnika. Prikaže se okno čarovnika za potrdila spletnega strežnika. Kliknite gumb Naprej, da spremenite nastavitve dodelitve potrdil.

• Ustvarite novo potrdilo(Ustvarite novo potrdilo). Omogoča vam, da konfigurirate zahtevo, ki se pošlje overitelju potrdil (CA) (glejte 10. predavanje). Zahteva se bodisi pošlje spletni certifikacijski pisarni bodisi shrani v datoteko, nato pa se datoteka prek postopka registracije pošlje certifikacijskemu uradu. Na strežnik namestite certifikacijske storitve, da pošljete zahtevo spletnemu overitelju potrdil.

  Nasvet... Organi za izdajo potrdil (CA) se nahajajo v imeniku Active Directory in imajo zapise SRV v DNS, tako da jih lahko najdete. Za več informacij o zapisih SRV in DNS glejte poglavje 8. Če je v tem računalniku nameščen ločen urad za potrdila, ga IIS ne bo mogel prepoznati. Vendar to ni tako velik problem, saj lahko certifikat ročno odobrite in namestite (glejte 7. predavanje predmeta Programiranje v IIS). Priporočamo, da CA postavite na varno mesto; ranljiv spletni strežnik za ta namen ni primeren.

  Ko ustvarjate zahtevo za predložitev overitelju potrdil, sledite tem korakom.

  1. Izberite možnost Ustvari novo potrdilo, nato kliknite gumb Naprej.
  2. Izberite možnost Pripravi zahtevo zdaj, vendar jo pošlji pozneje, nato kliknite gumb Naprej
  3. Vnesite želeno ime za potrdilo - določite lahko poljubno ime.
  4. Dolžino potrdila določite v bitih. Izberete lahko 512, 1024, 2048, 4096, 8192 ali 16384 bitov, da ustvarite kompleksno razpršitev.
  5. Če želite za generiranje tega potrdila izbrati ponudnika kriptografskih storitev (CSP), izberite ustrezno možnost. CSP je algoritem, ki se uporablja za ustvarjanje potrdil.
  6. Vnesite ime svoje organizacije in vnesite organizacijsko enoto. Ne pozabite, da morate pri uporabi storitev komercialnega urada za potrdila navesti svoje uradno ime podjetja. Kliknite gumb Naprej.
  7. Vnesite skupno ime spletnega mesta. Skladati se mora z imenom DNS ali NetBIOS, ki se uporablja za spletno mesto. Ker vsako potrdilo ustreza določenemu imenu, je primerno samo za eno ime. Če uporabljate drugo ime DNS ali NetBIOS, morate pridobiti novo potrdilo. Kliknite gumb Naprej.
  8. Vnesite podatke v polja Kraj, Država in Država. Izogibajte se popadkom. Kliknite gumb Naprej.
  9. Vnesite ime in lokacijo datoteke za oddajo zahteve. Zavedajte se te datoteke, saj bo uporabljena v zahtevi za potrdilo. Kliknite gumb Naprej.
  10. Naslednje okno je okno poročila. Prepričajte se, da so podatki, ki ste jih vnesli, pravilni. Kliknite gumb Naprej.
• Dodeli obstoječe potrdilo(Dodelite obstoječe potrdilo). Omogoča, da spletnemu mestu dodelite pravilno potrdilo, shranjeno v tem računalniku. Ko izberete možnost, se prikaže seznam potrdil za ta računalnik. Označite enega od njih in kliknite gumb Naprej. Izberite vrata SSL za spletno mesto. V trenutnem oknu so nastavljena privzeta vrata (443). Ne spreminjajte te vrednosti, razen če je nujno potrebno, saj odjemalci privzeto vzpostavijo povezavo SSL na vratih 443. Ko izberete številko vrat, preglejte zaslone s povzetkom in dokončajte čarovnika. Nameščen certifikat je na voljo za takojšnjo uporabo odjemalcem.
• Uvozite potrdilo iz datoteke varnostne kopije upravitelja ključev(Uvozi potrdilo iz arhiva upravitelja ključev). Omogoča uvoz potrdila, izvoženega s programom Windows NT 4.0 Key Manager. Z izbrano možnostjo se pomaknite do mesta shranjene datoteke .key in izberite datoteko. Nato določite vrata SSL za spletno mesto, si oglejte nastale zaslone in dokončajte čarovnika.
• Uvozi potrdilo iz datoteke .pfx(Uvozi potrdilo iz datoteke .pfx). Omogoča uvoz datoteke potrdila, ki je skladna s standardom sintakse izmenjave osebnih podatkov ali PKSC #12. Je standard za shranjevanje ali prenašanje potrdil v prenosni obliki. Če morate po uvozu potrdilo arhivirati ali izvoziti, potrdite možnost Označi potrdilo kot izvozno. Ko izberete datoteko .pfx, vnesite geslo za zaščito datoteke med izvozom. Nato določite vrata SSL za spletno mesto, si oglejte nastale zaslone in dokončajte čarovnika.

• Kopirajte ali premaknite potrdilo s spletnega mesta oddaljenega strežnika na to spletno mesto(Kopirajte ali premaknite potrdilo z oddaljenega strežnika na to spletno mesto). Potrdila je možno pridobiti na drugem spletnem mestu. Ta možnost preprečuje izvoz potrdila v datoteko, kar predstavlja varnostno tveganje. Sledite tem korakom, da kopirate ali premaknete potrdilo z oddaljenega spletnega strežnika.

  1. V oknu čarovnika za potrdila IIS izberite možnost Kopiraj ali premakni potrdilo s mesta oddaljenega strežnika na to mesto, nato kliknite gumb Naprej.
  2. V pogovornem oknu Kopiraj/Premakni potrdilo izberite želeno dejanje.
  3. Izberite, ali želite izvoziti potrdilo s tega spletnega mesta. Kliknite gumb Naprej.
  4. Vnesite ime računalnika (ali pobrskajte po njem), iz katerega je uvoženo potrdilo.
  5. Vnesite poverilnice uporabnika, ki ima zadostna dovoljenja za dostop do potrdila, nato kliknite Naprej.
  6. Določite lokacijo mesta, s katerega je uvoženo potrdilo. Uporabite gumb Prebrskaj, da izberete to lokacijo s seznama. Kliknite gumb Naprej.
  7. Preverite podrobnosti v nastalem oknu in se prepričajte, da ste uvozili pravilno potrdilo.

Obdelava potrdil... Ko prejmete odgovor CA, obdelajte čakajočo zahtevo za potrdilo. Če želite to narediti, sledite tem korakom.

1. Znova zaženite čarovnika za potrdila spletnega strežnika tako, da kliknete gumb Certifikat strežnika na zavihku Varnost imenika.
2. V pogovornem oknu Potrdilo strežnika izberite možnost Obdelaj čakajočo zahtevo in namestite potrdilo. Kliknite gumb Naprej.
3. Vnesite ime odzivne datoteke (ali poiščite njeno lokacijo), ki ste jo prejeli od CA, nato kliknite Naprej.
4. Vnesite številko vrat SSL, ki jih bo uporabljalo spletno mesto. Kliknite gumb Naprej.
5. Preglejte okno poročila in se prepričajte, da so informacije pravilne.
6. Kliknite gumb Naprej, nato kliknite gumb Dokončaj.

Vaše spletno mesto ima zdaj pravilno potrdilo in ga je mogoče uporabiti za vrata, navedena pri namestitvi odzivne datoteke potrdila. Če ni odgovora, morate izbrisati čakajočo zahtevo. Če želite to narediti, sledite tem korakom.

1. V čarovniku za potrdila spletnega strežnika izberite možnost Izbriši čakajočo zahtevo. V naslednjem pogovornem oknu se prikaže sporočilo, da če nadaljujete z delom s čarovnikom, ne bo več mogoče obdelati odgovorov na to zahtevo, kot tudi ponudba za zavrnitev nadaljevanja.
2. Kliknite gumb Naprej, da izbrišete zahtevo.
3. Kliknite gumb Dokončaj, da dokončate čarovnika.

Oglejte si podrobnosti nameščenega potrdila... Če imate nameščeno potrdilo, si oglejte njegove podatke tako, da kliknete gumb Ogled potrdila na zavihku Varnost imenika.

• Zavihek Splošno(Splošno). Vsebuje podatke o certifikatu: namen certifikata, izdajatelj certifikata, naročnik certifikata, rok veljavnosti certifikata.
• Zavihek Podrobnosti(Podrobnosti). Vsebuje zelo pomembne informacije o certifikatu. Od tam si lahko ogledate vse lastnosti potrdila, zaženete čarovnika za izvoz potrdil, omogočite ali onemogočite namen danega potrdila in določite več lokacij za prenos iz različnih uradov za potrdila.
• Zavihek Pot certifikata(pot certifikata). Omogoča ogled hierarhije potrdil CA za to potrdilo. Prikaže informacije o tem, ali je potrdilo veljavno.

Spreminjanje varnih povezav... Z gumbom Uredi lahko spremenite povezave potrdil in sezname zaupanja (glejte sliko 2.14). Možno je konfigurirati prisilno uporabo SSL.

riž. 2.14.

Možnost Zahtevaj varni kanal uveljavlja SSL na spletnem mestu. Vsakemu brskalniku, ki ne uporablja SSL, bo onemogočen dostop do spletnega mesta.

Možnost Zahtevaj 128-bitno šifriranje vam omogoča, da uveljavite močno šifriranje. To preprečuje brskalnikom s šibkejšim šifriranjem dostop do spletnega mesta. Pri Microsoftu so na voljo posodobitve za Internet Explorer, ki uporabljajo 128-bitno šifriranje (http://www.microsoft.com/ie). Prenese jih lahko vsak uporabnik države, ki ni del številnih držav, na katere so ZDA uvedle informacijski embargo (ker je Microsoft ameriška vladna korporacija).

Uporaba odjemalskih potrdil izvaja identifikacijo povezovalnih uporabnikov na spletnem mestu. Potrdila odjemalca so način za nadzor dostopa. Določite lahko naslednje nastavitve.

• Ignoriraj(Prezri). Privzeta možnost. Nobeno predloženo potrdilo odjemalca ne bo sprejeto.
• Sprejmi(Sprejmi). Sprejema potrdilo. Omogoča vam konfiguriranje povezav potrdil, kar ni obvezno. Vsak brskalnik brez odjemalskega potrdila bo lahko dostopal do spletnega mesta.
• Zahtevaj(Povpraševanje). Zahteva uporabo potrdil. Vsakemu odjemalcu brez potrdila je onemogočen dostop do spletnega mesta. Če želite izbrati to možnost, morate potrditi tudi možnost Zahtevaj varni kanal.

Nastavitev povezav potrdil je zasnovana za preverjanje pristnosti odjemalskega računalnika z računom Windows. Obstajata dve vrsti odnosov: ena proti ena in več proti ena.

• Odnos ena proti ena... Uporablja se v primeru, da ima uporabniški račun lastno potrdilo. Uporabniški račun ima lahko z njim povezanih več potrdil, vendar ta funkcija zahteva vsaj eno edinstveno potrdilo. Potrdilo se uvozi in poveže z računom, nato pa se uporabi za overjanje uporabnika.
• Odnos mnogo proti enemu... Uporablja se, ko je z uporabniškim računom povezanih več potrdil. Določa merilo skupine za potrdilo odjemalca z informacijami o potrdilu, kot je ime oddelka ali organizacije. Če se ti podatki ujemajo, se uporabi navedeni račun.

Zavihek Glave HTTP v oknu Lastnosti (glejte sliko 2.15) konfigurira potek vsebine, oceno vsebine in vrste MIME ter doda glave HTTP.

riž. 2.15.

Nastavitev datuma poteka vsebine

Možnost nastavi datum poteka za datoteke na spletnem mestu in se uporablja za prenehanje predpomnjenja vsebine po določenem obdobju. Datum poteka se posreduje skupaj z vsebino, ko se zahteva. Objekt RESPONSE z lastnostjo CACHECONTROL ali EXPIRES se uporablja za nastavitev starosti predpomnilnika in datuma poteka na straneh ASP, vendar ne deluje z grafiko. Možnost izvaja določene funkcije z uporabo naslednjih parametrov.

Takoj poteče(Takojšnji potek). Zahtevniku prepreči predpomnjenje podatkov. Priporočljivo je, da ga uporabite na testnem ali razvojnem mestu, ko spreminjate kodo, tako da starejše različice ne bodo predpomnjene v mapah IE. Možnost deluje tudi za strani z dinamično spreminjajočo se vsebino, ko uporabnik vsakič prejme nov rezultat, tako da se podatki te strani ne shranjujejo v mape brez povezave.

Poteče po(Poteka po). Nastavi časovni razpon v minutah, urah ali dnevih. Določite lahko katero koli vrednost med 1 minuto in 32.767 dnevi (to je samo 90 let).

Poteče na(Poteka v). Določi datum poteka za vsebino ob določenem času. Ne morete določiti datuma poteka prej kot trenutni datum. Kateri koli datum do 31. decembra 2035. Ker ta datum obdeluje stranka, ga nadzoruje njihov časovni pas, zato lahko pride do razlik v datumu poteka vsebine glede na območje.

Glave HTTP po meri

V tem razdelku lahko ustvarite glavo HTTP po meri, ki bo poslana odjemalcu, poleg običajne glave, ki jo odjemalec prejme od strežnika. Posebna glava vsebuje dodatne podatke, koristne za odjemalca. Podpira tudi nov standard HTTP, ki ga IIS 6 izvorno ne podpira.

Sledite tem korakom, da dodate naslov po meri.

1. Kliknite gumb Dodaj. Prikaže se pogovorno okno Dodaj / uredi glavo HTTP po meri.
2. V navedeno polje vnesite ime za naslov po meri.
3. V zagotovljeno polje vnesite vrednost glave po meri.
4. Kliknite na gumb V redu.

Naslov se spremeni z gumbom Uredi in odstrani z gumbom Izbriši (Odstrani). Ko izbrišete glavo po meri, niste pozvani, da potrdite izbris.

Ocena vsebine

Možno je oceniti vsebino strani. Gre za prostovoljni sistem, ki ga je razvilo združenje za ocenjevanje internetnih vsebin (ICRA). ICRA je neprofitna neodvisna organizacija, ki staršem omogoča, da se objektivno odločijo o tem, kaj lahko njihovi otroci vidijo na internetu. Ta sistem je sestavljen iz dveh delov: najprej spletno mesto oceni spletni skrbnik (ICRA ne ocenjuje), nato končni uporabnik nastavi možnosti brskalnika, da blokira določena spletna mesta zaradi njihove vsebine.

Uporabljata se dva standarda ocenjevanja vsebine: stari standard RSACi in novejši sistem ICRA. IIS 6 podpira RSACi, ki ocenjuje vsebino v štirih kategorijah.

1. Nasilje.
2. Seks.
3. Nudizem.
4. psovke.

Po oceni sistema spletni skrbnik posreduje elektronski naslov osebe, ki je ocenila vsebino, za povratne informacije in razpravo o ocenah. Za ocene lahko nastavite datum poteka, po katerem prenehajo delovati.

Omogočanje ocenjevanja vsebine spletnega mesta... Sledite spodnjim korakom.

1. Odprite pogovorno okno Ocene vsebine tako, da kliknete gumb Uredi ocene na zavihku Glave HTTP.
2. V oknu Ocene vsebine potrdite možnost Omogoči ocene za to vsebino.
3. Izberite oceno, ki jo želite nastaviti.
4. Z drsnikom nastavite raven od 0 do 4.
5. Nastavite eno oceno ali vse skupaj (če je potrebno).
6. V zagotovljeno polje vnesite svoj e-poštni naslov. Običajno bo to vključevalo naslov, ki odraža reprezentativni račun (npr. [email protected]).
7. Prosimo, navedite datum poteka. Datum mora biti večji od trenutnega datuma. Vnesite poljuben datum pred 31. decembrom 2035.
8. Kliknite na gumb V redu.

Vrste MIME

Večnamenske razširitve internetne pošte (MIME) definirajo vrste datotek, ki jih IIS služi odjemalcem. IIS 6 ponuja samo datoteke, povezane s skripti ali določenimi vrstami MIME. Ko najdemo razširitev IIS, ki nima vezave MIME, odjemalec prejme napako 404 »Not Found« in strežnik potrdi podstanje s kodo treh.

Opomba... Obstaja ena izjema od pravila MIME: besedilne datoteke s pripono .txt, ki niso povezane z MIME ali skriptom, streže IIS.

Vrste MIME so konfigurirane globalno, na ravni spletnega mesta ali imenika in so podedovane v padajočem vrstnem redu ravni. Oglejmo si primer dodajanja povezave MIME.

1. Kliknite gumb MIME Types na zavihku Glave HTTP na želeni ravni (globalno, spletno mesto ali imenik, odvisno od možnosti, izbrane v MMC-ju).
2. Kliknite na gumb Novo.
3. V pogovornem oknu Vrsta MIME vnesite razširitev datoteke v polje Razširitev. V tem primeru podajte razširitev .log.
4. V zagotovljeno polje vnesite vrsto MIME. Ker je datoteka v obliki navadnega besedila, je ustrezna vrsta MIME besedilo / navaden.
5. Kliknite na gumb V redu. Nova razširitev je dodana na seznam.
6. Kliknite na gumb V redu in nato še enkrat.

Vaš imenik (strežnik, spletno mesto) je zdaj nastavljen za serviranje datotek .log. Stranke, ki izberejo datoteko v tem imeniku, jo bodo videli v svojih brskalnikih. V tem oknu lahko urejate in brišete povezave do vrst MIME.

Če tip MIME ni pravilno konfiguriran, bo IIS posredoval datoteko, vendar sistem ne bo vedel, kaj storiti z datoteko. Uporabniki IE bodo morali s seznama izbrati program za odpiranje te datoteke.

Opomba... Kako ugotovite, ali se tip MIME ujema z zadevno datoteko? RFC2045 in RFC2046 definirata polja za tipe MIME in kako IANA (Agencija za dodeljevanje imen internetnega protokola) dodeljuje in ogleduje vrste. To je ista organizacija, ki dodeljuje naslove IP. Celoten seznam vrst se nahaja na spletni strani organizacije na naslovu http://www.iana.org.

Zavihek Napake po meri (glejte sliko 2.16) se uporablja za spreminjanje standardnih sporočil o napakah, ki jih pošilja IIS. Prikaže povezavo vsake napake HTTP s kodo podstatusa. Na zavihku lahko ustvarite sporočila o napakah po meri in nastavite skripte, ki se zaženejo, ko pride do napak.

riž. 2.16.

Sporočila o napakah po meri se uporabljajo za poročanje o napakah in pomoč pri odpravljanju težav. Ustvarili ste na primer vrsto sporočila, ki se ujema s skriptom ASP za obvestilo spletnega skrbnika. Skript zabeleži dogodek, prikaže sporočilo na zaslonu, da je prišlo do težave, končnemu uporabniku in ga preusmeri na privzeto stran. Ko so skriptna, postanejo sporočila o napakah uporabna pri diagnosticiranju težav s spletnim mestom.

Za izbiro so na voljo tri vrste sporočil.

• Privzeto(Privzeto). Privzeta napaka, programirana v IIS. Omogoča vam, da obnovite prvotno stanje, ko posebna napaka ni več potrebna.
• mapa(Mapa). Omogoča, da izberete datoteko z njenim popolnim imenom (na primer C: \ windows \ pomoč \ napake \ iiserror404.asp).
• URL... Omogoča vam, da odjemalca usmerite na stran spletnega mesta z uporabo absolutne poti URL-ja (začenši na najvišji ravni spletnega mesta). Zato se morajo strani z napakami HTTP nahajati na istem mestu, čeprav se lahko nahajajo v navideznem imeniku. Če vnesete URL, ki ni v pravilni obliki, se prikaže sporočilo o napaki.

Spreminjanje lastnosti posebnih napak

Sledite tem korakom, da spremenite lastnosti posebnih napak.

1. Označite napako HTTP in kliknite gumb Uredi. Prikaže se okno Uredi lastnosti napak po meri.
2. V spustnem meniju izberite vrsto sporočila za to napako.
3. Če uporabljate datoteko, podajte pot do datoteke ali poiščite njeno lokacijo.
4. Če uporabljate URL, vnesite absolutno ime datoteke.
5. Če izberete možnost Privzeto, vam ni treba ničesar navesti.
6. Ko izberete in konfigurirate možnost, kliknite gumb V redu.
7. Kliknite na gumb V redu.

riž. 2.22.

Ustvarjanje zbirke aplikacij

Privzeto področje aplikacij se imenuje DefaultAppPool. Vsako spletno mesto, ki ga ustvarite, uporablja DefaultAppPool, razen če je določeno drugo področje. Sledite tem korakom, da ustvarite novo področje aplikacij.

1. Označite vozlišče Področja aplikacij v MMC-ju IIS.
2. Izberite Dejanje \ Novo \ Pool aplikacij. Prikaže se pogovorno okno Dodaj novo področje aplikacij.
3. V besedilno polje vnesite ID področja aplikacij. Ime mora biti prijazno, opisno.
4. Če kot predlogo uporabljate drugo področje aplikacij, izberite možnost Uporabi obstoječe področje aplikacij kot predlogo in s seznama izberite želeno.
5. Kliknite na gumb V redu.

Ko ustvarite novo področje aplikacij, konfigurirajte njegove nastavitve. Če želite odpreti okno Lastnosti področja aplikacij, izberite področje aplikacij v MMC-ju in izdajte ukaz Dejanje \ Lastnosti. Odpre se okno Lastnosti, ki vam omogoča, da konfigurirate vsa področja aplikacij hkrati. Če želite to narediti, namesto ločenega področja dodelite raven Področja aplikacij. Vsi parametri tega nivoja so enaki parametrom posameznih bazenov.

Zavihek Recikliranje (glejte sliko 2.23) konfigurira recikliranje pomnilnika in delovnega toka. Recikliranje delovnih procesov pomaga ohranjati delovanje IIS tako, da uniči delovni proces in zažene novega, pri čemer se sprosti ves pomnilnik, ki ga uporablja delovni proces.

riž. 2.23.

Nastavite lahko pet meril za recikliranje procesa in jih uporabite posamezno ali vse naenkrat.

• Recycle Worker Process(v minutah) Omogoča vam, da konfigurirate, kako dolgo je delovni tok aktiven, preden ga ustavite in začnete nov proces. Vnesite poljubno vrednost med 1 in 4.000.000 minutami. Pri vrednosti ene minute bo recirkulacija tako pogosta, da bo postala zelo velika obremenitev strežnika. Vrednost 4.000.000 min (7,6 let) se razlaga kot brez recirkulacije. Če želite zmanjšati puščanje pomnilnika, nastavite stopnjo recikliranja, ki ustreza tehnologiji, uporabljeni na spletnem mestu. Aplikacije ASP/COM povzročajo več težav s puščanjem pomnilnika kot aplikacije ASP.NET ali CGI. Obseg zahtev, poslanih na spletno mesto, je v tem primeru pomemben parameter. Vsaka aplikacija je drugačna, zato, če želite določiti pogostost njenega kroženja, ugotovite, kako aplikacija zagotavlja svojo podporo.
• Recycle Worker Process(Število zahtev) Označuje število zahtev, ki jih delovni tok obdela pred ponovnim kroženjem. Določite katero koli vrednost med 1 in 4.000.000.
• Reciklirajte postopke delavcev v naslednjih časih(Delovne procese reciklirajte naslednjič). Konfigurira določene ure dneva za dnevno recikliranje delovnih procesov. Uro lahko dodate, odstranite in spremenite.

Odprava puščanja spomina

Puščanje pomnilnika je posledica izvajanja aplikacij, ki ne sprostijo celotne količine sistemskega pomnilnika. Vsakič, ko se aplikacija zažene, se nekaj pomnilnika izgubi, zaradi česar ni dovolj RAM-a, da bi sistem normalno deloval. Puščanje pomnilnika je zelo enostavno izvesti. Na primer z naslednjo kodo ASP:

NASTAVI MyBadApp = Server.CreateObject ("SomeApp.ThisHurts") MyBadApp.DoSomething

V tem primeru zaprite aplikacijo in nastavite MyBadApp na nič, tako da v kodo dodate vrstico SET MyBadApp = Nothing. Če ta parameter ni, se pomnilnik, ki ga zaseda program, ne sprosti.

Recikliranje spomina(Recirkulacija pomnilnika) Izvaja se lahko recirkulacija, ki temelji na uporabi pomnilnika. To je odličen način za preprečevanje puščanja pomnilnika, saj se ta kroži takoj, ko je dosežen prag.

• Največji navidezni pomnilnik(V megabajtih) (Največji navidezni pomnilnik, MB). Omogoča ponovno kroženje delovnih procesov, ko je dosežen prag. Ta ukrep obravnava težave z navideznim pomnilnikom. Določite vrednost med 1 in 2.000.000 MB. Upoštevajte, da je mogoče določiti vrednost, ki je večja od takojšnje količine navideznega pomnilnika (približno 1,9 TB). Seveda je prag 1 MB skoraj vedno dosežen, v tem primeru se bo recirkulacija izvajala redno.
• Največji porabljen pomnilnik(V megabajtih) (Največja količina uporabljenega pomnilnika, v MB). Omogoča recikliranje na podlagi uporabe fizičnega pomnilnika. Določite vrednost med 1 in 2.000.000 MB, kar je veliko več od pomnilnika, nameščenega na običajnem strežniku Windows.

V zavihku Zmogljivost (glejte sliko 2.24) lahko konfigurirate parametre, da preprečite preobremenitev procesorja.

riž. 2.24.

• Časovna omejitev mirovanja(Izpad). Določa, koliko časa je lahko delovni proces v mirovanju pred zaustavitvijo. Omogoča izvajanje dela velikega števila aplikacij, ki pogosto mirujejo, saj ne bodo vzele procesorskega časa. Vnesite poljubno časovno obdobje od 1 do 4.000.000 minut.
• Omejitev čakalne vrste zahtev(Omejitev zahtev v čakalni vrsti). Določa število zahtev, ki so v čakalni vrsti v področju aplikacij, preden zavrne nove zahteve. Omogoča, da preprečite preobremenitev strežnika z zahtevami. Ko je določena omejitev dosežena, se strežnik na vse zahteve odzove z napako HTTP 503 "ServiceUnavailable". Podajte katero koli vrednost med 0 in 65.535 zahtev v čakalni vrsti.
• Največja poraba CPE (odstotek)(Maksimalna izkoriščenost procesorja, v odstotkih). Področju aplikacij omogoča uporabo določene količine procesorskega časa do določene vrednosti. Ta možnost izračuna CPE za spremljanje časa CPE in tega ne počne v realnem času. Določite katero koli vrednost med 1 in 100 odstotki.
• Osveži številke uporabe CPE (v minutah)(Posodobite vrednosti porabe procesorja v, min). Nastavi čas posodobitve za funkcijo izračuna CPE. Število procesov CPE se posodobi po določenem času. Nastavite poljubno vrednost od 1 do 1440 min.
• Dejanje, izvedeno, ko poraba CPE preseže maksimalno CPE(Ukrep, ki se izvede, ko je presežena največja izkoriščenost procesorja). Obstajata dve možnosti: Brez dejanja in Zaustavitev. Možnost Brez dejanja preprosto zapiše dogodek v dnevnik. Možnost Shutdown poizveduje delovne procese v področju aplikacij.

Spletni kompleti... Omogočajo vam, da porazdelite zahteve po več delovnih procesih v določenem področju aplikacij, s čimer dosežete višjo raven zmogljivosti in zanesljivosti, saj bo aplikacija uporabljala več delovnih procesov in napaka v enem od njih ne bo vplivala na delo drugih. Parameter Največje število delovnih procesov nastavi število delovnih procesov v tem področju aplikacij. Določite katero koli vrednost med 1 in 4.000.000.

Opozorilo... Namestitev preveč delovnih procesov bo negativno vplivala na zmogljivost sistema, saj vsak proces zavzame približno 5 MB pomnilnika samo ob zagonu. Upoštevajte to pri določanju največjega števila delovnih procesov, ki se izvajajo na strežniku.

Zavihek Zdravje (glejte sliko 2.25) konfigurira nastavitve, ki vzdržujejo stanje delovanja tega področja aplikacij, in nastavitve za odkrivanje težav.

riž. 2.25.

• Omogoči ping(Omogoči zahteve ping). Konfigurira sistem za občasno pošiljanje zahtev ping delovnim procesom. Pomanjkanje odziva delovnega toka pomeni, da je v njem težava; IIS uniči ta proces in namesto tega ustvari novega. Vnesite poljubno vrednost med 1 in 4.000.000 s.
• Zaščita pred hitro okvaro(Spletna zaščita pred napakami). Ščiti strežnik s sledenjem napakam v poteku dela. Ko storitev v določenem časovnem obdobju naleti na določeno število napak, IIS zaustavi to področje aplikacij, da zaščiti strežnik. Strežnik se bo na vse nove zahteve odzval z napako HTTP 503 »Storitev ni na voljo«.
• Neuspehi(Napake). Konfigurira število napak, ki jih strežnik dopušča, preden izvede spletno funkcijo zaščite pred napakami. Določite katero koli vrednost med 1 in 4.000.000.
• Časovno obdobje (čas v minutah)(Časovno obdobje, v minutah). Nastavi čas, v katerem se pojavijo napake, po katerem se izvede funkcija spletne zaščite pred napakami. Vnesite poljubno časovno obdobje od 1 do 4.000.000 minut.

Spodaj je opis delovanja obravnavanega postopka.

1. V poteku dela pride do napake.
2. IIS zapiše nepričakovan dogodek zaključka procesa v dnevnik aplikacij, pri čemer navede identifikacijsko številko procesa in izhodno kodo.
3. IIS samodejno znova zažene delovni proces, ko prispe drug proces.
4. Dejanja se ponavljajo, dokler ni dosežen prag.
5. Ko je prag dosežen, IIS zapiše dogodek v dnevnik aplikacij o samodejnem zaustavitvi področja aplikacij zaradi ponavljajočega se pojavljanja napak.
6. Vsi odjemalci, ki uporabljajo to področje aplikacij, bodo prejeli napako 503 "Storitev ni na voljo".
7. Koraki se ponavljajo, dokler se področje aplikacij ne ustavi in ​​znova zažene.

Časovne omejitve zagona in zaustavitve... Delovni procesi se ne uničijo takoj po zaustavitvi, potrebujejo nekaj časa, da se naložijo. Če želite ustaviti potek dela, se ji pošlje zahteva za preklic, nato se dodeli čas za dokončanje trenutnih operacij in izstop iz čakalne vrste in šele nato se postopek prekliče. Z recikliranjem je novoustvarjeni proces pripravljen za začetek delovanja, še preden se stari proces zaključi, da ne bi prekinil storitve. Včasih se potek dela ne ustavi popolnoma ali pa se pojavijo težave, ko se začne. Časovne omejitve se uporabljajo za konfiguriranje časa, v katerem IIS čaka, da se pojavi težava.

• Časovna omejitev zagona(Časovna omejitev nalaganja). Konfigurira čas, v katerem IIS čaka, da se zažene delovni proces. Določite kateri koli časovni interval od 1 do 4.000.000 sekund.
• Čas izklopa(Omejite čas izklopa). Konfigurira čas, ki ga IIS čaka na načrtovano zaustavitev delovnega procesa. Določite kateri koli časovni interval od 1 do 4.000.000 sekund.

Zavihek Identiteta (glejte sliko 2.26) določa varnostni račun, ki ga uporablja delovni proces v področju aplikacij. Privzeto se delovni procesi izvajajo kot omrežne storitve (omogoča možnost Omrežne storitve) z omejenimi pravicami v operacijskem sistemu.

riž. 2.26.

Določite metodo identifikacije, ki jo bodo uporabljali delovni tokovi. Izberite določeno identifikacijo ali navedite uporabniški račun. Slednja možnost predstavlja varnostno tveganje, ker imajo računi razširjen dostop do operacijskega sistema.

• Omrežna storitev(omrežna storitev). Privzeta nastavitev, ki je najvarnejša in najbolj priporočljiva nastavitev za izvajanje delovnih tokov. V tem primeru je nemogoče, da bi delovni procesi neposredno dostopali do operacijskega sistema in ga nadzorovali.
• Lokalna storitev(Lokalna storitev). Zagotavlja širši nabor pravic v operacijskem sistemu kot prejšnja možnost. Omogoča dostop do operacijskega sistema, vendar zavrne dostop do predmetov zunaj strežnika. Prepovedana je tudi interakcija z namizjem.
• Lokalni sistem(Lokalni sistem). Zagotavlja širši nabor pravic kot Lokalna storitev. Dejansko ta možnost podeljuje polne pravice dostopa do celotnega sistema.

Vsi trije računi so del skupine IIS_WPG, ki se nahaja v lokalnem sistemu in so pravice dostopa do katere so dodeljene procesom. Če delovni proces potrebuje več pravic, kot jih ima trenutno, omogočite te pravice za skupino IIS_WPG. Ko konfigurirate račun za delovni proces, se prepričajte, da je račun član skupine IIS_WPG.

• Nastavljivo(Prilagodljivo). Določa račun, pod katerim se bodo izvajali delovni procesi. Vnesite ime za račun ali kliknite gumb Prebrskaj in v oknu, ki se prikaže, izberite račun.

Ko se zažene, ima potek dela žeton za dostop za preverjanje pristnosti, za katerega je konfiguriran. Ko pride zahteva od odjemalca, se za obdelavo zahteve uporabi odjemalčev žeton za dostop. To dejanje se imenuje impersonalizacija in omogoča, da se delovni tokovi izvajajo na nizki ravni varnosti, hkrati pa delujejo na visoki ravni varnosti.

IT podpora

Postavitev 1C spletnega založništva, priklop blagajniške opreme

1. Nastavitev spletnega strežnika v IIS

Namestite spletni strežnik Internet Information Server, ki je privzeto vključen v strežnik Microsoft Windows Server. Pri namestitvi se prepričajte, da ste izbrali komponente:

• Pogoste funkcije HTTP
  • Statična vsebina
  • Privzeti dokument
  • Brskanje po imeniku
  • Napake HTTP
• Razvoj aplikacij
  • ASP.NET 3.5
  • Razširljivost .NET 3.5
  • Razširitve ISAPI
  • ISAPI filtri
• Popravek in diagnostika (zdravje in diagnostika)
  • Beleženje HTTP
  • Zahtevajte Monitor
• Orodja za upravljanje
  • Upravljalska konzola IIS

2. Objave baze v 1C

Na istem strežniku, kjer je nameščen spletni strežnik IIS, namestite 1C: Enterprise (32-bitne komponente), pri čemer se prepričajte, da ste med namestitvijo izbrali naslednje komponente:

• 1C: Enterprise
• Razširitveni moduli spletnega strežnika

Če nameravate konfigurirati razširitveni modul 64-bitnega spletnega strežnika, morate dodatno zagnati program za namestitev 64-bitnega strežnika iz ustrezne dostave 1C: Enterprise in namestiti komponento:

• Razširitveni modul spletnega strežnika

Zdaj morate nastaviti potrebne pravice za ključne mape, ki se uporabljajo pri delu s spletnim dostopom do podatkovnih baz 1C: Enterprise. Za imenik za shranjevanje datotek spletnih mest, objavljenih na spletnem strežniku (privzeto: C: \ inetpub \ wwwroot \), morate skupini dati vse pravice "Uporabniki"(Uporabniki). Načeloma lahko ta korak preskočite, potem pa boste morali za objavo ali spremembo objave baze podatkov zagnati 1C: Enterprise kot skrbnik. Če želite konfigurirati varnost tega imenika, ga kliknite z desno tipko miške in izberite "Lastnosti"(Lastnosti).

V oknu lastnosti, ki se odpre, pojdite na zavihek "varnost"(Varnost) in pritisnite gumb "Spremeni"(Uredi ...), da spremenite trenutna dovoljenja. Prikaže se okno za dovoljenja za ta imenik. Na seznamu skupin ali uporabniških imen izberite skupino Uporabniki in na seznamu dovoljenj za izbrano skupino nastavite zastavico "Popoln dostop"(Popoln nadzor). Nato pritisnite Prijavite se(Uporabi), da shranite spremembe in zaprete vsa okna z gumbom "V REDU".

Nato morate dati vse pravice za imenik z nameščenimi datotekami "1C: Enterprise" (privzeto: C: \ Programske datoteke (x86) \ 1cv8 \ za 32-bitni razširitveni modul in C: \ Programske datoteke \ 1cv8 \ za 64-bitno) skupino IIS_IUSRS... Za to izvedemo dejanja, podobna zgoraj opisanim, z edino razliko, da se na seznamu prikaže potrebna skupina "Skupine ali uporabniki"(Skupine ali uporabniška imena), morate klikniti gumb pod seznamom "Dodaj"(Dodaj ..) in v oknu za izbiro skupin ali uporabnikov kliknite "Poleg tega"(Napredno ...).

Nato pritisnite gumb na desni "Iskanje"(Poišči zdaj), po katerem izberemo želeno skupino IIS_IUSRS v tabeli z rezultati iskanja in kliknite "V REDU".

In končno, če je objava v datotečni bazi, morate dati tudi skupini IIS_IUSRS polne pravice do imenika z datotekami te informacijske baze.

Preidimo na objavo baze podatkov neposredno na spletnem strežniku. Če želite to narediti, zaženite 1C: Enterprise v Konfigurator za bazo, ki jo želite objaviti. Nato izberite v meniju "Administracija" - "Objava na spletnem strežniku ..."

Odpre se okno za konfiguracijo lastnosti publikacije na spletnem strežniku. Glavna polja, potrebna za objavo, so že privzeto izpolnjena:

• Ime navideznega imenika je ime, ki se uporablja za dostop do baze podatkov na spletnem strežniku. Sestavljen je lahko samo iz znakov iz latinske abecede.
• Spletni strežnik - je izbran s seznama spletnih strežnikov, ki jih najdete na trenutnem računalniku. V našem primeru so to internetne informacijske storitve.
• Imenik - fizična lokacija imenika, kjer se bodo nahajale datoteke virtualne aplikacije.
• Ustrezne zastavice se lahko uporabljajo za določitev vrst odjemalcev za objavo in tudi za označevanje zmožnosti objave spletnih storitev. V spodnji tabeli lahko uredite seznam spletnih storitev, ki bodo objavljene, in v stolpcu »Naslov« spremenite sinonim, s katerim bo dostop do te spletne storitve.
• Prav tako je za spletni strežnik IIS mogoče navesti potrebo po izvajanju avtentikacije na spletnem strežniku z uporabo OS z nastavitvijo ustrezne zastave.

Ko izberete potrebne nastavitve objave, kliknite "Objavi".

Če je bila objava uspešna, bomo videli ustrezno sporočilo.

2.3 Povezava z objavljeno informacijsko zbirko prek spletnega brskalnika

Na to informacijsko zbirko se lahko povežete tudi iz katerega koli računalnika v omrežju, tako da dostopate do spletnega strežnika na njegovem notranjem (ali če vrata 80- po zunanjem) IP-naslovu.

3. Ustvarjanje brezplačnega Let's Encrypt SSL certifikata na IIS

Prisotnost SSL certifikata za spletno mesto vam omogoča zaščito uporabniških podatkov, ki se prenašajo po omrežju, pred napadi človek v sredini in zagotoviti celovitost posredovanih podatkov.

Šifrirajmo Je nekomercialni certifikacijski organ, ki samodejno izda brezplačna potrdila SSL / TLS prek API-ja. Izdajo se samo potrdila za potrditev domene z rokom veljavnosti 90 dni, kar ni problem zaradi vgrajene zmožnosti samodejne ponovne izdaje certifikata, ki zagotavlja kontinuiteto zaščite.

V nadaljevanju je opisan način za pridobitev potrdila SSL od Let’s Encrypt z uporabo pripomočka za konzolo LetsEncrypt-Win-Simple... To je preprost čarovnik, ki vam omogoča, da izberete eno od spletnih mest, ki se izvajajo na IIS, in nanj samodejno izdate in povežete potrdilo SSL.

3.1 Ustvarjanje SSL certifikata

Prenesite najnovejšo izdajo odjemalca s strani GitHub projekta https://github.com/PKISharp/win-acme/releases

Razpakirajmo ga v imenik na strežniku z IIS: c: \ inetpub \ letsencrypt

Zagnal se bo interaktivni čarovnik, ki vas bo najprej pozval, da navedete vaš e-mail, na katerega bodo poslana obvestila o težavah pri podaljšanju certifikata in se strinjate z uporabniško pogodbo.

Nato boste morali izbrati, da morate ustvariti novo potrdilo ( N: Ustvari novo potrdilo) in izberite vrsto potrdila (v našem primeru ni treba uporabiti potrdila z več SAN-i), zato samo izberite element 1. Posamezna vezava mesta IIS.

Naslednji korak je preverjanje domene. Na voljo je več možnosti preverjanja: TLS, vnos DNS ali HTTP). Najlažja možnost je, da izberete element 4 Ustvarite začasno aplikacijo v IIS (priporočeno)... V tem primeru bo na spletnem strežniku ustvarjena majhna aplikacija, prek katere lahko strežniki Let’s Encrypt preverjajo veljavnost.

Opomba. Ko izvajate preverjanje TLS/HTTP, mora biti vaše spletno mesto dostopno od zunaj s svojim polnim imenom DNS s protokoloma HTTP (80 / TCP) in HTTPS (443 / TCP).

Po potrditvi, pripomoček letsencrypt-win-simple samodejno pošlje zahtevo za ustvarjanje potrdila, ga prenese (vse potrebne datoteke in zasebni ključ se shranijo v imenik C: \ Users \ User \ AppData \ Roaming \ letsencrypt-win-simple) in ustvari vezavo na spletni strani IIS. V primeru, da je na spletnem mestu že nameščen SSL certifikat, ga zamenjamo z novim. Poleg tega bo v programu Windows Task Scheduler ustvarjeno pravilo, ki se izvaja vsak dan in samodejno izda in namesti novo potrdilo vsakih 60 dni.

3.2 Izdelava ločenega področja in mesta, povezanega s certifikatom SSL.

Ustvarite ločeno področje IIS za letsencrypt

Spletno mesto dodamo v nov bazen. Označimo pristanišče 443 (ali drugo, na katero bomo kasneje posredovali na vrata 443).

Določite novo potrdilo v SSL certifikatih:

Konfigurirajte povezavo do našega spletnega mesta:

Preverjanje.

4. Priključitev blagajniške opreme. Posredovanje vrat COM prek TCP/IP z uporabo emulatorja navideznih serijskih vrat (VSPE).

4.1 Konfiguriranje VSPE na strežniku

Zaženite program VSPE. Kliknite na gumb "Ustvari novo napravo".

Po tem morate ustvariti navidezna vrata (vsaka blagajna ima svoja vrata). Da bi se izognili težavam, je bolje, da so številke vrat nižje.

V oknu, ki se odpre, v spustnem meniju izberite TcpServer... pritisni gumb "Naprej".

Nastavite lokalno številko vrat tcp za poslušanje. Izberite vrata COM, na katera je oprema povezana prek vmesnika pretvornika. pritisni gumb "Nastavitve".

Ko govorijo o spletnem strežniku, običajno mislijo na rešitve, ki temeljijo na platformi Linux. Če pa je vaša infrastruktura nameščena na podlagi Windows Server, bi bilo logično uporabiti spletni strežnik IIS. V nasprotju s splošnim prepričanjem je to zelo priljubljena platforma, ki vam omogoča delo z najbolj priljubljenimi CMS-ji in ima široko paleto sistemov, zasnovanih za delo posebej v Windows in IIS.

Nedvomna prednost IIS je njegova tesna integracija z drugimi Microsoftovimi tehnologijami in razvojnimi orodji. Zlasti spletne rešitve za IIS lahko izkoristijo bogate zmogljivosti .NET in enostavno komunicirajo z namiznimi aplikacijami na tej platformi. Če vas to še ne zanima, vam je na voljo širok izbor že pripravljenih CMS, vključno s tistimi, ki so napisani posebej za IIS. Danes si bomo ogledali, kako namestiti in konfigurirati IIS za delo s spletnimi rešitvami, ki temeljijo na ASP.NET in namestiti enega izmed priljubljenih CMS za to platformo.

Če želite namestiti spletni strežnik na platformo Windows, pojdite na snap-in Vloge v Upravitelj strežnikov in izberite namestitev vlog spletni strežnik (IIS) in Strežnik aplikacij.

Toda ne hitite s klikom na Naprej, na levi je pod imenom vsake vloge na voljo možnost Storitve vlog, pojdite nanj in nastavite naslednje možnosti za aplikacijski strežnik: Podpora za spletni strežnik (IIS), Skupna raba vrat TCP in Aktivacija HTTP.

Za spletni strežnik pa namestite storitev strežnika FTP.

Nato namestite izbrane vloge. Če želite preveriti, ali IIS deluje, v brskalnik vnesite naslov IP vašega strežnika, videli bi morali standardno stran spletnega strežnika.

Zdaj pa pojdimo na nastavitev strežnika, za to odpremo Upravitelj internetnih informacijskih storitev (IIS).(nahaja se v Start - Administration).

Najprej bomo ustvarili novo spletno mesto, za to z desno tipko miške kliknite element spletne strani v stranskem meniju upravitelja IIS in izberite Ustvarite novo spletno mesto.

V oknu, ki se odpre, določite ime mesta, pot do korenske mape (privzeto se uporabniška mesta nahajajo v C: \ inetpub \ wwwroot), ki ga morate najprej ustvariti in podati ime gostitelja (ime domene spletnega mesta), v našem primeru iissite.local

Ne pozabite dodati A-zapisa z imenom vašega spletnega mesta na strežnik DNS ali vpisati potrebne vrstice v datoteke gostiteljev tistih delovnih postaj, od koder boste dostopali do spletnega mesta

Načeloma lahko spletne strani že postavite v mapo spletnega mesta in do njih dostopate prek brskalnika, vendar dostop FTP do nje ne bo motil polnopravnega dela s spletnim mestom. Če želite to narediti, z desno tipko miške kliknite ime svojega spletnega mesta v stranskem meniju in izberite Dodaj FTP Publishing

Nato določite vezavo storitve FTP na omrežne vmesnike in vrata ter konfigurirajte varnostne nastavitve. Če boste uporabljali SSL, potem ne pozabite, da potrebujete potrdilo, čeprav če boste dostop do FTP uporabljali samo za svoje potrebe, potem se lahko spravite s samopodpisanim potrdilom. Ne pozabite potrditi polja za samodejno zagon FTP mesta.

Na naslednji strani določite parametre dostopa do strežnika, svetujemo vam, da navedete določene uporabnike, ki bodo delali s tem spletnim mestom.

Spletni strežnik je konfiguriran in ga lahko uporabljate za gostovanje strani HTML, vendar sodobna spletna mesta za shranjevanje svojih podatkov uporabljajo DBMS, zato je naslednji korak namestitev MS SQL Express 2012, ki je več kot dovolj za naša opravila. Namestitev se izvede s privzetimi vrednostmi, razen Način preverjanja pristnosti na preklop Mešani način in nastavite geslo za superuporabnika strežnika SQL sa.

Zdaj pa poskusimo namestiti kateri koli priljubljen CMS, ustvarjen na podlagi tehnologije ASP.NET, širok izbor takšnih rešitev je predstavljen v galeriji Microsoftovih spletnih aplikacij. Upoštevajte, da boste s klikom na gumb za prenos prejeli paket za namestitev prek Web PI, za namestitev na IIS boste morali iti na spletno mesto razvijalca in prenesti celoten paket iz CMS

Namestili bomo Orchard CMS, za pridobitev paketa sledite povezavi in ​​izberite Prenesite kot zip, razpakirajte nastali arhiv in naložite vsebino mape Orchard v koren mesta.

Ta CMS temelji na ASP.NET 4, zato bomo naše spletno mesto konfigurirali za uporabo potrebnih tehnologij. Če želite to narediti, z desno tipko miške kliknite ime mesta v stranskem meniju in izberite Upravljanje spletnega mesta – napredne možnosti

V oknu, ki se odpre, spremenite parameter Bazen aplikacij ki tam nakazujejo ASP.NET v.4

Nato nastavite potrebne pravice za mapo s spletnim mestom, uporabniku IIS_IUSRS morate dodati možnost pisanja in spreminjanja vsebine te mape.

Prav tako ne pozabite ustvariti baze podatkov za spletno mesto, za to pojdite na SQL Server Management Studio in z desnim klikom na element Zbirka podatkov v stranskem meniju ustvarite novo bazo.

1. Vnaprej ustvarite imenik TestSite za vsebino spletnega mesta v imeniku c: \ inetpub na strežniku. To lahko storite tudi iz osnovnega OS: z raziskovalcem odprite imenik \\ win_web_srv \ z $ in ustvarite mapo ali v ukazni vrstici na strežniku z ukazom mkdir.

2. V katalogu testno mesto ustvarite datoteko index.html naslednjo vsebino

Testno mesto za poskuse

3. V datoteki gostiteljica v osnovnem OS bomo registrirali korespondenco med naslovom IP našega spletnega strežnika in imenom nove strani TestSite.

4. Zagon Upravitelj internetnih informacijskih storitev (IIS). v osnovnem OS.

5. Povezujemo se z našim oddaljenim spletnim strežnikom.

6. Na desnem podoknu "Povezave" izberite vozlišče "Spletna mesta", na levem podoknu "Dejanja" izberite "Dodaj spletno mesto"

7. V oknu, ki se odpre, določite glavne parametre spletnega mesta:

ime spletnega mesta - TestSite(lahko nastavite poljubnega, uporabljeno bo samo za identifikacijo strani znotraj spletnega strežnika)

imenik vsebine, fizična pot - c: \ inetpub \ testno mesto

Izvedli bomo vezavo z glavo gostitelja.

ime gostitelja - TestSite(to je ime za spletno mesto, do katerega bodo dostopali obiskovalci)

8. Tako smo ustvarili novo spletno mesto in ga povezali z glavo gostitelja (ime gostitelja).

9. Preverite, ali stran deluje. V brskalniku v naslovno vrstico napišite http: // testsite / Morali bi videti stran index.html ustvarjeno spletno mesto.

10. Konfigurirajmo "Privzeti dokument"

11. Na priključni plošči v vozlišču strani izberite naše spletno mesto TestSite in v osrednjem delu glavnega okna izberite element "Privzeti dokument"

12. Privzeto je lahko več dokumentov, administrator lahko uredi seznam teh dokumentov in s tem določi zaporedje njihovega iskanja v katalogu. Če privzetega dokumenta ni mogoče najti, se upošteva z nastavitvijo parametra Brskanje po imeniku

13. Upoštevajte, da so nastavitve za naše spletno mesto podedovane z višje ravni. Ker imamo samo stran index.html in nič drugega še ni predvideno, potem bomo te nastavitve uredili. Uporabite elemente, ki so na voljo na plošči Dejanja na desni:

Odstranite vsa imena datotek s seznama, razen index.html

· Dodajte novo ime default.html

Premaknite datoteko index.html na sam vrh

14. Kot rezultat bi morali dobiti nekaj podobnega tej sliki.

15. Po spremembah poglejte v glavni katalog naše strani c: \ inetpub \ TestSite pojavila datoteka web.config ki vsebuje spremembe v konfiguraciji samo za določeno spletno mesto, povezane z nastavitvami Privzeti dokument

16. Ustvarimo virtualni imenik.

17. V katalogu c: \ inetpub \ testno mesto na strežniku ustvarite podimenik vd.

18. V upravitelju IIS z desno tipko miške kliknite ime našega spletnega mesta in izberite Osveži

19. Upoštevajte, da se je v strukturi spletnega mesta pojavila mapa, vendar je to prej prava mapa, ne virtualna. J. nahaja se v fizični strukturi imenika našega spletnega mesta.

20. V brskalniku napišite http: // testsite / vd v URL vrstico, dobili boste naslednje sporočilo o napaki

21. Ta reakcija spletnega strežnika je razložena z dejstvom, da je v imeniku vd v nastavitvah ni podane niti ene datoteke Privzeti dokument in nastavitev Brskanje po imeniku podedovano s spletnega mesta ima vrednost parametra Omogočeno = False, tj. brskanje po imeniku je prepovedano.

22. Dovoli brskanje po imeniku za mapo vd

23. V strukturi mesta izberite mapo VD, in na strani Priložnosti v skupini IIS izberite element Prelistajte katalog Tako bomo lahko ne le konfigurirali parametre prikaza vsebine imenika, ampak najprej omogočili takšno možnost za mapo VD.

24. Kliknite na levo stran plošče Dejanja odstavek Vklopiti. V osrednjem delu okna bodo za urejanje na voljo ustrezne možnosti za prikaz vsebine imenika.

25. Osvežitev strani v brskalniku

26. Upoštevajte, da je bila datoteka samodejno ustvarjena v imeniku VD web.config, ki določa samo dovoljenja za ogled imenika

27. Poskušam ustvariti "pravo" Virtualni imenik zunaj strukture imenikov našega spletnega mesta. Na primer v korenu diska Z ustvarite imenik VD_TestSite. V skladu s tem ta mapa za razliko od mape VD ni samodejno vstopila v strukturo našega spletnega mesta.

28. V upravitelju IIS z desno tipko miške kliknite vozlišče našega spletnega mesta (TestSite) in izberite element "Dodaj virtualni imenik"

29. Ostaja le še določiti parametre navideznega imenika in navesti njegovo fizično lokacijo

30. V oknu "Dodajanje virtualnega imenika" določite parametre navideznega imenika: vzdevek in fizično lokacijo. Upoštevajte, da se vzdevek (alias) ne ujema z imenom mape. V vrstici brskalnika v URL-ju boste morali uporabiti samo določen vzdevek.

31. Bodite pozorni na razliko med ikonami obeh map v strukturi spletnega mesta

32. V katalog c: \ VD_TestSite ustvarite primitivno html stran z imenom index.html

33. V brskalniku v naslovno vrstico vnesite http: // testsite / vd1. Prepričajte se, da je ustvarjena stran prikazana. Na splošno se lahko navidezni imenik nanaša na imenik, ki se nahaja celo na drugem fizičnem računalniku, v tem primeru je pot določena kot pot UNC.

34. Poskusimo veliko eksperimentirati z različnimi načini povezovanja spletnega mesta.

35. Poskuša povezati spletno mesto s pristaniščem.

36. V Upravitelj internetnih informacijskih storitev (IIS)., na plošči "Dejanja" izberite "Vezi", potem "Dodaj" in določite nestandardna vrata 4545

37. V brskalniku v naslovno vrstico napišite http://web_win_srv. Morate videti stran Privzeto spletno mesto, tj. privzeto spletno mesto.

38. Zdaj pa poskusimo v vrstico URL zapisati http: // web_win_srv: 4545. Odpre se mora stran našega spletnega mesta - TestSite.

39. Tako smo dobili, da je naše spletno mesto povezano na dva načina:

Vrata 80 in glava gostitelja TestSite

Pristanišče 4545

40. Seznanimo se z nastavitvami omejitev za naše spletno mesto.

41. Na plošči "Dejanja" izberite predmet "Dodatne možnosti"

42. Nenavadno veliko število največjih pretočnih in največjih povezav pomeni, da niso bile določene omejitve.

43. Omejitve lahko spremenite s postavko "Omejitve ..." na plošči "Dejanja"

44. Zdaj pa poskusimo s sporočili o napakah, s katerimi se naš strežnik odziva na nepravilna dejanja obiskovalcev ali na njem gostovanih aplikacij.

45. V brskalniku poskusite odpreti stran na našem spletnem mestu, ki ne obstaja, na primer http: //testsite/test.html. Ker te strani ni, bo strežnik vrnil sporočilo o napaki s kodo 404 ... To sporočilo je mogoče spremeniti, da bo bolj "prijazno obiskovalcem".

46. ​​Oglejmo si vse strani, ki ustrezajo napakam za spletno mesto TestSite, ki jih je podedoval od ravni spletnega strežnika

47. Poskusimo spremeniti sporočilo, ko pride do napake 404 .

48. Ustvarimo svojo html-stran z imenom 404.htm in ga postavite v imenik c: \ inetpub \ TestSite \ err.Vsebina datoteke 404.htm

Datoteka ni najdena

Žal vsebine, ki ste jo iskali, ni tukaj.

Poskusite izbrati informacije, ki jih želite, tako da odprete glavno stran spletnega mesta:

49. Na plošči Dejanja izberite predmet "Spremeni ..."

50. V brskalniku poskusite odpreti namerno neobstoječo stran na našem spletnem mestu, na primer http: //testsite/test.html

51. Poglejmo wandererja, ki smo ga ustvarili posebej za napako 404.

52. Zdaj pa poskusimo s povezovanjem z našim spletnim mestom in delom z njim z uporabo varnega protokola HTTPS, ki temelji na potrdilih SSL.

53. Poglejmo si certifikate, ki so prisotni na našem lokalnem računalniku (osnovni OS) in spletnem strežniku. Za to bomo uporabili ustrezen MMC snap-in.

54. Zaženite upravljalno ukazno mizo iz ukazne vrstice cmd.

55. Dodajmo opremo, ki jo potrebujemo.

Datoteka -> Dodaj ali odstrani snap-in

56. Na seznamu razpoložljivih vtičnikov izberite "Certifikati" in pritisnite gumb "Dodaj".

57. V oknu, ki se odpre, izberite možnost "Računalnik račun", kliknite "Naprej" in "pripravljen"

58. Po tem se bo na seznamu pojavil vtičnik "Izbrane naprave ...", za dokončanje pritisnite "V REDU"

59. Na enak način dodajte snap-in v isto konzolo "Certifikati" za oddaljeni spletni strežnik. Samo med postopkom konfiguracije podajte ime oddaljenega spletnega strežnika.

60. Tako dobimo dostop do upravljanja certifikatov, ki se nahajajo v shrambah na lokalnem računalniku (osnovni OS) in oddaljenem spletnem strežniku.

62. Za delo prek protokola HTTPS morate imeti strežniško potrdilo, to potrdilo pa mora potrditi certifikacijski organ. V okviru laboratorijskega dela se ne bomo »mučili« z izdelavo »polnega« certifikata, ki bi ga bilo pravilno uporabiti. Potrdilo za naš spletni strežnik bomo potrdili s samopodpisanim korenskim potrdilom, ki ga bomo sami izdelali in prenesli v zaupanja vredno shrambo korenskih potrdil na lokalnem računalniku (osnovni OS). Jasno je, da to "ni šport" in ga v resničnem življenju ni mogoče uporabiti, a za naše poskuse bo šlo. To je posledica dejstva, da ima naše laboratorijsko omrežje preveč konvencij in ni glavnega certifikacijskega organa ali celo delujočega krmilnika domene.

63. Drugo oviro povzroča način namestitve spletnega strežnika - Server Core, v katerem ni IIS Managerja, zato se vsa konfiguracijska dejanja izvajajo predvsem na daljavo ali v načinu ukazne vrstice. Ko IIS upravljate na daljavo z IIS Managerjem, ni dostopa do funkcije upravljanja potrdil za IIS (za primerjavo glejte spodnje slike, posnetke zaslona s spletnega strežnika v načinu popolne namestitve). Ne iščemo pa lahkih poti.

64. Torej, ustvarimo vsa potrdila z ukazno vrstico. Za to bomo uporabili pripomoček makecert.exe iz Windows SDK za Windows Server 2008 in .Net Framework 3.5

65. Ustvarite samopodpisano korensko potrdilo. Na spletnem strežniku v ukazno vrstico (cmd) vnesite ukaz

makecert.exe –ss root –sr localMachine –n “CN = TestCompany” -eku 1.3.6.1.5.5.7.3.1 –r

–Ss koren označuje, da bo potrdilo ustvarjeno v zaupanja vredni shrambi korenskih potrdil

–R- ustvarite samopodpisano potrdilo

– Eku 1.3.6.1.5.5.7.3.1- identifikator potrdila za avtentikacijo strežnika; za odjemalca morate uporabiti preverjanje pristnosti odjemalca (1.3.6.1.5.5.7.3.2)

66. Ustvarite potrdilo za spletno stran, podpisano z našim korenskim potrdilom. Pomembno je, da je vrednost parametra CN se natančno ujema z URL-jem spletnega mesta. Na primer, ustvarjeno potrdilo bo veljavno samo za testno mesto, ne pa tudi za www.testsite.

makecert –pe –ss my –n “CN = testsite” –b 01/01/2013 –e 01/01/2036 –sky exchange –v “TestCompany” –je root –eku 1.3.6.1.5.5.7.3.1 - sr localMachine

67. Kot rezultat opravljenih manipulacij imamo ustvarjeno korensko potrdilo v shrambi »Zaupanja vredni certifikacijski organi« in lastno potrdilo za spletno mesto v »Osebnem« pomnilniku

68. Ta potrdila poiščite sami v konzoli za upravljanje osnovnega OS.

69. Odprite »Upravitelj internetnih informacijskih storitev« in povežite testno spletno mesto, da boste lahko dostopali do njega prek HTTPS. Upoštevajte, da pri vezavi izberemo protokol HTTPS in kot SSL certifikat navedemo potrdilo, ki smo ga ustvarili, z imenom "testsite"

70. V brskalniku poskušamo dostopati do testne strani prek protokola HTTPS.

https: \\ testno mesto

71. Bodite pozorni, ker organizacija "TestCompany" našemu lokalnemu stroju ni znana, potem je brskalnik izdal opozorilo

72. Kljub opozorilu nadaljujemo z delom s stranjo.

73. Da bo vse lepo, moramo korensko potrdilo naše testne organizacije (TestCompany) postaviti v zaupanja vredno shrambo korenskih potrdil na lokalnem računalniku (osnovni OS). Izvozimo korensko potrdilo v datoteko (na primer TestCompany.cert) s pomočjo upravljalne konzole.

74. Uvozimo potrdilo iz datoteke TestCompany.cert v shrambi zaupanja vrednih korenskih potrdil na lokalnem računalniku (osnovni OS).

75. V brskalniku znova odprite naše testno mesto, za dostop do njega uporabite protokol HTTPS. Vidimo, da je bila identifikacija certifikata uspešna.

76. Poskusite uporabiti protokol HTTP za delo s testnim mestom.

http: \\ testno mesto

77. Vidimo, da lahko spletno mesto obdela tako zahteve HTTP kot HTTPS. Za prepoved uporabe protokola HTTP in za obdelavo vseh zahtev samo prek protokola HTTPS je potrebno v nastavitvah spletnega mesta Možnosti SSL izberite možnost "Zahtevaj SSL"... Poleg tega lahko tukaj konfigurirate obnašanje spletnega mesta glede odjemalskega potrdila SSL.

78. Zdaj pa poskusimo dostopati do testnega mesta s protokolom HTTP. Vidimo, da je dostop zavrnjen.

79. Če poskusimo uporabiti potrdilo SSL, izdano za spletno mesto TestSite, za drugo spletno mesto (na primer za privzeto mesto), bomo v oknu brskalnika prejeli sporočilo o napaki.

80. Sami povežite privzeto spletno mesto za uporabo protokola HTTPS in potrdila SSL, ustvarjenega za spletno mesto TestSite, in preverite, ali je prišlo do napake.

81. Ustvarite lastno potrdilo SSL za privzeto spletno mesto in spremenite vezavo, da bo spletno mesto pravilno delovalo s protokolom HTTPS.

82. In nenazadnje ...

83. Zagotovili bomo možnost gostovanja na naših spletnih strežnikih, ustvarjenih s PHP.

84. Najprej preverite, ali je naš spletni strežnik CGI podprt. Prepričajte se, da med namestitvijo komponenta IIS-CGI ni bila nameščena

oklist | več

85. Namestite modul IIS-CGI