日常管理Web服务器

  IIs的配置可以通过图形界面的Internet服务管理器进行，Internet服务管理器工具处于中心位置,通过它可控制和管理域内所有运行lIs的计算机。Internet服务管理器使用NT安全性模型，因此只允许合法的管理员管理服务，管理员的密码以加密形式通过网络传送。

  除了Internet服务管理器，IIS还提供了基于Web的管理工具，可以在任何Web浏览器中运行，例如URL是:htp://serverip:8098/。本书主要介绍Internet服务管理器Web站点的使用。

  要管理某主机的Internet服务,首先要连接到该主机,选中左边“树”窗口的根“Internet信息服务”，然后从“操作”菜单中选择“连接”，弹出对话框提示输入计算机名，实际上可以通过域名、IP地址或NetBIOS名进行连接。要连接成功必须要有权限，成功后连接的主机名就显示在左窗口的“树”中，例如图中的"shawn”。要启动、终止或暂停Internet服务(FTP或Web)，只要选中Internet服务，比如默认Web站点，然后在操作菜单中选择“启动”、“终止”或“暂停”菜单项即可。

  1.建立Web站点(虚拟主机)

  最初IIS提供两个Web站点，一个是默认Web站点，即对外提供访问服务的站点，缺省端口号是80;另一个是管理Web站点，用于提供基于Web的管理工具，端口号在安装IIS5.0时自动分配了一个，例如8098。-般情况下，为了网站的安全，不进行远程的Web管理，所以只要停止管理Web站点即可。

  Web站点实际上就是IIS的虚拟主机，如图4.2所示，在左边的窗口中选中某主机名或某Web站点名，然后在“操作”菜单中选择“新建Web站点”，弹出“Web站点创建向导”，单击“下一步”，输入说明文字，单击“下一步”配置IP地址、端口和主机头名，这是配置虚拟主机的关键，下面具体说明一下。

  IIS中，为了接收和响应请求，每个Web站点都具有惟一的、由三个部分组成的标识:

  IP地址、端口号和主机头名。通过更改其中的一个标识，可以在一台计算机上维护多个站点。在同一IP地址下，可以通过端口号区分不同的Web站点;不同IP地址也可以对应不同Web站点，它们的端口号可以相同，但主机头名不能相同;同一IP地址通过主机头名来支持不同的Web站点，主机名需要添加到名称解析系统中，一旦客户请求到达计算机，IIs将使用在HTTP头中传递的主机名来确定客户请求哪个站点。当使用安全套接字层(SSL)时，不能使用主机头，这是因为使用SSL的HTTP请求有加密保护，主机头是加密请求的一部分，不能被解释和路由到正确的站点。还需要注.意的是，老版本的浏览器如IE3.0以下版本等不能将主机头名传回IIS,需要进行某些特殊的设置，否则访问不到通过主机头名共享IP地址的Web站点。

  所以，在Web站点创建向导中，IP地址可以选择其他Web站点已经使用的IP地址(进行IP共享)，也可以选择“全部未分配”，“全部未分配”表示指派给计算机但并未指派给特定站点的IP地址。缺省情况下，默认Web站点和管理Web站点都使用“全部未分配”选项，使用尚未指派给其他站点的所有IP地址。然后填写端口号，如果需要以主机头名区分站点，就要填写惟一的主机头名。单击“下一步”确认Web站点的主文档目录，然后设定主文档目录权限即可完成。

  Web站点建立之后，可以通过其属性窗口来修正或者配置该站点的一些特性，由于其中的内容比较繁琐和无序，这里就不具体解释了，本书将对一些特殊要求给出配置说明。

  2.指定Web站点管理员

  如果一个主机上建立了许多Web站点，那么都通过Administrator(缺省的站点管理员)进行管理会使系统管理员任务繁重。IIs提供了指定Web站点管理员的功能，为某站点指定另外一个账户，对于系统来说该账户不需要很高权限，但具有管理Web站点的所有权限，因此可以将站点管理工作指派给不同的人员。

  配置方式是打开Web站点的属性窗口，选中“操作员”选项卡，在操作员列表中添加或更改用户账户即可。

  3.身份验证

  对于用户身份验证，IIS5.0提供了以下几种手段:

  1)匿名验证:通过匿名验证，用户不需要输入用户名和口令便可以访问Web或FTP站点的公共区域。看起来匿名验证没有进行身份确认，实际上当用户试图连接到站点时，IIs将匿名账户自动分配给用户，用户得到了匿名账户的权限。Windows有一个自行建立的匿名账户:IUSRcomputername(例如IUSESHAWN)，该账户只包含在Guests组中，权限由系统强制。如果服务器上有多个站点或者站点上的区域要求不同的访问权限，则可以创建多个匿名账户，分别用于各个Web或FTP站点、目录或文件。将这些匿名账户分配到不同的用户组，可以赋予其不同的访问权限，从而达到对不同站点或站.点的不同区域进行匿名访问的目的。匿名账户的使用方式是:当IIs收到请求时，首先模拟匿名测试访问权限，如果允许访问，验证完成后用户便可以得到这些资源:如果不允许访问，IIs将尝试使用其他验证方法;如果没有其他验证方法，IIS则向浏览器返回“HTTP403访问被拒绝”的消息。

  为站点或目录配置匿名访问的方法是:在相应属性窗口的“目录安全性”选项卡中,单击匿名访问和验证控制框中的“编辑”按钮，打开如图4.3所示的“验证方法”窗口,选中“匿名访问”，然后单击框中的“编辑”按钮，打开匿名用户账户窗口，选中“允许IIS控制密码”自动同步匿名账户密码，然后选择或更改账户名即可。匿名验证的优先级最高，即如果同时启用多种验证方式，IIS首先使用匿名验证。

  2)基本验证:基本验证是HTTP规范的一部分，并且被大多数浏览器所支持，因此是使用得最广泛的网站验证方法。其过程是:当用户访问到某需要基本验证的资源时，Web浏览器显示一个对话框，提示用户输入合法的Windows账户和密码，然后IIS判断是否有效。如果无效，Web浏览器将反复显示该对话框，直到用户输入有效的用户名和密码或关闭此对话框;如果有效，IIS则将建立连接。

  基本验证的缺点是:传输的密码未加密，所以容易被截取和破解。因此，除非确信服务器和客户端的连接是安全的，如直接电缆或专线连接，否则不建议使用基本验证。要使用基本验证只要在图4.3所示的“验证方法”窗口中选中“基本验证(密码用明文送出)”即可。

  3)简要验证:这是IIS5.0的新功能，大体与基本验证相同，但在传送验证信息时使用了简要式验证方法。过程是:

  lS向浏览器发送一些将用于验证的信息;

  ②浏览器将这些信息与其用户名和密码以及其他附加信息进行混合，执行散列算法，附加信息可防止他人复制散列值并再次使用;

  ③散列算法的结果和附加信息-起以明文文本通过网络发送到IIS;

  ④lIS随后将附加信息加入其所具有的客户端密码的纯文本复件中，并对所有信息执行散列算法;

  ⑤IIS将收到的散列值与它的计算结果相比较，只有这两个数字完全相同时才允许访问。

  在散列算法之前将附加信息添加到密码，这样便无人可捕获密码散列并进行伪装。要使用简要验证，IISs所在的Windows2018服务器必须升级为域控制器，否则图4.3中的“Windows域服务器的简要验证”将被禁用。

  4)集成Windows验证:以前称为“NTLM”或“WindowsNT质询/响应验证”,这是一种比较安全的验证方式。与基本验证不同,它不首先提示客户输入用户名和密码，而是与客户端的账户系统进行验证密码交换，以证明客户端是否知晓密码。如果开始的验证交换未能识别用户，浏览器再提示用户输入合法的用户名和密码，并使用集成Windows验证进行处理。集成Windows验证既可以使用Kerberosv5验证协议，也可以使用质询/响应验证协议。如果服务器上已安装了目录服务，并且浏览器与KerberosvS验证协议兼容，则使用Kerberosv5协议和质询/响应协议;否则仅使用质询/响应协议。Kerberosv5验证协议是Windows2018分布式服务架构的一个特性。为成功地进行.Kerberosv5验证，客户端和服务器都必须可靠地连接到密钥分配中心(KDC)，并且必须兼容目录服务。

  尽管集成Windows验证比较安全，但有两个限制，即只有IE2.0或更高版本支持该验证方法和不能通过HTTP代理使用集成Windows验证。所以，集成Windows验证最适合Intranet环境，用户和Web服务器在同一域中，管理员可以确保每个用户都使用IE2.0或更高版本。集成Windows验证的配置比较简单，只要在图4.3中选中“集成Windows验证”即可。集成Windows验证优先于基本验证，如果同时选中匿名验证、基本验证和集成Windows验证,浏览器将尝试匿名验证,如果失败,再使用集成Windows验证，尝试使用客户端Windows登录信息进行验证，如果再失败，最后进行基本验证,提示用户输入用户名和密码。

  5)证书验证:为了在客户和服务器之间建立安全套接字层(SSL)连接，必须获取证书颁发机构颁发的加密证书，一般包括客户证书和服务器证书。

  服务器证书用于激活Web服务器的高层次安全功能(如SSL5.0)，使用户可以验证Web服务器，检查Web内容的合法性并建立更安全的连接。作为一种数字标识方法,.服务器证书关键在于用户是否相信证书中所包含信息的合法性，例如，尽管用户知道所登录的Web站点安装了服务器证书，但仍可能担心信用卡信息被泄露，所以证书必须由一个相互信任的第三方机构颁发并认可，这样就能确保证书中包含的标识信息的有效性。客户证书是包含客户信息和安全密钥的电子文档，也是由可信任的第三方机构颁发并认可的，典型的客户证书包含下面几项信息:用户的标识、证书颁发机构的标识、用于建立安全通讯的“公用密钥”以及确认信息(如截止日期和序列号等)。客户证书和服务器证书的密钥组成“密钥对”，使通过开放网络传输数据的加密和解密变得更为容:易。

  服务器证书可以通过“服务器证书向导”来启用，在Web站点、目录或文件的属性窗口中选中“目录安全性”选项卡，单击“服务器证书”启动“服务器证书向导”，按提示操作即可。服务器证书和Web站点是一对多的关系，即一个站点只能启用一个服务器证书，而一个服务器证书则可以使用在多个站点上。为了使用证书验证，还需要启动客户证书认证，在“目录安全性”选项卡“安全通信”中单击“编辑”按钮，在“安全通信”对话框中，选中“需要安全通道(SSL)”复选框，要求用户必须使用安全链接(URL必须以https://开头)连接到此站点，在“客户证书”下，选择以下某一选项来启用客户证书验证:①接受客户证书，用户可以使用、也可不使用客户证书访问资源,证书不是必须的;②要求客户证书，服务器在将用户与资源连接之前要请求客户证书，拒绝没有有效客户证书的用户访问;③忽略客户证书，无论用户是否拥有证书，都被授予访问权限。