Windows+Server+2008服務器配置及管理實戰(zhàn)詳解

1、第8章 Web服務配置與管理圖8-9 IIS管理器圖8-10 Web服務器安裝成功Win dows Server 2008服務器配置及管理實戰(zhàn)詳解#第8章 Web服務配置與管理#第8章 Web服務配置與管理822 配置IP地址和端口Web服務器安裝完成以后，可以使用默認創(chuàng)建的Web站點來發(fā)布 Web網(wǎng)站。不過，如果服務器中綁定有多個IP地址，就需要為 Web站點指定唯一的IP地址及端口。STEP 01在IIS管理器中，右擊默認站點，單擊快捷菜單中的“編輯綁定”命令，或者在右側(cè)“操作”欄中單擊“綁定”，顯示如圖 8-11所示的“網(wǎng)站綁定”窗口。默認端口為80,使用本地計算機中的所有IP地址。ST

2、EP 02選擇該網(wǎng)站，單擊“編輯”按鈕，顯示如圖8-12所示的“編輯網(wǎng)站綁定”窗口，在“IP地址”下拉列表框中選擇欲指定的IP地址即可。在“端口”文本框中可以設(shè)置Web站點的端口號，且不能為空。“主機名”文本框用于設(shè)置用戶訪問該Web網(wǎng)站時的名稱，當前可保留為空。#第8章 Web服務配置與管理圖8-11 “網(wǎng)站綁定”窗口翹!旳： T血卯_站口助r 3 廠主卩上8妲，I '爪舅;tw-s. -Eanlrsf. cm 固 rwhvUnf. cihLi». «at*圖8-12“編輯網(wǎng)站綁定”窗口:使用默認值80端口時，用戶訪問該網(wǎng)站不需輸入端口號，女口http:/192.

3、168.0.1注意:或。但如果端口號不是 80，那么訪問 Web網(wǎng)站時就必須提 r:供端口號，如 :8000 或 :8000 。STEP杞3設(shè)置完成以后，單擊“確定”按鈕保存設(shè)置，并單擊“關(guān)閉”按鈕關(guān)閉即可。此時， 在IE瀏覽器的地址欄中輸入Web服務器的地址，顯示如圖 8-13所示的窗口，表示可以訪問Web網(wǎng)站。#第8章 Web服務配置與管理169第8章 Web服務配置與管理圖8-13 Web網(wǎng)站#第8章 Web服務配置與管理#第8章 Web服務配置與管理8.2.3 配置主目錄主目錄也就是網(wǎng)站的根目錄，用于保存Web網(wǎng)站的網(wǎng)頁、圖片等數(shù)據(jù)，默認路徑為“C:I

4、ntepub'wwwroot ”。但是，數(shù)據(jù)文件和操作系統(tǒng)放在同一磁盤分區(qū)中，會存在安全隱患， 并可能影響系統(tǒng)運行，因此應設(shè)置為其他磁盤或分區(qū)。圖8-14“編輯網(wǎng)站”窗口STEP 01打開IIS管理器，選擇欲設(shè)置主目錄 的站點，在右側(cè)窗格的“操作”選項卡中單擊“基 本設(shè)置”，顯示如圖 8-14所示的“編輯網(wǎng)站” 窗口，在“物理路徑”文本框中顯示的就是網(wǎng)站 的主目錄。step卩2在“物理路徑”文本框中輸入 Web站點的新主目錄路徑，或者單擊“瀏覽”按鈕選擇，最后單擊“確定”按鈕保存即可。8.2.4 配置默認文檔用戶訪問網(wǎng)站時，通常只需輸入網(wǎng)站域名即可，無需輸入網(wǎng)頁名，實際上此時顯示的網(wǎng)頁

5、 就是默認文檔。一般情況下，Web網(wǎng)站需要至少一個默認文檔，當用戶使用IP地址或域名訪問且沒有輸入網(wǎng)頁名時，Web服務器就會顯示默認文檔的內(nèi)容。STEP 01在IIS管理器的左側(cè)樹形列表中選擇默認站點，在中間窗格顯示的默認站點主頁中， 雙擊“ IIS”選項區(qū)域的“默認文檔”圖標，顯示如圖8-15所示的“默認文檔”列表。有5種默認文檔，分別為 Default.htm、Default.asp、index.htm、index.html 和 iisstar.htm。當用戶訪問 時，IIS會自動按順序由上至下依次查找與之相對應的文件名。#第8章 Web服務配置與管理Win dows Server 200

6、8 服務器配置及管理實戰(zhàn)詳解圖8-15“默認文檔”列表STEP(02單擊右側(cè)“操作”任務欄中的“添加”鏈接， 顯示如圖8-16所示的“添加默認文檔”窗口，在“名稱” 文本框中可輸入欲添加的默認文檔名稱。STEP(03 單擊“確定”按鈕，即可添加該默認文檔。 新添加的默認文檔自動排列在最上方，如圖8-17所示,圖8-16“添加默認文檔”窗口可通過單擊右側(cè)“操作”欄中的“上移”和“下移”超級鏈接來調(diào)整各個默認文檔的順序。圖8-17添加的默認文檔#第8章 Web服務配置與管理#第8章 Web服務配置與管理若要刪除或禁用某個默認文檔，只需選擇相應的默認文檔，然后單擊“刪除”或“禁用 超級鏈接即可。8.

7、2.5 配置訪問權(quán)限和安全默認狀態(tài)下，允許所有的用戶匿名連接 iis網(wǎng)站，即訪問時不需要使用用戶名和密碼登錄。 不過，如果對網(wǎng)站的安全性要求高，或網(wǎng)站中有機密信息， 就需要對用戶限制， 禁止匿名訪問,而只允許特殊的用戶賬戶才能進行訪問。#第8章 Web服務配置與管理1.禁用匿名訪問STEP 01在IIS管理器中，選擇欲設(shè)置身份驗證的Web站點，如圖8-18所示。STEP 02在站點主頁窗口中，選擇"身份驗證”，雙擊，顯示"身份驗證”窗口。默認情況 下，“匿名身份驗證”為“啟用”狀態(tài)，如圖8-19所示。圖8-18 Web站點圖8-19“身份驗證”窗口171第8章 Web服務配

8、置與管理#第8章 Web服務配置與管理STEP (03右擊“匿名身份驗證”，單擊快捷菜單中的“禁用”命令，即可禁用匿名用戶訪問。2 .使用身份驗證在IIS 7.0的身份驗證方式中，還提供基本驗證、Windows身份驗證和摘要身份驗證。需要注意的是，一般在禁止匿名訪問時，才使用其他驗證方法。不過，在默認安裝方式下，這些 身份驗證方法并沒有安裝?？稍诎惭b過程中或者安裝完成后手動選擇。step 01在“服務器管理器”窗口中，展開“角色”節(jié)點，選擇“Web服務器(IIS) ”，單擊“添加角色服務”，顯示如圖8-20所示的“選擇角色服務”窗口。在“安全性”選項區(qū)域中，可選擇欲安裝的身份驗證方式。#第8章

9、 Web服務配置與管理#第8章 Web服務配置與管理圖8-20“選擇角色服務”窗口#第8章 Web服務配置與管理Win dows Server 2008服務器配置及管理實戰(zhàn)詳解STEP 02安裝完成后，打開IIS管理器，再打開“身份驗證”窗口，所經(jīng)安裝的身份驗證方式 顯示在列表中，并且默認均為禁用狀態(tài)，如圖8-21所示。圖8-21“身份驗證”窗口#第8章 Web服務配置與管理#第8章 Web服務配置與管理Windows身份驗證優(yōu)先于基本驗證,圖 8-22“連接到 ”窗口可安裝的身份驗證方式共有三種，區(qū)別如下?；旧矸蒡炞C：該驗證會“模仿”為一個本地用戶（即實際登錄到服務器的用戶）， 在訪問 W

10、eb服務器時登錄。因此，若欲以基本驗證方式確認用戶身份，用于基本驗 證的 Windows用戶必須具有“本地登錄”用戶權(quán)限。默認情況下，Windows主域控制器（PDC）中的用戶賬戶不授予“本地登錄”用戶的權(quán)限。但使用基本身份驗證方 法將導致密碼以未加密形式在網(wǎng)絡(luò)上傳輸。蓄意破壞系統(tǒng)安全的人可以在身份驗證過程中使用協(xié)議分析程序破譯用戶和密碼。摘要式身份驗證：該驗證只能在帶有Windows域控制器的域中使用。域控制器必須具有所用密碼的純文本復件，因為必須執(zhí)行散列操作并將結(jié)果與瀏覽器發(fā)送的散列值相比較。 Windows身份驗證：集成 Windows驗證是一種安全的驗證形式，它也需要用戶輸入 用戶賬戶

11、和密碼， 但用戶名和密碼在通過網(wǎng)絡(luò)發(fā)送前會經(jīng)過散列處理，因此可以確保安全性。當啟用Windows驗證時，用戶的瀏覽器通過 Web服務器進行密碼交換。Windows身份驗證使用 Kerberos v5驗證和NTLM 驗證。如果在 Windows域控制器上 安裝了 Active directory服務，并且用戶的瀏覽器支持 Kerberos v5驗證協(xié)議，則使用 Kerberos v5驗證，否則使用 NTLM驗證。但它并不提示用戶輸入用戶名和密碼，只有Windows驗證失敗后，瀏覽器才提示用戶輸入其用戶名和密碼。Windows身份驗證非常安全，但是在通過HTTP代理連 接時，Windows身份驗證

12、不起作用，無法在代理服務器 或其他防火墻應用程序后使用。因此，Windows身份驗證最適合企業(yè) Intranet環(huán)境。例如，當 Web服務器使用基本身份驗證時，在客 戶端訪問該網(wǎng)站時，會提示如圖8-22所示的“連接到 ”窗口。在“用戶名”和“密碼”文本 框中，輸入合法的用戶名及密碼，單擊“確定”按鈕即可打開該網(wǎng)頁。#第8章 Web服務配置與管理3 通過IP地址限制保護網(wǎng)站在IIS中，還可以通過限制 IP的方式來增加網(wǎng)站的安全性。通過允許或拒絕來自特定IP地址的訪問，可以有效地避免非法用戶的訪問。不過，這種方式只適合于向特定用戶提供Web網(wǎng)站的情況。同樣，“ IP地址限制”功能也需要手動安裝，可

13、在“選擇角色服務”窗口中勾選“IP和域限制”復選框以進行安裝。設(shè)置允許訪問的IP地址的操作步驟如下。step 01打開IIS管理器，選擇欲限制的Web站點，雙擊“IPv4地址和域限制”圖標，顯示如圖8-23所示的“ IPv4地址和域限制”窗口。STEP 02在右側(cè)“操作”任務欄中，單擊“添加允許條目”鏈接，顯示如圖8-24所示的“添加允許限制規(guī)則”窗口。如果要添加一個IP地址，可點選“特定IPv4地址”單選按鈕，并輸入允許訪問的IP地址即可；如果要添加一個IP地址段，可點選“ IPv4地址范圍”單選按鈕，并輸入IP地址及子網(wǎng)掩碼即可。圖8-23“IPv4地址和域限制”窗口圖8-24“添加允許限

14、制規(guī)則”窗口173第8章 Web服務配置與管理#第8章 Web服務配置與管理圖8-25“添加拒絕限制規(guī)則”窗口STEP(03單擊“確定”按鈕，IP地址添加完成?！熬芙^訪問”與“允許訪問”正好相反。通過“拒絕訪問”設(shè)置將拒絕來自一個IP地址或IP地址段的計算機訪問 Web站點。不過，已 授予訪問權(quán)限的計算機仍可訪問。單擊“添加拒 絕條目”按鈕，在打開的“添加拒絕限制規(guī)則” 窗口中，添加拒絕訪問的 IP地址，如圖8-25所 示。其操作步驟與“添加允許條目”中相同，這 里不再贅述。8.2.6 配置自定義錯誤有時可能會因為網(wǎng)絡(luò)出現(xiàn)問題，或者因為 Web服務器設(shè)置的原因，而使得用戶無法正常訪問 Web網(wǎng)

15、頁。為了能夠使用戶清楚地了解不能訪問的原因，在Web服務器上應設(shè)置相應的反饋給用#第8章 Web服務配置與管理Win dows Server 2008 服務器配置及管理實戰(zhàn)詳解 戶的錯誤頁。錯誤頁可以是自定義的錯誤頁，也可以是包含排除故障信息的詳細錯誤信息。默認情況下，IIS已經(jīng)集成了一些常見的錯誤代碼。在"Default Web Site ”主頁中單擊"錯誤頁”圖標，顯示如圖8-26所示的“錯誤頁”窗口，顯示一些常用的錯誤代碼信息。k .IIJI4 < U >! FfcL F 中Z 時 Tfclb FHI 命 1-fl* i鞅b*L" UI 

16、3; JH US員 iff 0W+UI二#第8章 Web服務配置與管理#第8章 Web服務配置與管理J Jd43qrf±inlLrtAn'l'Lmlia*fwl-圖8-26“錯誤頁”窗口如果要更改某個錯誤頁代碼號，可右擊代碼名稱，單擊快捷菜單中的“更改狀態(tài)”命令， 則錯誤頁代碼號變?yōu)榭筛膶憼顟B(tài)，重新輸入新的代碼號即可。如果要查看或修改錯誤頁代碼信息，右擊一個錯誤頁代碼，在快捷菜單中單擊“編輯”命 令，或者在右側(cè)“操作”欄中單擊“編輯”鏈接，顯示如圖8-27所示的“編輯自定義錯誤頁”窗口，此時即可自定義發(fā)生該錯誤時返回給用戶的信息，以及發(fā)生該錯誤時所執(zhí)行的操作。將靜態(tài)文

17、件中的內(nèi)容插入錯誤響應中：在“文件路徑”文本框中可設(shè)置當發(fā)生錯誤時，返回給客戶端的 Web頁。如果勾選“嘗試返回使用客戶端語言的錯誤文件”復選框， 可以根據(jù)客戶端計算機所使用的語言不同頁返回相應的錯誤頁。在此網(wǎng)站上執(zhí)行 URL :選擇該項后，可在“ URL(相對于網(wǎng)站根目錄)”文本框中輸入 相對于網(wǎng)站根目錄的相對路徑中的錯誤頁，如“/ErrorPages/404.aspx”。以302重定向響應：選擇該項后，可在“絕對 URL(A) ”文本框中輸入當發(fā)生該錯誤 時重定向的網(wǎng)站地址。雖然IIS自帶了一些錯誤頁代碼，但并不一定能滿足用戶的所有需要。因此，可以自行添8-28所示的“添加加一些錯誤頁代碼

18、。在“錯誤頁”窗口中，單擊“添加”按鈕，顯示如圖 自定義錯誤頁”窗口。在“狀態(tài)代碼”文本框中設(shè)置一個錯誤頁代碼號，根據(jù)需要在“響應操作”選項區(qū)域中設(shè)置當發(fā)生錯誤時的響應操作即可。最后，單擊“確定”按鈕保存設(shè)置。圖8-27“編輯自定義錯誤頁”窗口圖8-28“添加自定義錯誤頁”窗口8.2.7 配置 MIME類型MIME (Multipurpose In ternet Mail Exte nsio ns )即多功能 In ternet 郵件擴充服務，這是一種 保證非ASCII碼文件在In ternet上傳播的標準，最早用于郵件系統(tǒng)傳送圖片等非ASCII的內(nèi)容,如今瀏覽器也支持這種規(guī)范。如果Web服務

19、器中沒有添加相應的MIME類型，則用戶無法訪問該類型的文件。step 01在IIS管理器中，選擇 Web站點主頁，雙擊“ MIME類型”圖標，顯示如圖 8-29所 示的“ MIME類型”窗口，顯示了系統(tǒng)已經(jīng)集成的MIME類型。175第8章 Web服務配置與管理#第8章 Web服務配置與管理Life OJ'h. 二聞Id吊（t «. Rii> hi«4i f-iA ?lu IfMJ I = 0 L 1 OH I +:諄y_whMll« U TAMMWWI-wrii-n* iZkR一|二g.IM-l«1bJi -dd j 5 A ,之 d fc

20、二#第8章 Web服務配置與管理圖8-30 “添加MIME類型”窗口L環(huán)站到MlWffBeffTil hu" >d fwhii圖8-29“MIME 類型”窗口STEP卩2如果想添加新的 MIME類型，可在“操作”欄 中單擊“添加”鏈接，顯示如圖8-30所示的“添加 MIME類型”窗口。在“文件名擴展名”文本框中輸入欲添加的 MIME類型，如“ .iso”，在“ MIME類型”文本框中輸入 文件擴展名所屬的類型。#第8章 Web服務配置與管理#第8章 Web服務配置與管理STEP(03單擊“確定”按鈕,MIME類型添加完成。如果還要添加其他MIME類型，可按以#第8章 Web服務

21、配置與管理上步驟繼續(xù)操作。8.2.8配置安全Web服務為了保護 Web網(wǎng)站的安全，防止數(shù)據(jù)在傳輸過程中被截獲和篡改，可以在Web服務器上配置SSL( Secure Socket Layer，安全套接字層)。SSL是一種利用證書實現(xiàn)數(shù)據(jù)加密的技術(shù)，HTTP協(xié)議可用來加密傳輸對安全比較敏感的數(shù)據(jù)和信息，實現(xiàn)Web服務端與 Web客戶端的安全通信。而客戶端訪問時，則要使用“https:/DNS域名或IP地址”的形式。1 .創(chuàng)建SSL證書由于SSL是利用證書實現(xiàn)數(shù)據(jù)加密傳輸，因此，若要使用SSL，必須在 Web服務器端創(chuàng)建用于SSL加密的證書。證書包含了有關(guān)服務器的信息，服務器允許客戶在共享敏感信息之

22、前#第8章 Web服務配置與管理Win dows Server 2008服務器配置及管理實戰(zhàn)詳解對其加以積極識別，Web服務器只有安裝有效服務器證書后才擁有安全通信功能。step 01在“ in ternet信息技術(shù)（IIS）管理器”窗口中選擇服務器名稱，在“主頁”中的“ IIS ” 區(qū)域中雙擊“服務器證書”圖標，顯示如圖8-31所示的“服務器證書”窗口。在安裝IIS 7.0時，系統(tǒng)自動創(chuàng)建了一個證書，網(wǎng)絡(luò)管理員可以直接應用該證書實現(xiàn)SSL，也可以導入已有證書，或者創(chuàng)建新證書。STEP 02這里，以創(chuàng)建一個自簽名證書為例。在“操作”任務欄中單擊“創(chuàng)建自簽名證書” 超級鏈接，顯示如圖8-32所示的“創(chuàng)建證書申請”窗口。在“為證書指定一個好記名稱”文本框中為新證書設(shè)置一個名稱。圖8-31 “服務器證書”窗口圖8-32 “創(chuàng)建自簽名證書”窗口177第8章 Web服務配置與管理#第8章 Web服務配置與管理step 03單擊“確定”按鈕，自簽名證書創(chuàng)建完成，并顯示在證書列表中，如圖8-33所示。STEP 04選擇新創(chuàng)建的證書，在右側(cè)“操作”欄中單擊“查看”鏈接，顯示如圖8-34所示的“證書”窗口，可以查看該證書的名稱、頒發(fā)者、頒發(fā)給、到期日期和證書哈希等詳細信息，單擊“確定”按鈕。圖8-33證書創(chuàng)建完成圖8-34 “證書”窗口2