WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 || 3 | 4 |   ...   | 5 |

«Уильям Р. Станек Internet Information Services 5.0 Справочник администратора Подробный справочник по ежедневной работе с Microsoft Internet Information Services и Microsoft Indexing Services Таблицы, ...»

-- [ Страница 2 ] --

86 Часть II Администрирование Web-сервера • Content Rotator (CONTROT.DLL) меняет HTML-содер жимое Web-станицы по расписанию;

• Counters создает счетчик обращений к Web-узлу и отдельным страницам;

• Database Access (MSADO20.DLL) при помощи ActiveX Objects обеспечивает доступ к БД и структуриро ванным файлам данных;

• Access Component (FSCFG.DLL) с объектом FileSystemObject библитеки позволяющим файловой системы;

• Logging Utility позволяет приложе ниям считывать журналы HTTP-активности, мые • отслеживает личную информа цию об и его разработчике;

• Page Counter (PAGECNT.DLL) ведет и счет чик посещений • Permission Checker (PERMCHK.DLL) на основе прото колов проверки используемых IJS, ляет наличие у клиента разрешений на файла;

• Status (STATUS.DLL) сведения о сервера Personal Web Server for Macintosh;

• Tools предоставляет функции для провер ки наличия файлов, установления принадлежности сай та, (только на компьюте рах Macintosh), обработки данных HTML-форм и гене рации случайных целых чисел.

Создание пользовательских приложений Создавать пользовательские приложения поможет оснастка 1IS, а управлять — Services (Службы В установки на Web-узлах приложения, запускать программы параметров рабочей среды. Например, можно скопировать в базовую папку узла и затем запускать их, не создавая отдельного приложения. В этом случае вами ASF-приложение будет выполняться в контексте стан дартного.

Настройка Internet Information Services Глава 4 Совет Зачастую начинающие администраторы удаляют приложение по умолчанию, не понимая его назначения, а потом удивляются странному поведению других приложений.

Например, не удается обменяться сведениями о состоянии сеанса между А дело в том, что ложения и прочие файлы, использовавшие приложение по умолчанию, потеряли его контекст и, как следствие, все связанные параметры приложения.

Приложение по умолчанию позволяет запускать приложе ния IIS независимо от их расположения в структуре папок узла, если у этих папок имеются разре шения на выполнение [Scripts Only сценарии) или Scripts And (Сценарии и исполняемые Чтобы удалить приложение по умолчанию, создайте для всех приложений, которые собираетесь использовать, спе цифические контексты.

Для тонкого управления основным приложениям отдельные контексты, т. е. настройте основные и параметры приложения. Вот основные • Application Name (Приложение) — описательное имя • Starting Point (Исходная основной ката лог приложения, все его файлы и папки счи таются частью приложения;

• Execute Permissions (Разрешен ный уровень выполнения приложения;

• Application Protection (Зашита) определяет, как няется и какие ресурсы оно со с IIS и другими программами.

Дополнительные параметры:

• Application приложений) опре деляет кэширования приложения и сопостав ляет расширения файлов DLL-библиотекам;

• Application Options (Параметры приложений) порядок выполнения включая время ожида и язык по умолчанию;

• Application Debugging (Отладка приложений) управля ет отладкой и выводом сообщений об ошибках сценариев.

88 Часть II Администрирование Web-сервера Настроечные параметры создают контекст, в котором выпол приложение. При контекста пользователь ские страницы как отдельные файлы и не могут задействовать IIS, включая буфе ризацию, состояние сеанса и кэширование. Контекст прило жения на папки. файлы и вложен ные папки основного каталога час тью приложения. Поэтому для создания приложения реко мендуется сделать так.

1. В Windows Explorer (Проводник) создайте папку, кото рая станет начальной точкой и ей соответствующие разрешения Windows.

2. При из IIS создайте виртуаль ный каталог и сопоставьте его созданной папке.

3. Настройте для папки приложения в соответ ствии с инструкциями раздела «Создание групповых и приложений» этой главы.

Использование и выполнение приложений У каждого приложения начальная точка, которая зада ет его логическое пространство имен, т. е. отно сящиеся к файлы и папки. Все файлы и папки в начальной точке считаются частью приложения.

Начальную точку приложения можно определить для всего узла, для папки или для виртуального каталога. Если вы создаете уровня узда, все файлы во всех вло женных папках Web-сайта будут считаться его частью. При создании приложения уровня обычного или виртуального каталога частью будут считаться все файлы во всех вло папках данного каталога.

Как уже говорилось, точка приложения задает его — метод привязки области памяти к лег ко имени, группу файлов и компонентов. Область памяти приложения определяет пара метры его защиты. Перечислю возможные варианты.

• Low (Низкая) — приложения с низким уровнем выполняются в процессе и разделяют ресурсы с 1IS. Это обеспечивает позво ляет приложению-вирусу аварийно завершить работу IIS.

Настройка Internet Information Services 4 • Medium (Средняя) со средним уровнем групповом т. е. исполь зуют и тот же процесс, отличный от обычных ре курсов IIS. одного приложения па рабо ту других приложений со средним уровнем защиты, но нарушит работу I1S.

• High (Высокая) — приложения с высоким уровнем защи ты, выполняются полностью вне процесса. Они не раз деляют какие-либо процессы, и их отказ не влияет на другие программы.

При использовании среднего и уровней защиты IIS может изолировать приложение в отдельный процесс, что позволяет защитить World Wide Web Publishing Service от сбоев, ведущих к аварийному завершению работы или зави санию Кроме того, изоляция процесса позво ляет автоматически перезагружать и завершать их процессы в случае фатальной ошибки.

Параметры защиты приложений влияют на к памя ти, Приложения, выполняющиеся в одном процессе с IIS, используют одну область и могут вызывать друг друга, практически не создавая нагрузки. Изолированным приложениям и приложениям, выполняющимся в для выполнения запросов процессами при ходится прибегать к необходим для любого взаимодействия со службами IIS или другими приложениями. Маршалированные вызовы выпол няются медленнее, чем вызовы в пределах одного процесса, и поэтому производительность изолированных и групповых приложений ниже приложений, разде ляющих один процесс IIS.

приложения и включая расши рения ISAPI, по умолчанию не имеют доступа к свойствам что несанкционированное измене ние последних. Чтобы предоставить при ложениям доступ к метабазе, измените контек ста приложения на учетную пользователя и назначьте разрешения на доступ к метабазе.

90 Часть II Администрирование Web-сервера Совет Задать параметры проверки подлинности для ком понентов приложения можно из оснастки Component Ser vices: запустив ее, раскройте узел Component Applications (Службы СОМ+). Затем щелкните правой кнопкой значок IIS Out-Of-Process Pooled Applications, выберите в контекстном меню команду Pro perties (Свойства) и перейдите на вкладку Identity (Удосто верение). Учетная запись пользователя, назначаемая при ложению, должна обладать нужными разрешениями на до ступ к метабазе. Чтобы просмотреть разрешения файловой системы, щелкните в Windows Explorer (Проводник) файл правой кнопкой, выбери те в контекстном меню команду Properties и перейдите на вкладку Security (Безопасность).

Сопоставления доступные приложениям и расширения ISAPI. наследует сопоставления от свойств WWW-службы при сво ем создании. Папка наследует сопоставления от свойств узла, после того, как она и доступна службам IIS.

Любое сопоставление состоит из частей.

• Extension (Расширение) — расширение файла, сопостав ленное расширению ISAPI или Не обя зательно должно быть зарегистрировано в ОС и может включать более трех символов.

• Executable Path (Путь к исполняемому файлу) — путь к расширению ISAPI или IIS на основе пути определяют, какое расширение TSAPI или следует загрузить. Соответствующая лиотека или ЕХЕ-файл должны находиться в папке, до ступной IIS. Обычно это или • Verbs (Команды) — типы HTTP-запросов, используемые расширением ISAPI или (подробный список типов HTTP-запросов — в разделе «Приложения этой главы).

Получив запрос на файл с определенным расширением, динамически загружают в память расши рение ISAPI или и по завершении обработ Настройка Information Services Глава 4 ки выгружают их. Если кэширование приложе ний, службы IIS будут хранить DLL-библио теку или исполняемый файл в памяти.

Параметры кэширования и защиты приложения определя ют порядок использования ОЗУ При запуске новых приложений и загрузке новых программ в память ОС дополнительной размер которой за висит от параметров приложений. В качестве примера рассмотрим следующую ситуацию.

На — три Web-узла (корпоративный, и и SMTP-сервер. В обычной конфигу рации на сервере выполняются следующие процессы IIS:

• INETINFO.EXE управляет обработчиками служб и при ложениями ISAPI, выполняющимися в контексте процес са • SVCHOST.EXE — эти три процесса Web- и SMTP-ресурсами и собственно IIS;

• DLLHOST.EXE управляет процессами (а также все ми запущенными приложениями, выполняющимися в групповом или отдельном процессе), изначально на сер вере нет приложений, вне процесса или в процессе.

Эти процессы 27 848 Кб ОЗУ сервера (табл. Чтобы как обработка при ложений влияет на сервер, я создал прило • групповое приложение 1 — со средним уровнем защиты;

• групповое приложение 2 — со уровнем защиты;

• изолированное приложение высоким уровнем щиты;

• изолированное приложение высоким уровнем за щиты.

Создание приложений с отличие от их запуска практичес ки не влияет на занимаемый объем памяти. При группового 1, в групповом цессе, процесс DLLHOST.EXE, и занимае мый объем ОЗУ увеличивается до 34 109 Кб. Этот нительный процесс DLLHOST.EXE будет использоваться 92 Часть II для управления всеми приложениями такого типа, так что запуске группового приложения 2 новый процесс не со здается и объем ОЗУ растет незначительно.

Табл. 4-1. на создаваемая приложениями Используется Групповое Групповое Групповое Групповое Основные ванное ванное ванное ванное процессы прило- прило- прило- прило Процесс жение 1 жение 2 жение 1 жение INETINFO.EXE 7568 8360 8388 8440 4968 4968 4968 4960 - 5492 5080 - - - 5460 DLLHOST.EXE - - - SVCHOST.EXE 3060 3080 3080 3084 SVCHOST.EXE 9920 9920 9920 SVCHOST.EXE 2344 2344 2344 2344 Занимаемый 27848 34109 34194 39289 объем памяти, Кб А вот при каждом запуске нового изолированного приложе создается новый DLLHOST.EXE, и занимаемый объем памяти заметно растет. При запуске изолированного приложения 1 создается третий процесс DLLHOST.EXE, и используемый объем ОЗУ до 39 289 Кб. При за пуске изолированного приложения 2 создается четвертый процесс DLLHOST.EXE, и используемый объем памяти до стигает 44 586 Кб.

В нашем примере каждый обслуживающий процесс DLLHOST.EXE использует около 5 000 Кб памяти, и IIS в целом занимает примерно 45 000 Кб ОЗУ сервера. Хотя это и не много, более сложные могут больший объем памяти, особенно загружаемые в память дополнительные расширения ISAPI и Кроме того, серверы и ОЗУ всегда резервируется иод файловый кэш.

Настройка Internet Information Services Глава 4 Управление пользовательскими приложениями IIS Для и управления пользовательскими приложени ями IIS служит диалоговое окно свойств Web-узла. При установке IIS на всех стандартных Web-узлах создается при ложение по умолчанию, начальной точкой которого являет ся корневой каталог Web-узла. по позволяют создавать пользовательские приложения, в кото рых применяются стандартные параметры настройки. Изме нять при этом какие-либо характеристики рабочей не Для более тонкого управления можно создавать при с более узкой областью действия.

Создание групповых и негрупповых приложений IIS приложения — это набор файлов ресурсов и компонен тов, вместе для таких ос новных функций IIS, как буферизация, состояние сеанса и Чтобы создать приложение сделайте так.

1. В оснастке IIS щелкните правой кнопкой папку, которая станет начальной точкой приложения, и выберите в кон текстном меню Properties (Свойства). Затем пе рейдите на вкладку Directory (Домашний каталог), Directory (Каталог) или Virtual Directory (Виртуальный каталог). Откроется диалоговое окно свойств Web-узла (рис. 4-2).

2. Поля Application Settings (Параметры приложе ния) позволяют сконфигурировать приложение. Если поля Application Name (Приложение) и Application Protection выделены серым цветом, данный ката лог уже используется в контексте другого приложения.

Это нормально, и вы можете создать свое приложение. И все же помните, что при этом вы удали те данный каталог и все его вложенные папки из контек ста 3. Для создания приложения щелкните Create (Создать).

При удалите приложение по умолчанию, щелкнув Remove (Удалить).

4. В поле Application Name (Приложение) задается описа тельное имя по умолчанию соответствую 94 Часть II Web-сервера щес имени каталога. Бы можете ввести любое подходя щее имя, по при к ;

и • •' сценарии Средн Рис. 4-2. Диалоговое окно свойств Web-узла 5. Список Execute Permission запуск) задать уровень выполнения • None (Нет) — только к статичным файлам, например, HTML- и • Scripts Only (Только — выполняются ко сценарии, например ASP-сценарии;

• Scripts And Executables (Сценарии и исполняемые файлы) — просмотр и файлов.

6. Список Application Protection (Защита) позволяет задать область памяти, занимаемую • Low Process) [Низкая — прило жения с низким защиты выполняются в од ном экземпляре процесса и разделяют ресурсы с IIS;

• Medium (Pooled) [Средняя при ложения со уровнем защиты выполняются в Настройка Information Services Глава групповом процессе, т. один и тот же процесс, отличный от обычных ресурсов IIS;

• High (Isolated) [Высокая — прило жения с высоким уровнем выполняются пол вне процесса: они не разделяют какие-либо процессы, и их отказ не влияет на другие программы.

7. Щелкните Apply (Применить), чтобы создать приложе ние. Для настройки дополнительных параметров щелкни те Configuration (Настройка).

Настройка сопоставлений и кэширования Сопоставления приложений и параметры кэширования оп ределяют, какие компоненты доступны и как они в памяти. Для управления сопостав лениями и кэшированием служит вкладка Application Map pings (Отображение приложений) диалогового окна Appli cation Configuration (Настройка приложения) (рис. 4-3).

J GETPOST :j GETPOST GETPOST Рис. 4-3. Вкладка Application Mappings (Отображение приложений) диалогового окна Application Configuration (Настройка 96 Часть II Администрирование Web-сервера Чтобы открыть ее, сделайте следующее.

1. В оснастке IIS щелкните правой кнопкой папку, являю щуюся начальной точкой приложения, и выберите в кон текстном меню Properties (Свойства).

2. Перейдите соответственно на вкладку Home Directory (Домашний каталог), Directory (Каталог) или Virtual Di rectory (Виртуальный каталог) и щелкните Configuration (Настройка).

3. Чтобы включить кэширование приложений, флажок Cache Applications (Помещать приложе ния ISAPI в кэш), чтобы отключить — снимите его.

Примечание Кэширование приложений рекомендуется применять во всех случаях, кроме отладки, или устранения проблем, или когда требуется принудительная перезагруз ка компонентов, используемых службами IIS.

4. В группе Application Mappings приложе ний) отображаются текущие сопоставления расширений и сопоставления включают рас файла, путь к файлу и действий.

Добавление сопоставлений приложения Сопоставление приложения добавляется так.

На вкладке Арр Mappings (Отображение приложений) окна свойств приложения щелкните Add (Добавить). От кроется диалоговое окно Add/Edit Application Extension Mapping (Добавление или изменение сопоставления рас ширений) (рис. 4-4).

2. В поле Executable (Исполняемый файл) путь к требуемому расширению ISAPI или грамме. Путь должен на.ЕХЕ или например Если путь неизвестен, щелкните Browse (Обзор) и нужный файл диалоговом окне Open (Открыть).

Примечание DLL-библиотека или исполняемый файл дол жны находиться на локальном жестком диске. Обычно они располагаются в папке или Настройка Internet Information Services Глава 4 Рис. 4-4. Диалоговое окно Add/Edit Application Extension Mapping (Добавление или изменение сопоставления расширений) 3. В поле Extension (Расширение) введите расширение име ни файла, которое нужно связать с расширением ISAPI или Не забудьте указать перед расши рением точку (.), например Совет Чтобы расширение ISAPI или обра батывала запросы ко всем типам файлов, введите в поле Extension звездочку {*). При этом файловые запросы в пре делах данного приложения будут передаваться указанному компоненту, независимо от расширения файла. Помните также, что файловые запросы должны соответствовать па раметрам, заданным в группе Verbs.

4. В группе Verbs (Команды) задайте список действий для данного сопоставления. Чтобы все запросы, включающие заданное расширение, передавались приложению, по* ставьте переключатель в положение All Verbs (Все коман ды). Если вы поставите переключатель в положение Limit То (Сократить до), укажите конкретные типы разделив их запятыми.

Примечание Список Verbs (Команды) определяет типы запросов, передаваемые приложению. Например, можно создать одно сопоставление для обработки запросов GET, HEAD и POST на НТМ-файлы и другое — для обработки запросов PUT, TRACE и DELETE на НТМ-файлы.

5. могут выполняться в каталогах с разреше нием Scripts Only (Только или Scripts And 98 Часть II Администрирование Web-сервера cutables (Сценарии и исполняемые файлы). Если чтобы расширение 1SAPI или выполня в каталоге с разрешением Scripts (Только сце пометьте флажок Script Engine (Обработчик сце нариев). Если — снимите флажок, и компонент бу дет только в каталогах с разрешением Scripts And (Сценарии и исполняемые файлы).

6. Пометьте флажок Check That File Exists личия файла), чтобы IIS перед запуском расширения ISAP или проверяла, существует ли запраши файл и имеет ли пользователь соответствующие на доступ. При отсутствии файла или шений браузеру возвращается предупреждение, и не Примечание Функция Check That File Exists полезна при использовании сценариев, которые с исполнимы ми файлами, не отсылающими в случае недоступ ности сценария. В качестве примера здесь можно привес ти сценарии на языке Perl. Check That Exists может вызвать падение производительности перегруженного сер вера, поскольку файл открывается дважды: службами IIS и соответствующим компонентом.

7. Трижды чтобы вернуться к оснастке IIS.

Редактирование сопоставлений приложений сопоставления можно изменить.

1. На вкладке Арр Mappings (Отображение приложений) окна щелкните Edit От кроется диалоговое окно Add/Edit Application Extension Mapping или рас ширений) (рис. 4-4).

2. и дважды щелкните ОК.

3. При загрузке исполнимого файла или соот DLL в намять будут использоваться Если кэширование для ления изменений в силу остановите н Web узел.

Настройка Internet Services Глава 4 Удаление сопоставлений приложений Чтобы удалить сопоставления приложений, сделайте ющее.

1. В окне свойств Арр Mappings приложе ний) приложения щелкните Remove (Удалить).

2. Щелкните Yes (Да) в ответ на запрос системы, 3. Щелкните ОК. При следующей загрузке исполнимого файла или DLL в память будут задей ствованы новые Если включено ISAPI, для вступления в силу остановите и перезапустите Web-узел.

Управление состоянием сеанса Состояние сеанса существенно влияет на производитель ность IIS и использование ресурсов. Если состояние сеанса включено, IIS создает сеанс для каждого обраща ющегося к пользователя. Сведения о се ансе позволяют отслеживать работу пользователя с прило жением, а также обмениваться информа между страницами. Например, отслеживать работающих с приложением.

работы сеанса прост — при первом обращении к одной из указанного приложе ния службы IIS генерируют:

• объект Session — содержит все параметры пользователь ского сеанса, включая идентификатор кодовой который применяется для вывода содер жимого, идентификатор расположения, идентификатор сеанса и значение времени или • набор — содержит все зна чения которых были изменены приложением на протя жении сеанса (кроме объектов, созданных в файле BAL.ASA приложения), или • набор — содержит объ екты, определенные в файле 100 Часть II Администрирование Web-сервера Объект Session и с ним свойства хранятся в па мяти сервера. пользовательского сеанса пе редается клиентскому браузеру виде файла cookie. Если браузер принимает такие файлы, при последующих запро сах идентификатор сеанса передается обратно серверу. Это верно, даже если пользователь обращается к одной из стра ниц одного и того же идентификатора позволяет число файлов Помните: если браузер не принимает cookie, идентификаторы не и IIS может отслеживать с их помощью пользовательские сеансы.

По умолчанию сеансы включены для всех и ожидания сеанса составляет 20 минут. Таким обра зом, если пользователь обращается к странице в течение 20 минут, сеанс заканчивается, и IIS удаляет из памяти со ответствующий объект Session. Задать время ожидания по умолчанию можно в поле Session Timeout (Время сеанса) вкладки Options (Параметры приложений).

что для отслеживания сеансов нужны значитель ные ресурсы системы. Чтобы уменьшить их объем, сократите срок ожидания или вообще отключите отслеживание сеан сов. В случае сеансы будут заканчиваться быстрее, чем обычно. Во втором — IIS не будут автоматически созда вать сеансы. Вы сможете открывать их вручную из прило жения, добавив в код соответствующей ди рективу = Все имеющиеся на сервере приложения используют соб ственные параметры состоянием сеанса. Чтобы изменить их, сделайте следующее.

1. В оснастке IIS щелкните правой каталог, явля ющийся начальной точкой приложения, и выберите в контекстном меню Properties (Свойства).

2. Перейдите на вкладку Home Directory (Домашний каталог). Directory (Каталог) или Virtual Di rectory (Виртуальный каталог), затем щелкните Configu ration (Настройка).

3. Чтобы автоматическое создание по метьте на вкладке Арр Options (Параметры флажок Enable Session State (Включить состояние сеан са), чтобы запретить - снимите флажок.

Настройка Internet Information Services Глава 4. Если вы разрешили поддержку сеансов, введите в поле Timeout (Время ожидания сеанса) ожида ния Для интенсивно используемого в котором клиенты быстро перемешаются от одной стра ницы к другой, задать небольшое время ожида ния, например 15 минут. Но если вам требуется поддер живать пользовательский сеанс до завершения транзак ции, задайте более длительный интервал ожидания, на пример 60 минут.

5. Дважды щелкните ОК.

Совет Сегодня большинство крупномасштабных коммер ческих Web-узлов размещают параллельно на нескольких При этом применяется специальный компонент, распределяющий обращения к Web-узлу между доступны ми в данный момент серверами. Для управления ASP-ce ансами на Web-узле с распределением нагрузки необходи мо, чтобы все запросы конкретного клиента обрабатывались одним сервером. Способ реализации этого зависит от ком понента — распределителя нагрузки.

Управление буферизацией приложений также влияет на производительность и исполь зование сервера. Если буферизация включена, IIS полностью обрабатывает страницы перед передачей их со держимого клиентскому браузеру. При буфе ризации IIS передаст содержимое клиентскому браузеру по обработки Буферизация позволяет динами чески реагировать на события, возникающие при обработке страницы. Вы можете отправку страницы или ото слать пользователя к другой странице, очистить буфер н передать другое содержимое, изменить инфор HTTP-заголовка из любого места Недостаток буферизации: пользователь может просмотреть лишь после того, как сервер полностью закон чит обработку сценария. Если длинный или слож ный, ждать придется довольно долго. Для устранения таких разработчики часто в ключевые строки операторы Flush. При этом нительные запросы на клиент-серверные что может привести к падению Часть II Администрирование Web-сервера Как и буферизация по умолчанию для всех Для цией сделайте следующее.

1. В оснастке IIS правой кнопкой каталог, явля ющийся начальной точкой приложения, и выберите в кон текстном меню команду Properties 2. Перейдите на вкладку Home Directory (До (Каталог) или Directory каталог), Configuration (Па стройка).

3. Чтобы разрешить автоматическое создание сеансов, по метьте на вкладке Арр (Параметры приложения) флажок Enable (Включить Что бы снимите флажок.

Совет Чтобы включить буферизацию на уровне отдельных страниц приложения, добавьте в их оператор Respon = 4. щелкните ОК.

Родительские пути, язык сценариев по умолчанию для ASP-страниц и время ожидания ASP-сценария параметры — это кие пути, по умолчанию для ASP-страниц и время ASP-сценария. Флажок Enable Parent Paths пути к родительским каталогам) позволяет ASP задействовать относительные пути доступа к родительскому каталогу текущей папки. Например, сценарий может ссылаться на где — роди тельский каталог текущей папки. Использование родитель ских путей разрешено по умолчанию.

Поле ASP Language (Язык ASP по умолчанию) оп ределяет язык сценариев по для ASP-страниц.

При установке служб IIS на компьютер копируются два обработчика сценариев: Microsoft Visual Basic Scripting Edition (VBScript) и Microsoft JScript. Для ссылки на них служат и JScript соответственно. В обычной IIS язык сценариев по умолчанию VBScript, но можно в любое время изменить.

в язык по умолчанию позволяет дирек тива Настройка Internet Information Глава В поле Script Timeout (Время ожидания сценария ASP) задается срок, которого система заверше ния выполнения Если по этого срока сценарий не закончит выполняться, службы IIS его и сообщение об ошибке в журнал событий при Время ожидания по — 90 секунд. Пе реопределить время ожидания по умолчанию в коде ASP позволяет метод Сделайте 1. В оснастке IIS щелкните правой кнопкой папку, являю щуюся начальной точкой приложения, и в кон текстном команду Properties (Свойства).

2. Перейдите на вкладку Ноте Directory (Домашний каталог), Directory (Каталог) или Virtual Di rectory каталог), затем Confi guration (Настройка). Перейдите на вкладку Арр Options (Параметры 3. Чтобы разрешить сценариям использовать относительные пути для доступа к родительскому каталогу, пометьте флажок Enable Parent Paths (Включить пути к родитель ским каталогам). Чтобы запретить, снимите флажок.

4. Язык но умолчанию — Чтобы изме нить введите в поле ASP Language (Язык ASP по умолчанию) имя нужного языка.

5. По умолчанию время ожидания ASP-сценария — 90 се кунд. Чтобы это, в поле ASP Script Timeout (Время ожидания ASP) требуемое зна чение.

6. Дважды ОК.

Включение и отладки приложений Отладка — один из лучших методов ошибок Для у травления отладкой используются серверные и клиентские параметры. При отладке на стороне сервера службы IIS в обработ ки отбрасывают ошибки и с предложением о запуске Microsoft Script Debugger. Затем пользователь может с отладчика изучить код ASP Отладка на стороне включает 104 Часть II Администрирование клиентскому браузеру отладочной информации, щей выявить источник проблем с IIS и соответствующими Чтобы включить отладку на стороне сервера или сделайте так.

1. В оснастке IIS щелкните правой кнопкой папку, которая является точкой приложения, и выберите в контекстном меню (Свойства).

2. Перейдите на вкладку Home Directory каталог), Directory (Каталог) или Virtual Di rectory (Виртуальный каталог), затем щелкните Confi guration (Настройка). Перейдите на вкладку Арр Debug ging (Отладка приложений).

3. Чтобы отладку стороне сервера, пометьте флажок Enable ASP Script Debugging (Вклю чить серверную отладку ASP). Чтобы запре тить, снимите флажок.

Примечание Серверная отладка ASP-приложений пред назначена для тестовых, а не серверов.

Включив серверную отладку на производственном вы заметите падение производительности соответствующе го поскольку ASP будет работать в однопоточ режиме.

4. Чтобы разрешить отладку на стороне сервера, пометьте флажок Enable ASP Client-Side Script Debugging (Вклю чить отладку ASP), чтобы запре тить — снимите Настройка сообщений об ошибках приложения По приложения передают клиентам об ошибках, имя файла, текст со общения и номер строки, в которой ошибка. Эти сведения полезны для ошибок в коде. Однако их вовсе не обязательно выводить пользователям и можно заменить кратким текстовым Чтобы изменить параметры вывода об ошибках приложения, сделайте Настройка Internet Information Services Глава 4 1. В оснастке IIS щелкните правой которая является точкой приложения, и в контекстном команду Properties (Свойства).

2. Перейдите на вкладку Home Directory каталог), (Каталог) или Di rectory каталог), и затем щелкните Confi guration (Настройка). Перейдите на вкладку Арр Debug ging (Отладка приложений).

3. Для вывода подробных сообщений об ошибках пометьте флажок Detailed ASP Error Messages To Client (От правлять подробные сообщения об ошибках ASP клиен ту). Или пометьте флажок Send Text Error Client (Отправлять текст сообщения клиенту) и введите текст которое будет при возник новении ошибки.

Выгрузка изолированных приложений Изолированные приложения выполняются в отдельной об ласти памяти и процессе Для принудительного приложения из памяти можно выгрузить его. Таким образом, при следующем обращении пользователя к приложению службы IIS повторно загру приложение в память и создадут новый процесс DLLHOST.EXE.

Чтобы выгрузить изолированное приложение, сделайте сле дующее.

1. В оснастке IIS щелкните правой кнопкой папку, которая является начальной точкой приложения, и выберите в контекстном меню команду Properties (Свойства).

2. Перейдите соответственно на вкладку Home Directory (Домашний каталог), Directory (Каталог) или Virtual Directory (Виртуальный каталог).

3. Щелкните Unload (Выгрузить), затем — ОК.

Удаление удалить, чтобы осво бодить занимаемые ими ресурсы. Чтобы удалить приложе ние, сделайте так.

106 Часть II Администрирование Web-сервера В оснастке IIS правой папку, является приложения, и выберите в контекстном меню команду Properties (Свойства).

2. Перейдите соответственно на вкладку Directory (Домашний каталог), Directory (Каталог) или Directory (Виртуальный каталог).

3. Щелкните Remove (Удалить), затем — ОК.

Управление пользовательскими фильтрами ISAPI Фильтры ISAPI — это которые обрабаты вают запросы на конкретные типы событий, например или Write. При наступлении соответствующего события фильтр ряд действий. Фильтры ISAPI могут быть как глобальными, так и локальными. фильтры действуют для узлов, а локальные — только для кон кретного Web-узла.

Просмотр и настройка глобальных фильтров Глобальные фильтры влияют на все Web-узлы IIS и загру жаются в память при World Wide Publishing После или изменения параметров суще ствующего фильтра эту службу нужно остано вить и перезапустить. Чтобы просмотреть или изменить параметры глобальных фильтров, сделайте так.

1. В оснастке IIS щелкните значок компьютера правой кноп кой и выберите в контекстном меню команду 2. В Master Properties свойства) щел кните Edit (Изменить) и затем перейдите на вкладку ISAPI Filters (Фильтры ISAPI).

3. Появится список имеющихся глобальных фильтров.

Фильтры в действуют для Web-узлов ра и выполняются в соответствии со приоритетом.

4. Список фильтров включает такие поля:

• Status (Состояние) — состояние загрузки фильтра:

загруженные в память фильтры зеленой стрелкой, направленной вверх, незагружен — красной, направленной вниз;

Настройка Internet Services Глава • Filter Name (Имя фильтра) — описательное имя филь тра, при его • Priority (Приоритет) — приоритет фильтра, указанный в коде;

первыми фильтры с высоким приоритетом.

Примечание Щелкнув фильтр, можно просмотреть путь к его исполнимому файлу.

5. Настроить глобальные фильтры позволяют • Add (Добавить) — добавление фильтра: щелкнув эту кнопку, введите имя фильтра и путь к его мому файлу;

если путь щелкните Browse и выберите требуемый файл в диалоговом окне Open (Открыть);

• Remove (Удалить) — удаление фильтра: выберите глобальный фильтр и щелкните Remove;

• Edit — изменение параметров фильтра:

единственный параметр, который можно изменить путь к исполнимому файлу фильтра;

выберите фильтр и щелкните Edit, в свойств введите новый путь и щелкните ОК.

6. Если для реакции на одно событие сконфигурировано несколько фильтров, они выполняются по очереди, и со ответствии со своим приоритетом. При одинаковом при сначала глобальные фильтры, а затем — фильтры уровня узла. Чтобы изменить порядок выполнения фильтров с приоритетом, ис пользуйте зеленые стрелки и 7. Добавив новый или изменив параметр глобального фильтра, остановите и World Wide Web Publishing Service. В результате службы IIS загрузят новые фильтры в память.

Просмотр и настройка локальных фильтров Локальные фильтры на отдельный Web-узел IIS и могут при добавлении или изменении динамически загру жаться в память при условии, что запущены World Wide Web Publishing Service и Web-узел. Таким образом, останавливать и перезапускать World Wide Web Publishing Service или добавления локального фильтра не требуется.

Часть II Администрирование Web-сервера Чтобы просмотреть или изменить параметры локальных фильтров, сделайте следующее.

В оснастке IIS щелкните значок Web-узла кнопкой мыши и выберите в меню команду Properties 2. Перейдите на вкладку Filters (Фильтры ISAPI).

Появится список локальных узлов данного Web-узла.

Примечание В этом списке показаны только фильтры, на значенные для конкретного Web-узла. В нем нет глобаль ных фильтров, заданных в основных свойствах WWW-служ бы, даже если выполняются оба типа фильтров. Некото рые глобальные фильтры установлены по умолчанию, ло кальные — всегда создает администратор.

3. Список фильтров следующие поля:

• Status (Состояние) — состояние загрузки фильтра;

успешно загруженные в память фильтры отмечены зеленой стрелкой, направленной вверх;

фильтры, не в — красной, направленной вниз;

• Filter Name (Имя фильтра) — описательное имя филь тра, задаваемое его установке;

• Priority (Приоритет) — приоритет фильтра, указанный в исходном коде;

первыми выполняются фильтры с самым высоким Примечание Щелкнув фильтр, можно просмотреть путь к его исполнимому файлу.

4. Настроить фильтры позволяют кнопки:

• Add (Добавить) — фильтра;

щелкнув эту кнопку, имя фильтра и путь к его исполни мому файлу;

если путь неизвестен, щелкните Browse (Обзор) и выберите файл в диалоговом окне Open (Открыть);

• Remove (Удалить) — удаление фильтра;

гло бальный фильтр и щелкните Remove;

• Edit (Изменить) — изменение фильтра;

единственный который можно изменить — путь к исполнимому файлу выберите фильтр Настройка Internet Information Services Глава 4 и щелкните Edit, в диалоговом свойств введите новый путь и щелкните ОК.

5. Если для на одно событие несколько фильтров, они по очереди, со ответствии со приоритетом. При при оритете сначала глобальные фильтры, а затем — фильтры уровня узла. Изменить выпол нения фильтров с одинаковым приоритетом зеленые стрелки «вверх» и Изменение содержимого Web-узла и HTTP-заголовков Службы IIS используют для и HTTP-заголов ков значения по умолчанию, которые можно изменять на уровне узла, папки или файла.

Настройка документов по умолчанию Параметры документа по умолчанию определяют, как IIS обрабатывает запросы, не содержащие имени документа.

Клиентские запросы, в которых путь к каталогу оканчива ется не именем файла, а именем папки или косой чертой (/), обрабатываются в соответствии с параметрами документа по умолчанию. Если обработка документов по умолчанию вклю службы IIS ищут документы в порядке их в списке и возвращают первый найденный документ по умолчанию. Если документы не IIS проверяют наличие разрешения Directory Browsing (Просмотр катало гов) и, если оно имеется, возвращают содержимое папки.

Если нет — сообщается об ошибке «404 — File Not Found» (Файл не найден).

Параметры документа по умолчанию можно изменять как на уровне узла, так и на уровне папки, т. е. параметры доку мента по умолчанию для отдельных папок могут отличать ся от соответствующих параметров узла. Стандартные име на документов по умолчанию — и INDEX.HTML.

Чтобы просмотреть или изменить текущие доку мента по умолчанию, сделайте так.

110 Часть И Администрирование Web-сервера 1. В оснастке IIS щелкните правой кнопкой нужный Web папку или каталог и выберите в кон текстном меню Properties (Свойства).

2. на вкладку Documents (Документы), Если хотите разрешить обработку документов по умолчанию, пометьте флажок Default Document (Задать доку мент, используемый по Если нет — сними те его, 3. Чтобы добавить новый документ по умолчанию, щелкни те Add (Добавить). Затем введите имя документа, напри мер и щелкните ОК.

4. Чтобы удалить документ по умолчанию, выберите списке и Remove (Удалить).

5. Чтобы изменить порядок поиска, выберите документ и измените положение в списке с помощью стрелок и 6. Щелкните ОК.

Нижний колонтитул документа Службы IIS можно настроить для автоматической во все отсылаемые документы нижнего колонтитула в фор мате HTTP. Нижний колонтитул может включать информа цию об авторских правах, логотип и пр. Как и документы по умолчанию, колонтитулы можно определить на узла или отдельной панки.

Автоматическая вставка нижних колонтитулов Чтобы создать вставляемый нижний колон титул, сделайте так.

1. Создайте документ в формате HTML и его в папке на локальном жестком диске сервера. ко лонтитул должен не законченной HTML-стани цей, а включать HTML-тэги с необходимым со держимым, 2. В оснастке щелкните правой кнопкой нужный Web узел, папку или виртуальный каталог и выберите в кон текстном меню команду Properties (Свойства).

3. Перейдите на вкладку Documents (Документы) и те флажок Document Footer (Включить примеча ние документа).

Настройка Internet Information Глава 4. В текстовое поле введите путь к файлу колон титула или щелкните и выберите в диалоговом окне Open (Открыть).

5. Щелкните ОК.

Отключение автоматической вставки нижних колонтитулов Автоматическая вставка нижнего колонтитула так.

1. В оснастке IIS щелкните правой кнопкой нужный Web панку или виртуальный каталог и выберите в кон текстном меню команду Properties (Свойства).

2. Перейдите вкладку Documents (Документы) и снимите флажок Enable Document Footer (Включить примечание докуента).

3. Щелкните ОК.

Срок хранения содержимого и запрет кэширования содержимого браузером Большинство браузеров помещает просмотренные ты кэш, для их просмотра пользователями без загрузки с Управлять кэшированием можно помощи срока хранения содержимого. Если этот пара метр при передаче HTTP-отве тов IIS включают в них сведения о сроке хранения содер жимого. Таким образом, последующих к до кументу браузер может определить: считать его из кэша или с Web-узла.

Срок содержимого можно задать на уровне узла, или файла. Параметры уровня узла влияют на все его страницы, уровня папки — на все файлы ката логов, а уровня файла — на конкретный файл. Есть три срока хранения содержимого.

• Expire Immediately — срок хранения ис текает т. е. браузер не может считать файл из кэша. Используйте это значение, если чтобы браузер показывал новейшую версию динамически гене рируемой • Expire After (Через) — срок хранения в минутах, часах или днях, до которого браузер может Часть I! Администрирование Web-сервера файл из кэша. Задайте значение, если нужно, чтобы браузер по истечении за ново файл с Web-узла.

• Expire On Date At (Ha) конкретные дата и мя окончания срока хранения, до наступления которых браузер может считывать из кэша. Используйте это значение для данных, устаревающих после определенной даты, например для специальных предложений или домлений.

Совет Для управления сроком хранения содержимого при работе с следует добавить в HTTP-заго ловок запись Если присвоить ей нулевое значение = 0), срок хранения содержимого будет истекать немедленно. Помните: HTTP-заголовки дол жны передаваться браузеру до содержимого страницы.

срока хранения содержимого Срок содержимого можно задать на уровне узла, папки или файла. Параметры уровня файла и папки пере определяют параметры уровня узла. Таким образом, при проблем стоит проверить параметры соответ файла или цапки.

Срок хранения па уровне узла, папки или фай ла задается так.

1. В оснастке IIS щелкните правой кнопкой нужный Web папку или виртуальный каталог и выберите в кон меню команду (Свойства).

2. Перейдите на вкладку HTTP Headers (Заголовки HTTP) и пометьте флажок Expiration срок действия содержимого).

3. Чтобы срок содержимого истекал поставьте переключатель в положение Expire 4. Чтобы задать конкретный срок хранения в минутах, ча сах или днях, поставьте переключатель и Expire After (Через) и введите в соответ ствующих полях.

Настройка Information Services Глава 5. Чтобы задать дату и время окончания срока хранения, щелкните Expire On (На) и в поля.

6. Щелкните ОК.

Отключение срока хранения содержимого Срок содержимого на уровне цапки или фай ла можно отключить.

1. В оснастке IIS щелкните кнопкой нужный Web узел, папку или виртуальный каталог и выберите в кон текстном меню команду Properties (Свойства).

2. Перейдите на вкладку HTTP Headers (Заголовки HTTP) и снимите флажок Enable Content Expiration (Включить срок действия 3. Щелкните ОК.

Пользовательские HTTP-заголовки Если браузер запрашивает документ с Web-узла под управ лением IIS, тот обычно передастся ему вместе с заголовком ответа. Возможно, вам потребуется изменить стандартный или создать собственный заголовок. чтобы задей ствовать преимущества HTTP-заголовков, которые преду протоколом HTTP, но которыми нельзя управлять из IIS. Или же клиенту информацию, можно передать лишь в пользовательских Пользовательские HTTP-заголовки содержат сведения, ко торые требуется включить в заголовок ответа документа.

пользовательского собой пары — определяет значение, на которое вы ссылаетесь, — содержимое, кли ентскому браузеру.

Обычно пользовательские заголовки содержат инструкции по документов или информацию.

Например, Cache-Control HTTP-заголовка позволяет страницы прокси-сервером.

Public поля прокси-серверу, что кэширование разрешено, а Private — что запрещено.

Просмотреть или изменить пользовательские HTTP-заголов ки для узла, папки или файла можно следующим образом.

Часть II Администрирование Web-сервера 1. В оснастке IIS щелкните нужный Web-узел, каталог или панку кнопкой и выберите в контек стном меню команду Properties (Свойства).

2. Перейдите на вкладку HTTP Headers (Заголовки HTTP).

В Custom HTTP заголов ки HTTP) отображаются имеющиеся в те 3. Управление заголовками осуществляется при помощи кнопок:

• Add (Добавить) — пользовательского щелкните эту имя и заголовка и щелкните К;

• Remove (Удалить) - удаление пользовательского HTTP-заголовка: выберите заголовок и щелкните Remove (Удалить);

• Edit (Изменить) - изменение пользовательского HTTP выберите заголовок и Edit (Из менить), в открывшемся диалоговом окне свойств произведите нужные изменения и щелкните ОК.

4. Щелчком ОК закройте диалоговое окно свойств текуще го папки или файла.

Системы оценки содержимого включает систему оценки содержимого, ос нованную на системе PICS (Platform Internet Content Selection). Система PICS разработана Наблюдательным со ветом по развлекательному ПО (Recreational Software Advi sory Council, RSAC) и базируется на докто ра Дональда Робертса (Donald Roberts), работающего в фордеком Согласно PICS содержимое можно по наличию в нем таких категорий, как насилие, секс, обнаженная натура и выражения. Оцен ка каждой категории может изменяться от 0 (элементы ука занной категории отсутствуют) до 4 (элементы указанной категории представлены очень широко).

Задать оценки содержимого можно па уровне узла, папок или файлов. Вам предварительно заполнить анкету RSAC, чтобы получить рекомендуемые оценки для Web-узла.

Настройка Information Services Глава Оценка содержимого Чтобы оценить содержимое своего Web-узла, сле дующее.

В оснастке IIS нужный каталог или правой кнопкой и выберите в контек стном меню команду Properties (Свойства).

2. на кладку HTTP Headers (Заголовки HTTP) и затем в группе Content Ratings содержимого) Ratings (Изменить).

3. Щелкните Rating (Опрос) и следуйте ин струкциям RSAC.

4. анкету, браузер и дважды щелкните ОК.

Включение оценок содержимого Оценки содержимого для узла, папки или файла настраива ются так.

В IIS щелкните нужный Web-узел, виртуальный каталог или папку правой и выберите в контек стном меню команду Properties (Свойства).

2. Перейдите на вкладку HTTP Headers (Заголовки HTTP), В в группе Content Ratings (Оценка щел кните Edit Ratings (Изменить).

3. Перейдите на вкладку Ratings (Оценки) и фла жок Enable Ratings For This Resource (Включить оценки для данного ресурса).

4. В списке Category (Категория) выберите нужную горию оценок. С помощью ползунка уровень присутствия этой категории в содержимом. Для каждого ползунка ся 5. Введите в поле Email Name Of Person Rating This Content (Введите адрес почты лица, содержимое) свой адрес почты и затем списке Expire On (Срок действия) укажите дату, после которой оценки содержимого станут недействительными.

6. Дважды ОК.

Часть II Администрирование Web-сервера Отключение оценок содержимого Оценки содержимого можно и отключить.

1. В оснастке IIS нужный Web-узел, виртуальный каталог или правой кнопкой и выберите в контек стном меню команду Properties 2. Перейдите на вкладку HTTP Headers (Заголовки HTTP).

В группе Ratings (Оценка содержимого) щелк ните Edit Ratings (Изменить).

3. Перейдите на вкладку Ratings (Оценка) и снимите фла жок Enable Ratings For This Resource (Включить оценки для данного ресурса).

4. Дважды щелкните ОК.

Настройка сообщений об ошибках Web-узла При Web-узле службы IIS гене рируют HTTP-сообщения об ошибках. Обычно ошибки свя заны с некорректными клиентскими проблема ми проверки подлинности и внутренними ошибками серве ра. Администратор полностью сообще ний об ошибках клиенту. Так, вы можете настроить IIS для возврата обычных HTTP-сообщений об файлов по умолчанию, содержащих сообщения об ошибках, а также созданных вами файлов с такими сообще ниями.

Коды и сообщения об ошибках Код состояния и сообщения об ошибках работают парал лельно. При запросе файла сервер генери рует специальный код, определяющий состояние пользова тельского запроса. Если запрос выполнен код со стояния регистрирует это, и переда ется браузеру. При невозможности выполнить запрос код состояния регистрирует На основе данного кода сервер генерирует соответствующее сообщение об ошибке, возвращаемое браузеру запрашиваемого файла.

Код — это число, которое включать цифровой суффикс. Первая цифра определяет его класс, следующих — категорию ошибки, а суффикс (если Настройка Internet Information Services Глава есть) — конкретную ошибку. Например, код состояния па проблемы К этой категории ся несколько например 403.1 доступ для 403.2 (запрещен доступ для чтения), 403. (запрещен доступ для записи).

Просматривая журналы или получив код ошиб ки при локализации проблемы, обратите внима ние па коды состояния. Вот список их основных классов:

• 1ХХ — продолжение работы (смена протокола);

• 2ХХ — успешное выполнение;

• ЗХХ — переадресация;

• 4ХХ — (сбой) на стороне клиента;

• — ошибка сервера.

Как цифра кода что же на самом произошло. Коды состояния, начинающиеся с 1, 2 или 3, являются обычными и. как правило, означают какой либо ошибки. Коды начинающиеся с 4 или 5, указывают на ошибку или проблему, кото рую устранить.

При просмотре файлов журнала или отчетов о компиляции, устранении проблем или отладке полезно, а порой и ходимо к какому классу относится ошибка. В следу ющем приведены поддерживаемые службами IIS обыч ные (соответствуют протоколу HTTP • 400 — Bad request (Ошибочный • 401.1 — Logon (Сбой входа в • 401.2 — Logon failed due to server configuration (Сбой в систему из-за конфигурации сервера);

• 401.3 due to access control on resource (Нет доступа из-за таблицы управления досту пом на ресурсе);

• 401,4 — failed by filter (Отказ при провер ке прав доступа на фильтре);

• 401,5 — Authorization failed by application (От каз при проверке прав доступа к приложении ISAPI/CGI);

• 403.1 Execute access forbidden (Запрещен доступ на Часть II Администрирование • 403.2 — Read access forbidden (Запрещен доступ на чте ние);

• 403.3 — Write access forbidden (Запрещен доступ на за пись);

• 403.4 — SSL required (Требуется SSL);

• 403.5 - SSL 128 required 128);

• 403.6 — IP address rejected (Отказ для 403.7 — Client certificate required (Требуется клиентский сертификат);

403.8 — Site access denied (Нет доступа к узлу);

• 403.9 — Too many users (Слишком много пользователей);

• 403.10 — Invalid configuration конфигу рация);

• — Password change (Смена пароля);

• 403.12 — Mapper denied access (Доступ запрещен сред ством сопоставления);

• 403.13 — Client revoked сертифи кат отозван);

• 403.14 — Directory listing denied (Просмотр каталога зап рещен);

• 403.15 — Client Access Licenses (Достигнуто максимально число • — Client certificate invalid (Клиентс кий сертификат не доверия или • 403.17 — Client certificate has expired is not yet valid (Клиентский сертификат устарел или не начал дей ствовать);

• 404 — Not found (Объект не • 404.1 — Site not found (Узел не найден);

• 405 — Method not allowed (Метод не поддерживается);

• 406 — Not acceptable (Недопустимый объект);

• 407 — Proxy required (Требуется проверка подлинности прокси-сервером);

• 412 — Precondition Failed (Сбой начальных условий);

Настройка Internet Information Services Глава • 414 — too long (Слишком длинный запрос • 500 — Internal server error (Внутренняя ошибка сервера);

• 500.12 — Application restarting в состояний перезапуска);

• 500.13 — Server too busy (Сервер • 500.15 - for not allowed (Запро сы на файл GLOBAL.ASA • 500-100.ASP - ASP error (Ошибка • 501 — Not implemented (He реализовано);

• 502 — Bad gateway шлюз).

Дополнительные параметры обработки ошибок Вы определить порядок обработки любой стандарт ной ошибки. Порядок может задаваться на уровне файлов, папок и узлов, причем параметры обработки для файла параметры уровня а те в свою — аналогичные параметры уровня узла.

Существует три обработки ошибок:

• Default (По умолчанию) — клиенту возвращается стан дартное сообщение IIS об ошибке;

• File (Файл) — клиенту указанный с сообщением об ошибке (применяется для статичного со держимого);

• URL (Адрес — клиенту переадресующее на конкретный (применяется для динамического содержимого).

Большинство HTTP-ошибок обрабатывается при помощи которые при обычной установке на ходятся в папке System топ. Мож но и файлы об ошибках по умол чанию, и создавать файлы. Помните;

File можно использовать только для статичного содержимого (например, HTML-страниц), а метод — для динамичес кого содержимого (например, ASP-страниц). вы рис куете получить 120 Часть II Администрирование Web-сервера Если для обработки ошибок используется ASP код ошибки и URL исходной страницы передаются ему в виде параметров запроса. ASP-файл следует скон фигурировать так, чтобы он считывал параметры из и соответствующим образом изменял код состояния. Напри мер, если страница NOTFOUND.ASP обрабатывает ошибки 404 и пользователь пытается открыть страницу при помо щи URL вызов должен осуществляться посредством URL microsoft.com/NotFound.

Затем эта страница извлекает из переданного ей URL параметры 404 и http://www.microsoft.com/data.htm/.

Примечание Если Internet Explorer считает, что пользова тельское сообщение об ошибке слишком мало и не содер жит полезной информации, он заменяет его собственным HTTP-сообщением. Оценка сообщения осуще ствляется на основе размера последнего. если размер сообщения об ошибке 403, 405 или 410 меньше 256 байт или размер сообщения об ошибке 400, 404, 406, 408, 409, 500, 500.12, 500.13, 500.15, 501 или 505 меньше 512 байт, Internet Explorer заменит пользовательское сообщение об ошибке, возвращаемое службами IIS, на собственное сооб щение.

Просмотр параметров сообщений об ошибках Чтобы просмотреть параметры сообщений об ошибках, сде лайте следующее.

1. В оснастке IIS щелкните нужный Web-узел, каталог или панку правой и выберите в контек стном меню команду Properties 2. Перейдите на вкладку Custom Errors (Специальные ошибки) (рис. 4-5). Появится список стандартных HTTP ошибок, включающий следующие поля:

• HTTP Error (Ошибка HTTP-код состояния для данной ошибки;

может включать суффикс;

• Туре (Тип) — метод обработки ошибки (default, или URL);

" Contents (Содержание) — сообщения, путь или URL файла, содержащего описание данной ошибки.

Настройка Internet Information Services Глава 4 j j Т р ] HTTP или •.• Ф ! ! С !

-И I С • I :

•:• С, j Рис. 4-5. Вкладка Custom Errors (Специальные ошибки) диалогового окна свойств Web-узла 3. Просмотрев параметры ошибок, щелкните ОК.

Изменение параметров сообщений об ошибках Чтобы параметры сообщений об ошибках, 1. В оснастке IIS щелкните нужный Web-узел, виртуальный каталог или папку правой кнопкой и выберите в контек стном меню команду Properties (Свойства).

2. Перейдите на вкладку Custom Errors (Специальные ошиб ки). Появится список стандартных HTTP-ошибок и тодов их обработки.

3. Дважды щелкните запись ошибки или выделите ее и кните Edit Properties (Изменить свойства). Откроется окно Error Properties (Свойства со поставления ошибок) (рис. 4-6).

4. В списке Message Type (Тип сообщения) выберите обработки Доступные методы зависят от типа ошибки, при этом возвращается:

122 Часть II Администрирование Web-сервера • Default (По умолчанию) — сообщение об ошибке, со зданное на основе информации из полей Error Code, Sub Error Code и Default Text;

• File (Файл) вами полный путь к файлу или щелкните Browse (Обзор) и выбе рите файл);

• (Адрес — URL (для файлов па других серверах следует ввести абсолютный URL, на текущем относительный Рис. 4-6. Диалоговое окно Error Mapping Properties (Свойства сопоставления ошибок) 5. щелкните ОК.

Использование существующих и создание собственных типов MIME У всех файлов, передаваемых IIS и клиентским бра узером, указатель типа данных, представленный типом MIME. IIS полностью MIME.

Что такое MIME Вспомните, как осуществляется передача файлов по HTTP — многоцелевому протоколу для передачи файлов различных типов, видеофильмов кинематографического качества, зву ковых стереозаписей, изображения с высоким и прочих видов мультимедийной информации. Передача мультимедийных файлов без стандарта MIME была бы не возможна. С помощью Web-серверы определяют тип объекта. Типы объектов указываются который передается дан ными, что позволяет Web-клиенту обра зом обрабатывать файл объекта.

Настройка Internet Information Services Глава 4 Web-серверы тин MIME с помощью директивы Соп которая частью HTTP-заголовка, пере клиентскому браузеру. делятся на категорий, каждая из которых имеет связан ный с ней основной Вот стандартные типы MIME:

• application — двоичные данные, могут быть или с другим • audio — звуковой файл, для требуется специальное устройство вывода;

• image — просмотра требуется ное устройство • message — инкапсулированное почтовое сообщение;

multipart — данные, состоящие из нескольких частей и, относящиеся к разным типам;

• text текстовые данные, можно представить с помощью любого набора символов и языка форматирования;

• video — видеофайл, для требуется специаль ное устройство вывода;

• — экспериментальный тип данных для файлов виртуального мира.

три категории MIME:

• основная — тины данных, для использования в качестве типов содержимого MIME;

• дополнительная — подтипы, официально приняты для использования в качестве типов MIME;

• экспериментальная — подтипы, пока не приняты официаль но для качестве типов содержимого Отличить подтипы очень легко — их название включает Ниже ные типы и подтипы МШЕ (табл. 4-2).

Сотни типов MIME создаются с сопостав лений файла — тип Такие сопостав ления позволяют службам обрабатывать лю бые типы файлов, необходимые приложению или утилите на компьютере. Если файл рение, он передается с использованием типа MIME по умол чанию, что файл содержит данные при ложения. Обычно использование типа МШЕ по 124 Часть II Администрирование Web-сервера означает, что клиент может обработать файл или запус тить нужные для утилиты. Чтобы клиент корректна обработал файл нового типа, создайте сопоставление «рас ширение файла — тип Табл. 4-2. Основные типы MIME Подтип Описание application Двоичные в формате Macintosh msword Документ Microsoft Word octet-stream Двоичные данные, которые можно выполнить или использовать в другом приложении Документ Acrobat PDF Данные в формате Postscript rtf Документ RTF Данные, сжатые с использованием compress x-gzip Данные, сжатые с UNIX-утилиты gzip Данные с: ис Данные, сжатые с использованием PKZip или audio basic Звук в формате Звук в формате Apple AIFF Звук в формате Microsoft image gif в формате GIF jpeg Изображение в формате Изображение в формате TIFF Lext html Текст в формате HTML plain Простой без HTML-форма тирования video Видеоизображение формате MPEG Видеоизображение в формате Apple QuickTime в формате the Microsoft AVI Файл VRML Настройка Information Services Глава 4 Сопоставления типов MIME, в основных свой ствах, распространяются на все Web-узлы сервера. В диало говом окне основных свойств можно изменять существую щие, дополнительные и удалять типы MIME. При следующем запуске IIS изменения вступят в действие для Web-узлов. Кроме того, можно создавать дополнительные типов MIME для отдельных узлов и папок. Они будут действовать только в пределах этих конкретных объектов.

Просмотр и настройка для всех Web-узлов сервера Просмотреть или параметры MIME для всех Web-узлов сервера можно так.

В оснастке IIS щелкните значок правой кноп кой и выберите в контекстном меню команду Properties 2. В группе Computer MIME Map (Настройка типов MIME щелкните Edit Откроется окно со списком на типов MIME (рис. 4-7).

Они действительны для Web-узлов •и И video pt Рис. 4-7. Диалоговое окно File Types (Типы файлов) 3. типами MIME осуществляется с помощью следующих кнопок:

126 Часть II Администрирование Web-сервера • Туре (Создать) — добавление нового типа MIME;

введите в поле Association Extension (Связанное рас ширение) расширение файла, например за тем в поле MIME Type содержимого — тип MIME, например те OK;

• Remove (Удалить) — удаление типа MIME;

выберите тип и щелкните Remove;

• Edit (Изменить) параметров типа MIME;

выберите тип и щелкните Edit;

затем в диалоговом Type (Тип файла) введите новое расширение файла и содержимого MIME.

4. Дважды щелкните ОК.

Просмотр и настройка для отдельных узлов и папок На уровне узла или папки можно ограничить доступность пользовательских MIME-типов. При с параметрами MIME на этом уровне будут только значения, вами.

Просмотреть или изменить параметры MIME на не узла или папки можно так.

1. В IIS нужный Web-узел правой кноп кой и выберите в контекстном меню команду Properties (Свойства).

2. На вкладке HTTP Headers HTTP) щелкните Types (Типы файлов). Откроется одноименное диа логовое окно.

3. Управление типами осуществляется с следующих кнопок:

• New Type (Создать) — добавление нового MIME:

введите в поле Association Extension (Связанное рас ширение) расширение файла, например за тем в поле Content MIME Type [Тип содержимого — тин MIME, например text/html;

щелкни те ОК.

• Remove (Удалить) — типа MIME: выберите тип и щелкните Remove (Удалить).

Настройка Information Services Глава 4 • Edit — изменение параметров типа MIME:

выберите тип и затем в диалоговом окне Type (Тип файла) введите новое расширение файла и тип содержимого MIME.

4. Дважды щелкните ОК.

Примечание Типы MIME, наследуемые из основных свойств Web-узла, не отображаются. Список включает толь ко типы MIME, сконфигурированные для текущего узла или папки, хотя действуют оба набора типов MIME.

Дополнительные советы по настройке Для дополнительной настройки Web-узлов под управлени ем 1IS можно также задействовать узлы обновлений, стра перехода и перенаправление со Управление простоями с помощью узлов обновления Узлы обновления позволяют управлять и отобра жать альтернативное содержимое, если основные Web-узлы отключены от сети. Вместо отсутствующего содержимого и об пользователь увидит с информацией о причинах простоя и др.

Каждый опубликованный вами Web-узел должен узел обновления. Чтобы узел сделайте 1. Попросите создать отображаемую при простоях узлов Web-страницу, которая объясняла что в техническое обслужи и скоро работа узла также включить в код ссылки на Web узлы вашей компании.

2. В Windows Explorer (Проводник) создайте папку обновления. Лучше расположить се на локальном Web-сервера. Скопируйте в панку файлы содержимо го, созданные Web-разработчиками.

Совет Рекомендую создать корневую папку, в которой будут храниться домашние каталоги, а затем — отдельную вложенную папку для каждого узла обновления, Например, корневую папку D:\UpdateSites и вложенные папки 128 Часть II Администрирование Web-сервера date, и Update, где будут храниться файлы Web-узлов www.microsoft.com, services.microsoft.com и products.microsoft.com соответственно.

3. Запустите оснастку IIS и раскройте в левой узел нужного компьютера. Если компьютер не подключитесь к нему. Появится список Web-узлов, скон фигурированных на сервере.

4. Щелкните в дереве консоли значок компьютера и про смотрите о узла, и пор тах основного узла, который требуется подменять при простое.

5. Создайте новый с этими пара метрами. Назовите узел так, понятно, что это узел обновления, но не запускайте его.

6. Настройте свойства нового узла. Для этого значок узла правой кнопкой и в контекстном команду Properties (Свойства).

7. На можно:

• включить но умолчанию;

удалить документы по • добавить документ по умолчанию и задать ему имя страницы, созданной на 8. Перейдите на вкладку Custom Errors (Специальные ошиб ки). Измените параметры обработки ошибок 400, 404 и 500: выберите в списке Message Type (Тип сообщения) пункт File (Файл) и введите путь к странице на случай простоев.

9. При измените другие свойства узла. Затем щелкните чтобы закрыть диалоговое окно свойств.

Чтобы запустить созданный узел обновления, сделайте так.

1. Прежде чем начать техническое обслуживание основно го узла, остановите его из оснастки IIS и запустите со ответствующий обновления, 2. что этот узел работает, открыв его в Web-бра узере. Если узел настроен правильно, при попытке от крыть какой-либо файл клиент увидит на слу чай простоев.

Настройка Internet Information Services Глава 4 3. Выполните на основном узле технические работы. Завер их, остановите узел обновления и запустите основ ной узел.

4. что узел работает, открыв в Web браузере.

Использование страниц переходов в рекламных целях Страницы к другим и отслеживать переходы посетителей по рекламным баннерам, а обращения к узлу, иницииро ванные рекламой.

Страница перехода что клиент посетит одну из страниц и лишь затем перейдет к Web узлу рекламодателя, разместившего баннер. Таким образом, вы можете отслеживать эффективность рекламы на своем Web-узле. Вот как это работает.

На одной из страниц размешен рекламный Он ссылается на страницу перехода, которая размещена на том же узле. Пользователь щелкает баннер. Открывается страница Web-сервер отслеживает все обращения к ней и их в файл Страница перехода от сылает пользователя к Web-узла.

Страница перехода позволяет также эффективность рекламной в Интернете. Это происходит так. В обычных рекламных материалах, например, брошю ре, вашего Web-узла, точнее, соот ветствующей страницы вводит URL в браузере и открывает страницу перехода. от все к ней и заносит их в файл журна ла. Страница отсылает пользователя к странице Web-узла, посвященной рекламируемому продукту.

Каждая страница перехода должна быть уникальной;

мож но также создать динамическую считывающую код из и отсылающую пользователя к стра нице узла. Например, создать страницу перехода под назва нием принимающую первый сцена рию параметр как код рекламы. Затем создается ссылка в включающая URL и соответствующий код рекла мы, 130 Часть II Web-сервера Обработка ошибок 404 и предупреждение тупиков очень не любят тупики, одним из которых ошибка 404. на дисплей бессмыс ленного сообщения — not можно файл ошибок по умолчанию файлом, содержащим и ссылки или ошибки 404 на домашнюю страницу Web-узла. Это сделает навига цию по узлу более удобной и выделит его из жества ему подобных.

Глава Управление безопасностью Web-сервера В этой главе об безопасностью Web-сервера. к безопасности Web-серверов от личаются от тех, что предъявляются к обычным серверам Microsoft Windows. Web-сервер два уровня па Windows создают учет ные записи права к фай лам и каталогам, а также настраивают безопасно сти, на уровне безопасности настраивают разрешения доступа к содержимому, проверки подлиннос а также оператора.

Оба уровня можно ванная модель безопасности позволит провер ку подлинности учетных записей пользователей и групп, а также обычную проверку подлинности на основе Интерне та. система разрешений даст вам возможность определять и па к содержимому Web-узла. Чтобы пользователи обращались к файлам и папкам, учетным записям дол жны быть назначены необходимые на ОС. нужно задать разрешения системы безопасности IIS, доступ к содержимому Web-узла.

Рассматриваемый в этой круг вопросов — вступление к дальнейшему безопасности ресурсов IIS, вклю чая File Transfer Protocol (FTP), Mail Transfer Protocol (SMTP) и Network News Transfer Protocol (XNTP). Матери ал по этой имеется в главах.

132 Часть II Администрирование Web-сервера Управление безопасностью Windows настройкой IIS задаются разрешения ОС Windows, которые позволяют создавать учетные записи пользователей и групп и управ лять ими, задавать разрешения па доступ к файлам и пап кам, политики групп.

Учетные записи пользователей и групп В Microsoft Windows 2000 имеются учетные записи пользо вателей и групп, определяющие их права и Основные сведения об учетных записях пользователей и групп IIS Учетные записи и групп можно создавать на уровне локального компьютера или на уровне домена. Ло кальные учетные записи для ком пьютера и не действуют на других компьютерах, если им предоставить разрешения. учет ные записи действуют в т. е. с их помощью можно предоставить доступ ко всем его • В разных ситуациях используются определенные типы записей. учетные записи применяют, когда не входят в домен или требуется ог раничить доступ к компьютеру. Доменные учетные записи следует задействовать, если серверы яв ляются частью домена Windows, и пользователи должны обращаться ко всем его ресурсам.

Среди учетных наиболее важны ющие.

• (Системная учетная запись) — по умолча нию псе пользователи служб и Indexing Service реги стрируются в системе по этой благода ря чему службы могут с ОС.

• — гостевая учетная запись для доступа к узлам Интернета. Если она отклю чена или работа анонимных пользовате лей со службами невозможна.

• используется IIS для запус ка приложений, выполняющихся Если она Управление безопасностью Web-сервера Глава 5 отключена или запуск таких Учетные записи и относятся к группе Guests (Гости) и имеют щенный для изменения пользователем пароль с неограничен ным сроком Однако вы можете изменять парамет ры этих записей. В целях безопасности ровать IIS под записи, отличные от принятых по умолчанию. Кроме того, вы вправе создать дополнительные записи.

Управление учетными записями служб MS и Indexing Service для входа в систему Службы IIS и Indexing Service регистрируются на сервере под системной учетной записью, что им выпол нять системные процессы и задачи. Изменять этот порядок, кроме случаев или необходимости полного контроля над и привилегиями регистрационной учетной записи IIS, не следует. Чтобы назначить службам IIS и Server другую учетную запись для входа в сделайте так.

1. Tools и Com puter Management (Управление 2. В консоли Management подключитесь к нуж ному компьютеру.

3. Раскройте узел Services And (Службы и при ложения), щелкните значок Services 4. Щелкните интересующую вас службу кнопкой и выберите в меню Properties (Свой ства).

5. Перейдите на вкладку Log On (Вход в систему) (рис. 5-1).

G. Щелкните переключатель Local System (С сис темной учетной записью), чтобы служба лась в по записи (как и про исходит по умолчанию для служб).

7. Щелкните This Account (С чтобы служба регистрировалась под конкретной учетной запи сью. Не забудьте ввести имя и пароль в 134 Часть II Администрирование Web-сервера соответствующие поля. Для поиска учетной щел кните кнопку Browse (Обзор).

Рис. 5-1. Выбор регистрационной учетной записи службы на вкладке Log On (Вход в систему) 8. Щелкните ОК.

Примечание Если системная учетная запись не использу ется, предоставьте права и на вход в систему своей учетной записи. Подробнее — в главе 3 книги «Micro soft Windows 2000. Справочник администратора».

Управление гостевой учетной записью Интернета Управлять гостевой учетной записью можно как на уровне безопасности IIS, так и на безопасности Windows.

На уровне безопасности I1S задают учетную запись для ано нимного доступа. управление анонимным доступом осуществляется на уровне и вложенные файлы и папки наследуют анонимного доступа к этому узлу. Но вы можете переопределить параметры отдельных файлов и папок.

Управление безопасностью Web-сервера Глава На этом уровне кто управляет паролем учет ной записи пользователя: вы или IIS. нуж но лишь пароли учетных записей ных пользователей, которые локально. Если учетная запись задана на другом компьютере, паролем не обходимо управлять самостоятельно.

Чтобы изменить параметры записи для анонимно го доступа к Web-узлам и папкам Web-сервера, сделайте так.

1. В оснастке Internet Information Services правой кнопкой нужного компьютера и выберите в кон текстном меню команду Properties (Свойства). Откроет ся диалоговое окно свойств.

2. Из раскрывающегося списка Master Properties (Основные свойства) выберите WWW Service (WWW-служба) и щел кните Edit (Изменить). Откроется диалоговое окно WWW Service Master Properties (Основные свойства WWW службы) для данного компьютера.

3. на вкладку Directory Security (Безопасность каталога) или (Безопасность файла) и в группе Anonymous Access And Authentication Control (Анонимный доступ и проверка щелкни те Edit.

Примечание разрешен анонимный доступ, указывать имя пользователя и пароль работы с ресурсом не тре буется. IIS автоматически регистрирует пользователя под учетной записью для анонимного доступа к данному ресур су. Если анонимный доступ пользователю при дется указать свое имя и пароль. Чтобы разрешить аноним ный доступ, пометьте флажок Anonymous Access (Аноним ный доступ). Но вы должны быть твердо уверены, что ре сурсу не требуется защита.

4. В поле Username (Пользователь) указывают учетную за пись для анонимного доступа к ресурсу. Имя учетной за писи можно ввести вручную или щелкнуть кнопку Browse (Обзор) и выбрать его в диалоговом User (Выбор: Пользователь).

5. Флажок IIS To Control Password управ ление паролем из IIS) определяет, разрешено ли 136 Часть II Администрирование Web-сервера паролем учетной записи анонимного из IIS. чтобы учетной записью анонимного доступа, на локальном компьютере, управ ляли службы согласны с этим, пометьте флажок, если нет -- снимите его и введите па роль учетной записи для доступа.

6. Трижды щелкните ОК, чтобы сохранить сделанные изме нения, Конфигурация учетной записи анонимного пользователя на уровне узла, папки или файла изменяется так, 1. В оснастке Internet Services щелкните правой нужный Web-узел, или файл, и выберите в контекстном меню команду Properties (Свойства).

2. пп. 3-6 предыдущей инструкции.

На уровне безопасности Windows выполняются все задачи управления учетными записями, включая цию и отключение учетных записей, блокировки с заблокированной учетной изменение состава групп.

Подробнее о работе с учетными записями и см. главы 7, 8, 9 книги «Microsoft Windows 2000.

вочник администратора».

Управление учетными записями Web-приложений Управление учетными записями Web-приложений осуществ ляется только на IIS и на уровне пасности Windows. Па безопасности IIS из оснастки Services (Службы указывают учет ную запись для приложений, в потоке, а для изолированных приложений. Приложе ния первого типа используют одну, а второго типа — учетные записи.

Оснастка Services (Службы компонентов) откры так.

1. Раскройте меню Start (Пуск) и выберите Run (Выпол нить). Откроется диалоговое окно.

2. В поле Open (Открыть) и щелкните ОК.

Запустится консоль управления ММС.

Управление безопасностью Web-сервера Глава 3. В меню Console (Консоль) консоли выберите ко манду Add/Remove Snap-In оснастку).

Откроется диалоговое окно.

4. На вкладке Standalone (Изолированная оснастка) ните Add (Добавить).

5. В диалоговом окне Add Standalone Snap-In (Добавить изолированную оснастку) выберите Services (Службы компонентов) и щелкните Add (Добавить).

6. Щелкните Close (Закрыть) и затем чтобы закрыть диалоговое окно Add Standalone Snap-In (Добавить изо лированную оснастку).

Для управления учетной записью приложений, выполняю в сделайте следующее.

1. Раскройте узел Component Services (Службы компонен тов) — отобразится вложенный узел Computers ютеры).

2. Чтобы подключиться к удаленному узел Computers правой кнопкой и выберите в контек стном меню команду Компью тер). Введите имя компьютера и щелкните ОК. Если имя компьютера неизвестно, вызовите диалоговое окно Select Computer (Выбор: Компьютер), щелкнув кнопку Browse (Обзор).

3. Раскройте узел компьютера и щелкните папку Applications 4. Щелкните правой кнопкой узел IIS Out-Of-Process Pooled Applications, выберите в меню ду Properties (Свойства) и перейдите на вкладку Identity (Удостоверение).

5. Щелкните переключатель This User (Указанный пользо ватель) (рис. 5-2) и затем в поле User (Пользователь) введите имя требуемой учетной записи. Можно также щелкнуть кнопку Browse (Обзор) и выбрать учетную запись в диалоговом окне Select User (Выбор: Пользова тель).

6. В полях Password (Пароль) и Confirm Password (Подтвер ждение) пароль учетной записи.

7. Щелкните ОК.

138 Часть Администрирование Web-сервера fyaei ОТ имени Рис. 5-2, Выбор учетной записи Web-приложения в оснастке Component Services (Службы компонентов) Управление учетными записями приложений осуществляется почти так же. отличие: вы будете работать не с узлом IIS Pooled cations, а с записью приложе ния. Все приложений в метабазе на с префикса Скажем, запись изолированного созданного в Web-узла по умолчанию, в метабазе называться te// На Windows выполняются все задачи управления учетными записями, включая активиза цию и отключение учетных записей, снятие блокировки с заблокированной учетной изменение групп.

о работе с записями пользователей и групп ем. главы 7, 8, 9 книги «Microsoft Windows 2000. Спра вочник Управление безопасностью Web-сервера Глава Использование разрешений доступа к файлам и папкам папки и файлы IIS могут иметь до ступа, на безопасности Основные разрешения доступа к файлам и папкам доступа к файлам и папкам состо ят ил набора разрешений доступа, например, на просмотр содержимого папки и на файла (табл. Для тонкого управления доступом к файлам или папкам можно выборочно назначать учетным записям от дельные Подробнее см. главу книги «Microsoft Windows Справочник Табл. 5-1. Основные разрешения доступа к файлам и папкам Windows Разрешает (для папок) Разрешает (для файлов) Read (Чтение) Просмотр файлов или доступ и вложенных папок к содержимому файла Write (Запись) Добавление файлов Запись в файл и вложенных папок Read & Execute Просмотр файлов Просмотр и доступ (Чтение и и вложенных папок, к содержимому файла, а также выполнение а также его выполнение файлов;

файлами и папками...

List Folder Просмотр файлов Contents и вложенных папок.

(Просмотр а также содержимого файлов;

наследуется папки) только папками Modify Чтение и запись Чтение, и (Изменить) файлов и вложенных удаление файла папок, удаление папки Full Control Чтение, запись, Чтение, запись, (Полный изменение и удаление изменение и удаление файлов и вложенных папок Помните, что:

• для сценариев необходимо только ние Read разрешение Execute (Выполнение) только на исполнимые файлы;

140 Часть II Администрирование Web-сервера • для доступа к ярлыку и файлу, на который он ссылает ся, требуется разрешение • пользователь, обладающий разрешением на запись фай ла и имеющий разрешения на его удаление, может стереть содержимое этого файла;

• пользователь с полным доступом к папке может удалять файлы в ней независимо от их разрешений.

При доступа к файлам и папкам IIS использует следующие учетные записи, предоставляющие:

• Administrators (Администраторы) — административный доступ к ресурсам • Creator Owner елец) — создателю ресур са доступ к этому ресурсу;

• System (Система) — локальной системе доступ к ресур су;

• Everyone (Все) — интерактивным, удаленным, сетевым и пользователям доступ к содер жимому (IIS использует эту если Web-узел вхо дит домен Windows);

• Users (Пользователи) — учетным записям пользователей (включая гостевую учетную запись Интер нета и учетные записи доступ к ресурсу.

Если назначить любому из пользователей и групп ние Read (Чтение), клиенты с доступом к данному узлу Интернета или смогут просматривать файлы и папки. Чтобы доступ к определенным файлам и папкам, задайте соответствующие разрешения пользователям и включите доступ к ресурсам. При доступе IIS проверя ет учетной записи пользователя и на основе Windows определяет, какие файлы и доступны.

Вот какие разрешения доступа можно папкам и файлам IIS (табл. 5-2):

Управление безопасностью Web-сервера Глава 5 Табл. 5-2. Рекомендации по назначению разрешений доступа различным типам содержимого Расширение Тип файла файла Разрешения Сценарии CGI.exe, Everyone (Execute) и (Full System (Full Control).js, с одержи мое Administrators (Full Control) System (Full Control) Файлы,inc, Everyone (Read) включений Administrators (Full System (Full Control) Everyone (Read) Статичное.Lxt,.rtf,.gif,.jpg, Administrators (Full Control).ppt, System (Full Control) Лучше не назначать разрешения файлам, а мещать однотипное содержимое в один каталог.

для Web-узла со статичным и динамическим содержимым можно создать WebStatic и WebDynamic, поместить в них файлы типа, а затем назначить папкам нужные Просмотр разрешений доступа к файлам и папкам Разрешения доступа к файлам и папкам можно просмотреть.

1. В Windows Explorer (Проводник) щелкните правой кноп кой файл или папку.

2. В контекстном меню выберите команду Properties (Свой ства). Затем в открывшемся окне перейдите на вкладку Security (Безопасность) (рис. 5-3).

3. В списке Name (Имя) выберите имя пользователя, кон такт, компьютер или группу. Флажки разрешений, выде ленные серым что дуются от родительского объекта.

142 Часть Администрирование Web-сервера I а а а Чтение и Список папки I D Чтение I Запись т • ;

Рис. 5-3. Вкладка Security (Безопасность) диалогового окна Properties Назначение разрешений доступа к файлам и папкам доступа к файлам и папкам назначаются так.

1. В Windows Explorer (Проводник) щелкните правой кой файл или папку.

2. В выберите команду (Свой ства). в диалоговом на вкладку Security 3. В списке Name пользователи или обладающие к файлу (папке). Чтобы изменить разрешения этих пользователей и групп, выберите зователя или группу и внесите необходимые изменения список Permissions.

Примечание Наследуемые права выделены серым цве том. Чтобы переопределить их, пометьте соответствующий флажок.

4. Щелкните Add, чтобы настроить разрешения на доступ для дополнительных пользователей, контактов, компью безопасностью Web-сервера Глава геров и Откроется диалоговое окно Select Users, Computers, Or Groups (рис. 5-4).

Выбор: f r.

С osolt.com/Use С William R С R.

Рис. 5-4. Выбор пользователей, компьютеров и групп, которым предоставляются разрешения на доступ 5. Выберите пользователей, компьютеры или группы:

• список Look In (Искать в) содержит список доменов и учетные записи которых можно просмотреть;

для просмотра учетных записей ре и доменов выберите Entire Directory (Весь каталог);

• в Name (Имя) отображаются доступные учетные записи текущего домена или • (Добавить) добавляет записи в список;

• кнопка Check Names (Проверить имена) имена и групп (это полезно, если вы вводили вручную и хотите в их дос fi. В списке Name выберите имя пользователя, или группу, и затем назначьте в поле 144 Часть II Администрирование Web-сервера эту операцию для других пользователей, компьютеров или 7. щелкните ОК.

Работа с групповыми политиками Групповые политики — еще один Win dows, которого для успешной Они позволяют автоматизировать задачи и управлять ресурсами IIS.

Основы групповых политик Политика — это набор правил, на ком пьютеры и пользователей. Групповые политики обеспечива ют управление привилегиями, ями и возможностями и Ком пьютеры могут состоять в более крупных и тогда на них распространяется действие нескольких политик.

Порядок политик чрезвычайно важен и опре деляет, какие правила будут действовать, а какие — нет.

При наличии нескольких политик они в сле порядке.

1. Политики Microsoft Windows NT 4.0 из файлов NTCON FIG.POL.

2. Локальные групповые политики, только на локальный компьютер.

9. Групповые влияющие на все ком пьютеры конкретного узла, который включать сколько доменов.

3. Политики уровня домена, распространяющиеся на псе компьютеры в определенном домене.

4. Политики организационных единиц unit, OU), влияющие на все компьютеры в 5. Политики дочерних единиц, распрост раняющиеся на все компьютеры в каком-либо лении В результате последовательного применения правила преды дущих политик переопределяются текущей поли тики. Например, приоритет доменной политики выше при оритета локальной групповой Исключения Управление безопасностью Web-сервера Глава 5 блокировать, и отключать параметры Параметры политик делятся на две категории пользовательские и Компьютерные парамет ры применяются при загрузке системы, — при входе в систему. Для управления политиками служит оснастка Group (Групповые 1. Для узлов запустите оснастку Group Policy из консоли Active Directory Sites And Services (Active Directory сайты и службы). Откройте Active Directory And Services.

2. Для доменов и единиц запустите осна стку Group Policy из Active Directory Users And Computers (Active Directory — пользователи и компью теры). Откройте консоль Active Directory And Com puters.

3. В корне консоли щелкните узел, домен или организаци единицу правой и выберите в контекст ном команду (Свойства). Откроется од ноименное диалоговое окно.

4. Перейдите на вкладку Group Policy (Групповая полити ка). В списке Group Policy Object Links (Ссылки теку щего объекта групповой перечислены суще политики (рис. 5-5).

5. Для создания новой или редактирования уже существу ющей политики щелкните New (Создать).

6. Для редактирования политики выберите ее и Edit (Изменить).

7. Для политики измените ее поло в списке Group Policy Object (Ссылки теку щего объекта групповой политики), кнопками Up (Вверх) и Down Для управления локальными политиками от дельного компьютера сделайте следующее.

1. Раскройте меню Start (Пуск) и выберите команду Run (Выполнить). Откроется диалоговое окно.

2. В ноле Open и щелкните ОК.

конеоль Microsoft Management Console (MMC).

146 Часть И Администрирование Web-сервера Рис. 5-5. Создание и редактирование политик на вкладке Group Policy политика) 3. В (Консоль) выберите Add/Re move (Добавить/удалить оснастку). Откроется диалоговое окно.

4. На вкладке Standalone щелкните Add (Добавить).

5. В диалоговом окне Snap-In (Изолированная оснаст ка) Group Policy (Групповая политика) и щелкните Add (Добавить). Откроется диалоговое окно Group Policy Object (Выбор объекта литики).

6. Выберите Local компьютер) для групповой политики локального компь ютера или щелкните Browse, чтобы выбрать локальную политику другого компьютера.

7. Щелкните Finish (Готово) и затем — Close (Закрыть).

8. Щелкните ОК. Теперь вы можете управлять локальной политикой выбранного компьютера.

политики учетных записей и аудита — основа безопасности вашего Web-узла. Советую:

Управление безопасностью Web-сервера Глава 5 • задать минимальный срок действия пароля для всех учет ных 2-3 дня;

• задать максимальный срок пароля для учетных записей, например 30 дней;

• задать минимальную длину пароля: например, • безопасные пароли, активизировав полити ку, отвечающую за их сложность;

• журнал паролей и хранить в не менее пяти паролей.

Рекомендации по блокировке учетных записей таковы:

• включите счетчик блокировки — обычно учетную за блокируют после пяти попыток входа в систему;

• задайте длительность блокировки учетной записи — луч ше блокировать учетные записи на срок;

• сбрасывайте счетчик 30-60 минут.

Рекомендую вести аудит:

• успешного и системных событий;

• успешного и неудачного завершения событий в систему;

• неудачных попыток доступа к объектам;

• и неудачных попыток поли тики;

• успешных и неудачных попыток управления учетными записями;

• успешных и неудачных попыток в систему.

Настройка политик учетных записей для Подробнее об этими групповыми политиками рассказывается в главе 4 книги Windows 2000.

Справочник а мы поговорим об вкрат це. Политики учетных настраиваются так.

1. Раскройте узел Computer Sct Policies (Конфигурация безо учетных записей) и кон тейнер групповой политики. Для управления политика 148 Часть Администрирование Web-сервера ми учетных записей Password Policy (По литика паролей), Account Lockout Policy (Политика бло учетной записи) и Kerberos (Политика Kerberos) (рис. 5-6).

Рис. 5-6. Окно оснастки Group Policy (Групповая политика) 2. Чтобы настроить политику, щелкните ее значок.

Либо щелкните значок правой кнопкой и выберите в кон меню команду Security (Безопасность). Откро ется диалоговое окно данной политики (рис. 5-7), отображающее параметры политики компью тера, изменить которые а также изменяемые па раметры локальной политики. Пропустите этапы — они касаются только групповых политик.

Для узла, домена или ди алоговое окно свойств имеет иной вид (рис. 5-8).

Политика может быть определена или не определена, т.

применяться или нет на данном компьютере. Политики, не определенные в текущем контейнере, могут наследоваться из другого контейнера. ли флажок Define This Setting (Определить следующий параметр политики).

Управление безопасностью Web-сервера Глава не менее даоьна Рис. 5-7. Диалоговое окно свойств локальной политики Рис. 5-8. Диалоговое окно свойств глобальной групповой политики Политики могут иметь конфигурационные параметры: (политика включена) и (политика отключена).

Настройка политик аудита Аудит — лучший способ события Он собирать сведения об использовании ресурсов, например, о доступе к файлам, в и нии ее конфигурации. Записи обо ствиях в системный журнал кото рый можно с помощью утилиты Event Viewer (Просмотр событий).

150 Часть II Администрирование Web-сервера Политики аудита так.

;

Раскройте узел Computer Con Set Policies ком безопасно политики) и выберите контейнер Audit Policy (Политика аудита) (рис. 5-9).

к.

• Рис. 5-9. Узел Audit Policy (Политика аудита) консоли Group Policy (Групповая политика) 1. Теперь можно настроить параметры аудита, которые от слеживают:

• Audit Account Logon Events (Аудит событий входа в систему) — события, со входом и выхо дом пользователя из системы;

* Audit Account Management (Аудит управления учет ными записями) — учетными записями (события генерируются при создании, или учетных записей компьюте и групп);

• Audit Directory Service Access (Аудит доступа к служ бе каталогов) — доступ к Active (события генерируются обращении пользователей и компь ютеров к Active Directory);

* Audit Logon Events (Аудит входа в систему) — со бытия, со'входом, выходом и удаленным пользователя к компьютерам сети;

Управление безопасностью Глава • Audit Object Access (Аудит доступа к объектам) к файлам, каталогам, общим ресурсам, прин терам и объектам Active Directory;

• Audit Policy Change (Аудит изменения политики) изменения прав пользователей, аудита и доверитель ных • Audit Privilege Use (Аудит использования привиле гий) — на зервное копирование файлов и каталогов (вход и вход из системы не отслеживаются);

• Audit Process Tracking (Аудит отслеживания процес сов) — системные процессы и используемые ими ре сурсы;

• Audit System Events (Аудит системных событий) запуск, работы и а также влияющие на безопасность или жур нал 3. Чтобы настроить политику, дважды ее значок.

Можно также щелкнуть значок политик правой кнопкой и выбрать в контекстном меню Security (Безо пасность). Откроется диалоговое окно свойств данной политики.

4. Щелкните переключатель Define Policy и затем пометьте флажок Success (Успех), флажок Failure (Отказ) или оба этих флажка.

5. Завершив настройку, щелкните ОК.

Управление безопасностью IIS Настроив систему безопасности Windows, сконфигурируй те системе безопасности IIS;

• разрешения па к Web-серверу и выполнение со • протокол • методы • доступ по IP-адресам или доменным именам Интернета;

• разрешения операторов Web-узлов.

Часть II Администрирование Web-сервера Настройка разрешений Web-сервера Помимо разрешений безопасности Windows, узлы, папки и файлы обладают разрешениями IIS, которые для всех пользователей. Это означает, что разные пра ва доступа разным на уровне Web-узла нельзя. Однако вы можете создать защищенные области Web-узла и управлять доступом к ним с разреше ний файловой системы Основы разрешений Разрешения, назначаемые Web-содержимому, применяются с методами проверки и ограничени ями доступа, уже используемыми для Это значит, что для выполнения пользовательские должны со ответствовать требованиям подсистемы подси стемы проверки подлинности и контроля дос тупа. Все папки и файлы узла заданные на уров не узла разрешения, но для файлов и папок эти разрешения можно Разрешения Web-сервера также круг действий, которые можно выполнять по протоколу Web Distributed Authoring and (WebDAV). WebDAV позволяет уда лепным пользователям и блокировать ресурсы, а ими на Web-узле через Windows 2000, Microsoft Office 2000, Internet Explorer 5.0 и более версии этих продуктов поддерживают WebDAV.

Если у вас есть приложения с WebDAV, посредством разрешений Web-сервера определить круг до пустимых действий этих приложений и их об см. раздел «Настройка протокола данной главы.

Разрешения Web-сервера задать двумя способами.

разрешения задают в диалоговом окне WWW Server Master Properties свойства бы). При настройке разрешений Web-сервера надо указать, как эти свойства наследуются. вы разреше ния и возник конфликт с существующими сай та или IIS предложит переопределить сайта (папки) и их глобальными разрешениями.

Управление безопасностью Web-сервера Глава После переопределения сайт (нанку) и его (ее) мое будут глобальные если этого не сделать — старые разрешения сайта или папки.

задаются на уровне сайта, папки или файла. Как и локальные сайтов и узлов тоже могут наследоваться. Поэтому, при измене нии разрешения возникнет конфликт с параметрами сайта или папки, IIS лить разрешения сайта и заменить их глобальными разрешениями. переопределения на сайт (папку) и его (ее) содержимое будут распространяться глобальные разре если этого сделать — разрешения сайта или папки.

IIS управляет наследованием разрешений на уровне узла, папка уровня и прочие папки сайта рассматриваются как отдельные узлы. Изменения разреше ний узла сайта распространяются только па корневую пап ку и ее файлы. На вложенные папки, если этого специаль но не указать, они распространяться будут.

Настройка глобальных разрешений Web-сервера Для управления глобальными разрешениями сделайте так.

1. В оснастке Internet Information Services щелкните правой кнопкой значок нужного компьютера и выберите в кон меню команду Properties (Свойства). Откроет ся диалоговое окно свойств.

2. Из списка Master Properties (Основные свойства) выбе рите WWW Service (WWW-служба) и щелкните Edit Откроется диалоговое окно WWW Master Properties свойства для данного компьютера.

3. Перейдите на вкладку Home Directory (Домашний ката лог) (рис. 5-10) и разрешения Web-сервера, ко торые будут сайтами и папками, с помо щью следующих флажков:

• Directory Browsing (Обзор каталогов) позволяет поль зователю просматривать список файлов и вложенных папок папки;

154 Часть Администрирование Index This Resource (Индексация каталога) позволя ет службе Index Service индексировать данный ресурс, благодаря чему пользователи могут искать нужную информацию по ключевым словам;

Log Visits (Запись в журнал) совмест но с системой аудита для регистрации обра к ресурсу;

Read (Чтение) пользователю обращаться к каталогу или просматривать и выводить файла;

Script Source Access (Доступ к тексту сценария) доставляет доступ к исходному коду, включая если помечен флажок Read (Чтение), пользователи могут считывать файл исходного кода, а при наличии разрешения Write (За пись) — изменять его;

Рис. 5-10. Настройка разрешений Web-сервера Управление безопасностью Web-сервера Внимание! Назначая разрешение Script Source Access на общедоступных из Интернета производственных будьте особенно осторожны. Такое решение позволит всем клиентам читать исходный код и может сделать сервер уязвимым для атак злоумышленников. Данное раз решение рекомендуется назначать лишь каталогу, требую щему прохождения проверки подлинности.

• Write (Запись) позволяет пользователю изменять со держимое файла или создавать и публиковать файлы каталога.

Внимание! Разрешение Write следует ограни ченному числу ресурсов. По возможности создайте специ альные каталоги для файлов или назна чайте это разрешение отдельным файлам, а не целым ка талогам. Для выполнения приложений нужно назначить раз решение Read всем используемым ими файлам или сайту где эти файлы хранятся. Если приложение записы вает содержимое в один из файлов сайта, назначьте также разрешение Write (но лишь для отдельного файла или ка талога).

4. Если выбранный ресурс является частью можно в списке Execute Permission (Разрешен запуск) задать уровень • None (Нет) — доступ только к статичным файлам:

например, HTML- и • Scripts Only (Только — выполняются толь ко сценарии: ASP-;

• Scripts And Executables (Сценарии и исполняемые файлы) - просматриваются и выполняются все файлы.

5. Щелкните Apply (Применить). Прежде чем применить IIS проверяет текущие параметры всех Web и их папок. Если на Web-узле действуют другие разрешения, открывается диалоговое окно Inheritance Overrides (Переопределение наследования). Отметьте в нем узлы, к которым следует новые разреше ния, и щелкните ОК.

156 Часть II Администрирование Web-сервера Настройка локальных разрешений Web-сервера Чтобы содержимому каталога или фай ла права сделайте следующее.

1. В оснастке Internet Information Services щелкните правой кнопкой значок нужного компьютера и выберите в кон текстном меню команду Properties (Свойства). Откроет ся окно свойств.

2. Перейдите на вкладку Directory ката лог), Directory (Каталог) (рис. 5-11) или Virtual Directory каталог) и задайте Web-сер вера, которые наследоваться сайтами и папками, с помощью следующих флажков:

I III. | f Настройка разрешений Web-сервера • Directory Browsing (Обзор каталогов) позволяет просматривать список файлов и папок данной папки;

• Index This Resource (Индексация каталога) ет службе Service данный ресурс, благодаря чему могут искать информацию по ключевым словам;

Управление безопасностью Web-сервера Глава • Log Visits (Запись в журнал) используется совмест но с аудита сервера для обра щений к ресурсу;

• Read (Чтение) обращаться к каталогу или и выводить содержимое файла;

• Script Source Access (Доступ к тексту сценария) доставляет пользователям доступ к исходному включая если также помечен флажок (Чтение), пользователи могут считывать файл исходного кода, а наличии разрешения Write (За изменять его;

Внимание! Назначая разрешение Script Source Access на общедоступных из Интернета производственных серверах, будьте особенно осторожны. Такое решение позволит всем клиентам читать исходный код сценариев и может сделать сервер уязвимым для атак злоумышленников. Данное раз решение рекомендуется назначать лишь каталогу, требую щему проверки на подлинность.

• Write (Запись) позволяет пользователю изменять со держимое файла или и публиковать файлы каталога.

Внимание! Разрешение Write следует назначать ограни ченному числу ресурсов. По возможности создайте специ альные каталоги для перезаписываемых файлов или назна чайте это разрешение отдельным файлам, а не целым ка талогам. Для выполнения приложений необходимо назна чить разрешение Read всем используемым ими файлам или сайту где эти файлы хранятся. Если приложение за писывает содержимое в один из файлов сайта, следует также назначить разрешение Write (но лишь для отдельно го файла или каталога).

3. Если выбранный ресурс является частью можно с помощью списка Execute (Разрешен запуск) задать уровень выполнения:

• None (Нет) — доступ только к файлам:

например, HTML- и 158 Часть II Администрирование Web-сервера • Scripts Only сценарии) — толь ко сценарии: например, ASP-;

• Scripts And (Сценарии и исполняемые файлы) — и выполняются файлы.

4. Щелкните Apply. Прежде, чем применить 1IS текущие Web-узлов и их па пок. Если на узле другие разрешения, вается диалоговое окно Inheritance в нем узлы, к которым надо применить новые разрешения, и щелкните ОК.

Настройка протокола Протокол WebDAV дополняет HTTP 1.1 и позволяет удален ным пользователям управлять ресурсами т. е.:

• выполнять обычные файловые операции: например, вы копировать и вставлять файлы;

• создавать и файлы и их свойства на уров не ОС;

• создавать и каталоги и их свойства на уровне ОС;

• блокировать чтобы при одновременном ре лишь один из пользователей мог редактировать а также снимать • вести поиск по содержимому и свойствам файлов опре деленной папки.

WebDAV в US, и поэтому все папки Web-уз лов доступны для редактиро вания и проверки версий. Это упрощает доступ и публика цию документов на Разрешения Для допустимыми действиями WebDAV-прило жений используются обычные разрешения Web-сервера, • Directory Browsing (Обзор каталогов) позволяет клиен там WebDAV • Index This Resource (Индексация каталога) — если на Web-сервере выполняется служба Indexing Service, кли енты WebDAV могут искать нужную информацию в пап ке с помощью специальных Управление безопасностью Web-сервера Глава 5 • Read (Чтение) клиентам WebDAV просмат ривать папки и выполнять файлы в WebDAV.

• Script Source Access к тексту сценария) позво ляет клиентам WebDAV загружать файлы кода сценариев.

• Write (Запись) клиентам WebDAV просматри вать вложенные папки и перезаписывать файлы.

Для публикации файла и списка файлов ката логе пользователь должен обладать разрешениями Read (Чте ние), Write (Запись) и Directory Browsing (Обзор каталогов).

Для редактирования кода сценариев необходимо разрешение Script Source Access (Доступ к тексту В целях защиты Web-содержимого данные сле дует назначать только требующим прохождения про верки на подлинность. создать папку For запретить к ней доступ и назначить ей Read, и Directory необходи мые доступ к исходным кодам сценариев, убеди тесь, что исходный код и исполнимые файлы за Все расширения файлов, указанные на вкладке Application Mappings приложений) диалого вого окна свойств сайта, считаются расширениями файлов сценариев. которых сопоставлены какому-либо приложению, обрабатываются как статичные HTML- или текстовые файлы. Файлы с расширениями и.ехе, которым не задано разрешение Scripts And (Сценарии и файлы), позволяющее сывать их лаже при отсутствии у клиента Script Source Access (Доступ к тексту сценария), также считаются статичными HTML-файлами. Если же им разре Scripts And они обрабатываются как ис полнимые файлы и могут быть перезаписаны только при наличии у пользователя разрешения Script Source Доступ к документам и их публикация с помощью WebDAV Windows 2000 и Office 2000 поддерживают WebDAV, и этому к Web-папкам на не со труда. В Windows 2000 это делается так.

160 Часть II Администрирование Web-сервера 1. На рабочем столе Windows дважды щелкните значок My Network Places сетевое а затем — зна чок Add Network Place место в сетевом окруже нии). Запустится мастер Add Network Place Wizard (До в окружение).

2. В окно мастера введите требуемой папки: например 3. Щелкните Next (Далее) и введите описание папки.

4. После того как вы Finish (Готово), Windows 2000 автоматически подключится к папке. Для повтор ного обращения к папке дважды на рабочем столе значок My Network Places (Мое сетевое и затем — значок папки.

Создав новое место в сетевом окружении для папки WebDAV, можно легко и просто публиковать в ней из Micro soft Office 2000.

1. В меню File (Файл) выберите команду Save As (Сохра как), затем в левой части диалогового окна Save As (Сохранение документа) щелкните значок My Network Places (Мое сетевое окружение).

2. Щелкните значок нужной папки WebDAV или введите ее URL и щелкните ОК.

Вы также можете подключаться к каталогам WebDAV через Internet 5.0 в ОС Microsoft Windows 95/98/NT 4.0/ 2000.

1. Запустите Internet версии 5.0 или более и выберите из меню File (Файл) команду Open (Открыть).

Откроется диалоговое окно.

2. В диалоговом окне Open (Открыть) введите требу емой папки WebDAV: http://www.microsoft.com/ data/.

3. флажок Open As Web Folder (Открыть как Web папку) и щелкните ОК.

Выбор метода проверки подлинности Методы проверки подлинности управляют доступом к ресур сам IIS. Проверка позволяет реализовать анонимный доступ к а также создавать защищенные Управление Глава 5 области и Web-узлы с контролируемым доступом.

Если включена, IIS на основе зитов пользователя его права и разрешения до ступа к ресурсу.

Основы проверки подлинности Доступны четыре режима • Anonymous Authentication (Анонимная проверка под линности) IIS автоматически регистрирует пользовате лей под анонимной или гостевой учетной записью, что позволяет получить доступ без указания имени пользо вателя и пароля.

• Basic Authentication (Обычная проверка подлинности) IIS запрашивает имя пользователя и пароль, которые по сети незашифрованными. Если вы скон фигурировали на сервере безопасные коммуникации в соответствии с раздела «Использование главы 6, можете требовать от применения протокола Secure Sockets Layer (SSL), При совместном использовании SSL и обычной ре реквизиты перед передачей их серверу шифруются.

• Integrated Windows Authentication (Встроенная провер ка подлинности Windows) IIS проверяет личность поль зователя с помощью обычной системы безопасности Win dows. Вместо имени пользователя и роля клиенты пересылают регистрационные реквизиты, указываемые пользователями при входе в Windows. Передаваемые полностью зашифрова ны, не требуют SSL и включают имя зователя и пароль, необходимые для входа в сеть. Встро енную проверку подлинности Windows только семейства Explorer.

• Digest Authentication (Краткая проверка подлинности) Осуществляется безопасный обмен реквизитами пользо вателя между клиентами и серверами. Краткая проверка подлинности одной из протоко ла HTTP 1.1 и методы, усложняющие пере хват и расшифровку посторонними. Данная возможность только если является 162 Часть II Администрирование Web-сервера контроллером домена и запрос поступает от Internet Exp версии 5.0 или более новой.

По умолчанию для I1S как анонимная, так и обычная проверка подлинности средствами Windows, и поэтому процесс проверки подлинности происходит сле дующим образом.

1. IIS пытается к ресурсу, используя учетную запись Интернета. Если она обладает достаточ ными пользователю предоставляется до ступ к ресурсу.

2. Если проверка регистрационных реквизитов прошла удачно или учетная запись (отключена), IIS переключается на текущие регистрационные зиты пользователя. реквизиты успешно проходят и обладает нужными разрешени ями, ему будет предоставлен доступ к ресурсу.

3. Если проверка завершилась неудачно или у пользовате ля нет достаточных прав на доступ, ему будет отказано в доступе к ресурсу.

Как и в случае с разрешениями Web-сервера, проверку под линности можно настроить глобально или локально. Гло бальные методы проверки подлинности задают в диалоговом окне основных свойств WWW-службы. Локальные методы настраивают в окне свойств сайта, папки или файла. Если изменения конфликтуют с текущими настройками ресурсов, IIS выводит диалоговое окно, позволяющее указать, какие ресурсы будут наследовать новые параметры.

Помните • При совместном использовании анонимного доступа и доступа с проверкой получа ют полный доступ к ресурсам, предоставляемый гостевой учетной Интернета. Если у данной учетной запи си доступа к ресурсу, IIS пробует ее под линность с помощью указанных вами методов проверки.

Если завершится неудачно, пользователю будет отказано в доступе.

• Если анонимный доступ запрещен, службы IIS проверя ют все пользовательские запросы с помощью вами методов подлинности. того как Управление безопасностью Web-сервера Глава пользователь пройдет IIS на основе его ной записи определяет его права доступа.

• При совместном использовании обычной и встроенной или краткой проверки подлинности Internet Explorer сна чала использует один из последних методой проверки.

Это означает, что прошедшим проверку с регистрационными реквизитами текущей учетной запи не будет предложено ввести имя и пароль.

Кроме того, перед использованием краткой проверки под линности надо включить шифрование паролей для учетных записей всех пользователей, которые будут под ключаться к серверу с метода проверки, Двустороннее шифрование позволяет [IS и защищенную передачу и расшифровку пользова тельской информации. Чтобы включить двустороннее шиф рование, сделайте так.

1. Раскройте меню Tools и выберите Ac tive Directory Users Computers (Active Directory пользователи и компьютеры). Запустится одноименная оснастка.

2. щелкните учетную запись, которая должна ис пользовать краткую проверку подлинности.

3. В диалоговом Account Options (Учетная запись) по метьте флажок Store Password Using Reversible Encryption пароль, используя обратимое шифрование).

4. Щелкните ОК. Повторите пп. 1-4 для всех учетных за писей пользователей.

Включение и отключение проверки подлинности Включать и анонимный доступ можно па уровне сервера, сайта, каталога или файла. Если анонимный доступ включен, пользователи будут обращаться к ресурсам без подлинности (при условии, что это допускается разрешениями безопасности Windows данного ресурса). При отключенном доступе обраще ния к ресурсу пользователи должны пройти проверку под линности, автоматически или (в зависимости от используемого браузера и учетной записи).

164 Часть II Администрирование Проверка подлинности на сервера включается/от так.

В оснастке Internet Services щелкните правой кнопкой значок нужного компьютера и выберите в кон текстном меню команду Откроет ся одноименное диалоговое окно.

2. В раскрывающемся списке (Основные свойства) выберите WWW Service (WWW-служба) и щелкните Edit (Изменить). Откроется диалоговое окно WWW Service Master Properties (Основные WWW-службы) для компьютера.

3. Перейдите на вкладку Directory Security (Безопасность каталога) и в Anonymous Access And Authentica tion Control доступ и проверка подлиннос ти) щелкните Edit Откроется диалоговое окно Authentication Methods (Способы проверки ности) 5-12). Его • Anonymous Access (Анонимный доступ) управляет анонимной проверкой подлинности;

• Basic Authentication [Обычная (пароль отправляет ся в текстовом управляет обычной провер кой подлинности;

отключая ее, помните, что в резуль тате некоторые клиенты не смогут удаленно обращать ся к ресурсам, так как ими метод проверки не будет на • домен по умолчанию автоматически не если при регистрации в системе не о при включении обычной провер ки подлинности можно задать — это га рантировать корректное прохождение проверки кли ентами;

• Digest Authentication (Краткая проверка для серве ров Windows) управляет краткой проверкой ности;

если используемый вами компьютер явля ется контроллером домена, данный флажок недосту пен;

• Integrated Windows Authentication (Встроенная про верка подлинности Windows) управляет встроенной проверкой подлинности Windows.

Управление Web-сервера Глава в под™ Рис. 5-12. Диалоговое окно Authentication Methods (Способы проверки 4. Щелкните ОК. Прежде чем применить изменения, IIS проверит параметры дочерних узлов выб ранного ресурса. Если на дочернем узле методы проверки подлинности, диалого вое окно Inheritance (Переопределение дования). в нем узлы, к которым следует при менить новые разрешения, и щелкните ОК.

подлинности на уровне узла, каталога или файла так.

1. В оснастке Internet Information Services щелкните правой значок компьютера и выберите в кон текстном команду Properties (Свойства).

ся одноименное диалоговое окно.

2. Перейдите на вкладку Directory каталога) и в группе Anonymous And Authentica Control (Анонимный и подлиннос ти) щелкните Edit (Изменить). Откроется окно Methods (Способы проверки подлин ности) (рис. Его • Anonymous Access доступ) управляет подлинности;

• Basic Authentication [Обычная (пароль отправляет ся в текстовом управляет обычной 166 Часть II Администрирование Web-сервера кой подлинности;

отключая помните, что в тате некоторые клиенты не смогут удаленно обращать ся к ресурсам, так как поддерживаемый ими метод проверки будет на сервере;

• домен по умолчанию автоматически не если при регистрации в системе не предоставлено сведений о при включении обычной ки подлинности можно задать — это позволит га рантировать корректное кли ентами;

• Digest Authentication (Краткая проверка для ров Windows) краткой проверкой ности;

если вами не ся данный флажок • Integrated Windows Authentication (Встроенная про верка подлинности Windows) встроенной проверкой подлинности Windows.

3. Щелкните ОК. Прежде применить изменения, IIS проверит дочерних узлов выб ранного ресурса. Если дочернем узле применяются иные методы подлинности, откроется диалого вое окно Inheritance (Переопределение насле дования). Отметьте в нем узлы, к которым следует при менить новые и щелкните ОК.

Настройка ограничений доступа по IP-адресам и доменным именам По умолчанию ресурсы IIS всем компьютерам и а также с любого IP-адреса, и это создает опасность некорректного использования Для управления ис пользованием ресурсов можно предоставлять или блокиро вать доступ по IP-адресам, сетевым и до менам. Как и любые другие огра доступа можно задать па уровне сервера или на уровне отдельных сайтов, папок и файлов.

Предоставление доступа компьютеру не — работать с ними. Если вклю чена проверка подлинности, пользователи должны ее пройти.

Отказ в доступе компьютеру обращаться к сам. Следовательно, данного компьютера не Управление безопасностью Web-сервера Глава могут работать с ресурсами при прохожде нии проверки подлинности.

Ограничения доступа на сервера включаются/отклю чаются так.

1. В оснастке Internet Information Services щелкните кнопкой значок компьютера и выберите кон меню команду (Свойства).

ся одноименное диалоговое окно.

2. В раскрывающемся списке Master Properties (Основные свойства) WWW Service (WWW-служба) и щелкните Edit (Изменить). Откроется диалоговое окно WWW Service Master свойства WWW-службы) для данного компьютера.

3. Перейдите на вкладку Directory Security (Безопасность каталога) и в группе IP Address And Name Restrictions (Ограничения и имен доменов) Edit (Изменить). Откроется окно (рис. 5-t3).

riftsMCdWHiw всем Кроме.

Рис, 5-13. Диалоговое окно IP Address And Name Restrictions (Ограничения IP-адресов и имен доменов) 4. Щелкните Granted Access до ступ), чтобы определенным и доступ остальным компьютерам.

5. Denied Access дос чтобы запретить доступ определенным и вить доступ остальным 6. Создайте список доступа. Для этого Add (До бавить) и затем в диалоговом — Single 168 Часть II Администрирование Web-сервера Computer (Один компьютер), Group Of Computers (Груп па компьютеров) или Domain (Имя Введите:

• для отдельного — например 192.168.5.50;

• для группы компьютеров — адрес их подсети:

мер, или маску подсети:

255.255.0.0;

• для домена его имя: например, eng.domain.com.

Внимание! После предоставления/запрета доступа отдель ному домену IIS должны будут выполнять по всем входящим соединениям обратный чтобы определить их ис ходный домен. Это значительно увеличит время отклика на первый запрос любого пользователя к Web-узлу.

7. Чтобы удалить запись из списка доступа, выделите ее в списке Computers следующих) и щелкните Remove (Удалить).

8. Щелкните Apply чем применить изменения, IIS проверит текущие параметры всех Web узлов и их папок. Если на Web-узле используются дру гие параметров, откроется диалоговое окно Inheritance Overrides наследования).

Отметьте в нем узлы, к которым следует применить но вые и щелкните ОК.

Ограничения доступа на уровне сайта, папки или файла включаются/отключаются так.

1. В оснастке Information щелкните правой значок и к кон текстном меню команду Properties (Свойства). Откроет ся одноименное диалоговое окно.

2. на вкладку Directory Security каталога) и в IP Address And Restrictions (Ограничения и имен доменов) Edit (Изменить), Откроется диалоговое (рис. 5-13).

3. Щелкните Granted Access (Разрешен ступ), чтобы доступ определенным и за доступ остальным компьютерам.

Управление безопасностью Web-сервера Глава 4. Щелкните переключатель Denied Access (Запрещен до ступ), чтобы запретить доступ определенным и предос тавить доступ остальным 5. список Для этого щелкните Add (До бавить) и затем в открывшемся диалоговом — Single Computer Group Of Computers (Груп па компьютеров) или Domain (Имя • для — его 192.168.5.50;

• для группы компьютеров — адрес их подсети: напри мер, или маску подсети: например, 255.255.0.0;

• для домена — его полное имя: например, eng.domain.com.

Внимание! После доступа отдель ному домену IIS должны будут выполнять по всем соединениям обратный чтобы их ис ходный домен. Это значительно увеличит время отклика на первый запрос любого пользователя к Web-узлу.

6. Чтобы удалить запись из списка доступа, выделите ее в Computers (Кроме следующих) и щелкните Remove (Удалить).

7. Щелкните Apply (Применить). Прежде, чем применить изменения, IIS текущие параметры всех Web узлов и их папок. Если на используются дру гие значения параметров, откроется диалоговое окно Inheritance Overrides (Переопределение наследования).

Отметьте в нем узлы, к которым следует применить вые значения, и щелкните ОК.

Назначение операторов Web-узла Всем Web-узлам можно назначить операторов, ко торые будут управлять ими удаленно.

Операторы Web-узлов Операторы Web-узла — это группа пользовате лей, обладающих на:

• создание, переименование и удаление каталогов Web-узла;

170 Часть II Web-сервера • свойствами папок, включая разрешения дос тупа, документы по умолчанию, каталогов, HTTP-заголовки и сообщения об ошибках;

• управление свойствами сайта, включая разрешения сай та, назначение операторов, производительность, фильтры ISAPI, свойства домашнего каталога, документы по умол чанию, безопасность каталога, HTTP-заголовки и сооб щения об ошибках.

Операторы не могут свойства, влияющие на рабо ту IIS компьютера или сети. Такое ограни чение наложено в целях безопасности.

Примечание Привилегии операторов не распространяют ся на Web-узел Administration (Администрирование Web узла). Для удаленного управления через данный Web узел пользователь должен состоять в группе Administrators (Администраторы).

администрирование делают возможным компоненты и находящиеся в каталоге IISAdmin.

Для Web-узла, требующего удаленного управления операторами, следует создать такой каталог. Путь к этому каталогу по — Для подключения к требуемому операторы исполь зуют обычный например Internet 5.0. Вво димый администратором URL состоит из доменного имени узла, за которым следует имя административ ного каталога. Например, если доменное имя сервера dev.microsoft.com, а административного каталога — ops, для подключения к разделу Web-узла в бра узере нужно ввести адрес:

Метод проверки подлинности оператора узла зависит от методов проверки, включенных для адми нистративного Ни косм случае разрешайте анонимный доступ к каталогу.

Задать учетные записи, обладающие операто ра Web-узла, можно глобально или локально. Глобальное назначение операторов автоматически распространяется на Управление безопасностью Web-сервера Глава 5 все Web-узлы сервера. назначение вли яет только на отдельный Web-узел.

Разрешение администрирования Web-узла оператором Чтобы администрирование оператора ми, сделайте так.

1. Создайте виртуальный каталог и сопоставьте ческому папки 2. Создайте групповое и сделайте началь ной точкой каталог. Групповое IIS-прило жение изолирует административные задачи от основных процессов IIS.

3. Из списка Permission запуск) выбе рите для административной папки выполнения;

Scripts (Только сценарии) или Scripts And (Сценарии и файлы).

Назначение операторов всем Web-узлам сервера Чтобы операторов Web-узлам сервера, лайте так.

В оснастке Internet Information щелкните правой кнопкой значок нужного компьютера и выберите в кон текстном меню команду Properties (Свойства). Откроет ся диалоговое окно.

2. В раскрывающемся Master Properties (Основные выберите WWW Service (WWW-служба) и Edit (Изменить). Откроется диалоговое окно WWW Service Master Properties свойства WWW-службы) для данного Перейдите на вкладку Operators (Операторы). В списке отображаются операторы, назна ченные Web-узлу. По умолчанию Web-узла является только группа нистраторы).

4. Чтобы добавить оператора, Add (Добавить).

Откроется диалоговое окно Select Users Or Groups (Вы бор: или Группы), где можно выбрать поль зователей и группы.

172 Часть II Администрирование Web-сервера 5. Чтобы удалить выберите в списке Opera tors (Операторы) и щелкните Remove (Удалить).

6. Трижды щелкните ОК, чтобы назначение опе раторов.

Назначение операторов отдельным Web-узлам Операторы Web-узлу так.

1. В оснастке Internet Information Services щелкните правой значок компьютера и выберите в кон текстном меню (Свойства). Откроет ся одноименное диалоговое окно.

2. Перейдите на вкладку В списке Operators (Операторы) отобразятся Web узлу операторы. По оператором Web-узла является только глобальная группа Administrators (Ад министраторы).

3. Чтобы добавить оператора, щелкните Add (Добавить).

Откроется диалоговое окно Users Or Groups (Вы бор: Пользователи или Группы), где можно выбрать поль и группы.

4. Чтобы удалить оператора, его в tors (Операторы) и щелкните Remove (Удалить).

5. Дважды щелкните ОК, чтобы завершить назначение опе раторов.

Как повысить уровень безопасности Web-сервера ровно настолько, насколь ко вы и я предлагаю вам несколько Использование брандмауэров безопасности Web-сервера — за дача, требующая постоянной бдительности. Для защиты от атак вам потребуется например, Microsoft Inter net Security and Acceleration Server или Cisco 515 Firewall.

При установке брандмауэра следует закрыть все Их перечень зависит от ресурсов IIS. Протокол FTP использует порты 21 и 23;

Управление безопасностью Web-сервера Глава SMTP — порт 25 и иногда — порт 53 для до имен;

HTTP - порты 80 и a - 119 и Переименование учетной записи Administrator учетная запись Administrator обладает на Web-сервере расширенными Злоумышленни ки часто выбирают атак в полу чить контроль над сервером. Чтобы их отпугнуть, переиме нуйте учетную запись в оснастке Direc tory Users And Directory — пользователи и компьютеры). Только не забудьте сообщить другим адми компании новое учетной записи ад министратора.

Отключение Web-узла по умолчанию по умолчанию использовать рекомендуется. На нем множество сконфигурированных обраща ющихся к системным ресурсам и выполнять и исполнимые файлы. Кроме того, дан ный узел разрешает удаленное рование хорошо известный всем каталог. Все это де лает уязвимым для атак, и его лучше отключить.

1. В Internet Information щелкните правой кнопкой Web-узел по умолчанию и выберите в контек стном меню команду Stop (Остановить).

2. Закройте оснастку IIS, чтобы сохранить изменения кон фигурации.

3. Запустив оснастку IIS снова, вы увидите, что Web-узел по умолчанию Примечание Во избежание использования его в Web-узел по умолчанию можно удалить.

Отключение удаленного администрирования через Web Как уже говорилось, Web-узлами можно управлять удален но через браузер. Для узлом опера тор к его папке а для IIS — к Web узла). Для четкого управления доступом к серверу Часть II Администрирование чите удаленное администрирование через и разрешите доступ к серверу только через оснастку IIS.

Итак, отключим удаленное администрирование Web.

1. Остановите Web-узел (Администрирова ние Web-узла).

2. Удалите папку (обычно — или выберите в списке Execute Permission уровень None (Нет).

Запрет просмотра каталогов содержимое каталогов боль шинству пользователей не поэтому вы можете гло бально запретить просмотр каталогов. Снимите соответству ющий флажок в диалоговом Master WWW Service Pro perties (Основные свойства WWW-службы).

Создание уведомлений Всем пользователям, на Wcb-сервср локально или с помощью утилиты должно выводиться сообщение о том, что сервер является частной компьютерной системой и предназначен только для авторизованных пользователей.

состоит из и собственно За головок можно задать в разделе HKEY_LOCAL_MACHI System\LegalNoticeCaption а текст — в разделе Version реестра.

Оба раздела создают и изменяют с помощью Registry Editor (Редактор реестра) или сценария Windows. При создании разделов что тип их — Дан ный тип соответствует строковому содержащему последовательность символов. Задавая значение вве дите 1 и затем заголовок или текст 1, This is a private system. Use of this system is restricted to authorized personnel only.

Установка сервисных пакетов, оперативных исправлений и шаблонов Microsoft регулярно выпускает сервисные пакеты и опера исправления для ОС Windows. Для обеспечения Web-сервера Глава 5 безопасности серверов пакеты и необходи мо как скорее, протес тировав их на машинах с аналогичной конфигурацией.

Кроме того, корпорация публикует безопасности Wcb-ссрвсров. Шаблоны безопасности доступны во всех системах с ОС Windows 2000 Server.

и собственные шаблоны безопасности помо жет оснастка Security Templates (Шаблоны Для применения и анализа ограничений безопасности, на лагаемых служит Security Configuration (Анализ п настройка безопасности). Эти осна стки запускаются так.

1. Раскройте Start (Пуск) и выберите команду Run (Выполнить). Откроется одноименное диалоговое окно, 2. В поле (Открыть) и щелкните ОК.

Запустится консоль ММС.

3. В меню Console (Консоль) выберите команду Add/Re Snap-In (Добавить/удалить Откроется диалоговое окно.

4. На вкладке Standalone (Изолированная оснастка) щелк ните Add (Добавить).

5. В диалоговом Add Standalone Snap-In (Добавить изолированную оснастку) выберите Security Templates (Шаблоны и Add (Добавить).

6. Выберите Security Configuration And Analysis (Анализ и настройка и Add (Добавить).

7. Щелкните (Закрыть) и затем ОК, чтобы закрыть диалоговое окно Add Standalone Snap-In (Добавить изо оснастку).

Для Web-серверов, требующих защиты, рекоменду ется шаблон а для серверов, требующих системы безопасности надежности — hisecws (рис. 5-14).

Данные шаблоны значения • политик паролей, учетных записей и Kerbcros;

• политик аудита, назначения прав пользователям и пасности;

• журналов событий, системных служб, а также разреше ния файловой системы;

7- 176 Часть II Администрирование Web-сервера реестра для локальной машины и текущего пользователя.

I Рис. 5-14. Оснастка Security Templates (Шаблоны безопасности) Выбрав шаблон, его параметры и попробуйте оценить, как они повлияют на рабочую среду. Если какой-то параметр никак не влияет на нее, удалите или мените его. параметры так.

1. Запустите оснастку Security Configuration And Analysis (Анализ и настройка безопасности).

2. Щелкните Configuration And Analysis пра вой кнопкой и выберите в контекстном меню команду Open (Открыть базу данных). Откроется одно именное диалоговое окно.

3. Введите в поле File Name (Имя файла) имя новой базы данных и щелкните Open (Открыть).

4. Откроется диалоговое окно Import Template (Импорти ровать шаблон). Выберите шаблон безопасности и щел кните Open (Открыть).

5. Щелкните узел Security Configuration And Analysis (Ана лиз и настройка безопасности) правой кнопкой и рите в контекстном меню команду Analyze Now компьютера). В ответ на указать путь к журналу ошибок щелкните ОК. Путь но умолча нию вполне подойдет.

6. Дождитесь, пока оснастка закончит анализ За тем просмотрите результаты и при необходимости обно Управление безопасностью Web-сервера Глава шаблон. Чтобы журнал ошибок, щелк ните правой кнопкой узел Configuration And Analysis (Анализ и настройка безопасности) и выберите в меню View Error Log file (Про смотр файла журнала).

7. Чтобы применить шаблон, правой кнопкой узел Security Configuration And Analysis (Анализ и настройка безопасности) и выберите в контекстном меню команду Configure Computer Now (Настроить компьютер). В от на указать путь к журналу ошибок щел ОК, выбрав путь по умолчанию.

8. Просмотрите журнал ошибок, щелкнув узел Security Configuration And Analysis (Анализ и на стройка и в меню команду View Error Log file (Просмотр файла журнала).

Выявите проблемы (если таковые будут) и примите со ответствующие меры для их Удаление виртуального каталога Виртуальный каталог IISADMPWD позволяет сбрасывать пароли Windows NT и Windows 2000. Он разрабатывался для иптрасстей и не устанавливается в составе IIS версии 5.0 или более новой. И все после обновления с IIS 4.0 данный каталог по-прежнему может присутствовать на вашем сер вере. На из его ет удалить.

Проверка ввода в формах и строках запроса Вводимый в формах текст может символы, определенные в сервера. Если их или сможет получить доступ к системе. Чтобы избежать нужно все перед передачей их сце нарию или ASP-странице.

Чтобы убедиться, что ввод содержит только текст и числа, удалите все символы, не являющиеся ми. Сделать это код на VBScript:

Pages:     | 1 || 3 | 4 |   ...   | 5 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.