前文介紹了IIS 6.0的安裝和Web服務(wù)器的新型體系結(jié)構(gòu)。IIS 6.0新特性的數(shù)量多得令人驚奇�,其中一些特性是如此引人注目,以至于人們的大部分注意力都被它們吸引�����。在這第二篇介紹IIS 6.0的文章中���,我們不僅將了解這些已成為"明星"的特性�����,還將關(guān)注一下IIS 6.0各種較少有人注意卻同樣重要的改進之處�����。 一����、安全
微軟一次又一次地做著同樣一件事情——某個軟件產(chǎn)品出了問題,飽受人們詬病���,于是趕緊發(fā)布新的版本將問題解決�。例如����,發(fā)布Windows NT 4.0之后,因穩(wěn)定性問題而飽受批評�����;于是微軟發(fā)布了Windows 2000�����,新操作系統(tǒng)的穩(wěn)定性頗受好評���,但Win 2K服務(wù)器默認安裝的IIS 5.0卻成了巨大的安全隱患��,需要下大力氣加以整治才能解決問題。IIS 6.0默認不安裝�,如果按照缺省方式安裝,Web服務(wù)器只能提供靜態(tài)內(nèi)容服務(wù)���。因此�,從這個角度看,即使以后IIS 6.0應(yīng)用引擎和組件突然出現(xiàn)了問題�����,IIS 6.0還是極大地降低了安全風(fēng)險����。另外,Windows Server 2003還有一個新的組策略"禁止安裝IIS"��,有了該組策略����,我們就可以禁止Windows 2003在活動目錄(AD)森林中禁止不準(zhǔn)備作Web服務(wù)器用的機器上安裝IIS 6.0,防止網(wǎng)絡(luò)上出現(xiàn)根本無用的���、不安全的IIS 6.0服務(wù)器��。不過�����,目前這個組策略只對Windows 2003服務(wù)器有效�,不能防止Windows XP Pro和Win 2K的機器安裝IIS 5.0。
當(dāng)然����,由于剛剛安裝好的IIS 6.0不支持動態(tài)內(nèi)容,所以出現(xiàn)了第二個人們經(jīng)常會問的問題:"為什么我的服務(wù)器不能運行ASP��?"(前文提到�����,第一個人們經(jīng)常會問的問題是:"IIS 6.0可以在Win 2K服務(wù)器上運行嗎"����?答案是"不")。要想在IIS 6.0上運行程序�,必須使用IIS 6.0的一種新特性,即Web服務(wù)擴展����,或Web Service Extension(這個名字似乎意味著它與XML Web服務(wù)有某種關(guān)系,實際情況并非如此��。)
如果要為某個程序啟用Web服務(wù)擴展���,首先打開IIS管理器(在"控制面板"→"管理工具"中。以前叫做Internet服務(wù)管理器或ISM),如圖一����,點擊"添加一個新的Web服務(wù)擴展",啟動向?qū)?chuàng)建一個新的規(guī)則�����。為規(guī)則指定一個名字����,然后找到想要啟用的執(zhí)行文件。另外����,\system32\inetsrv下有一個iisext.vbs腳本,它也能夠配置并管理運行帶有IIS 6.0的Windows Server 2003的Web服務(wù)擴展�����、應(yīng)用程序和單獨的文件����。管理員可以使用此腳本來啟用和列出應(yīng)用程序;添加和刪除應(yīng)用程序依賴性���;啟用��、禁用和列出 Web 服務(wù)擴展����;添加、刪除���、啟用�、禁用和列出單獨文件����。
圖一
在圖一中,注意"所有未知ISAPI擴展"和"所有未知CGI擴展"這兩種Web服務(wù)擴展�。默認情況下,這兩種擴展是禁用的��,意味著除非明確地允許一個應(yīng)用在IIS 6.0上運行����,否則它就不能運行。如果一個用戶請求了某個沒有啟用的文件����,IIS 6.0將向用戶返回404錯誤——文件或目錄沒有找到����,同時在W3SVC日志中記錄"404.2文件或目錄無法找到:鎖定策略禁止該請求"����。在IIS 6.0中���,404.2和其他子狀態(tài)代碼是W3SVC日志文件的一項可選功能����,用來幫助排解故障�����、疑難(IIS 5.0和IIS 4.0中也有子狀態(tài)代碼�,不過不會在日志文件中記錄,但可以將它們轉(zhuǎn)到定制的錯誤頁面�����,便于根據(jù)子狀態(tài)代碼執(zhí)行特殊的處理)���。IIS 6.0的子狀態(tài)代碼很有用����,它們提供了描述問題的詳細信息,例如:403.20����,禁止訪問:Passport登錄失敗�����;403.18����,禁止訪問:無法在當(dāng)前應(yīng)用程序池中執(zhí)行請求的URL;404.3���,文件或目錄無法找到:MIME映射策略禁止該請求���;500.19,服務(wù)器錯誤:該文件的數(shù)據(jù)在配置數(shù)據(jù)庫中配置不正確���。所有這些錯誤和其他錯誤都映射到定制的錯誤頁面����,錯誤頁面不會把子狀態(tài)代碼發(fā)送給用戶,攻擊者無法獲知具體的錯誤信息��。
另一個安全方面的改進之處是IIS 6.0允許指派一個加密服務(wù)提供者(Cryptographic Service Provider�,CSP),能夠?qū)⒒谟布陌踩捉幼謱樱⊿SL)加速器集成到IIS 6.0�,從而把加密任務(wù)從服務(wù)器的通用CPU轉(zhuǎn)移到了專門為加密操作而優(yōu)化的專用設(shè)備��,有利于提高性能和可靠性����。
二、配置數(shù)據(jù)
在IIS 5.0和IIS 4.0中����,配置數(shù)據(jù)庫采用二進制文件結(jié)構(gòu),但IIS 6.0放棄了這一做法��。IIS 6.0的配置數(shù)據(jù)由兩個XML文件構(gòu)成:一個是Metabase.xml�,包含IIS 6.0服務(wù)器的配置信息;另一個是mbschema.xml�����,包含配置數(shù)據(jù)的模式定義��。IIS管理器提供了一項新的功能,允許保存配置數(shù)據(jù)副本����,只要右擊Web網(wǎng)站,然后選擇"所有任務(wù)"→"將配置保存到一個文件"�,然后指定配置數(shù)據(jù)副本的文件名字和保存路徑即可。按照這種方式保存配置數(shù)據(jù)時��,IIS 6.0利用系統(tǒng)的機器碼(Machine Key)加密配置數(shù)據(jù)的某些部分���,因此��,配置數(shù)據(jù)的副本只對創(chuàng)建該副本的機器有用�����。
?
不過����,在"將配置保存到一個文件"對話框中�����,我們可以選中"用密碼對配置進行加密"選項,然后指定密碼����,用密碼來保護導(dǎo)出的配置文件。如果提供了密碼����,IIS 6.0將用密碼來替代機器碼,以后只要提供同一個密碼����,就可以將配置數(shù)據(jù)導(dǎo)入到另一個服務(wù)器���。另外��,我們可以使用命令行腳本iisback.vbs(在systemroot\System32中)創(chuàng)建和管理遠程或本地計算機的IIS配置的備份副本����,管理員可以使用此腳本工具創(chuàng)建其IIS配置的備份副本���,從備份副本還原IIS配置以及列出和刪除備份副本�����。
有些時候�����,我們只要保存某個應(yīng)用程序池�����、Web網(wǎng)站或虛擬目錄的配置��,而不是保存全部的配置信息����,這時可以按照如下步驟操作:右擊要保持配置信息的對象,選擇菜單"所有任務(wù)"→"將配置保存到一個文件"����,如圖二所示,如果準(zhǔn)備將配置數(shù)據(jù)導(dǎo)入到另一個服務(wù)器���,必須提供加密文件的密碼�����。
圖二
如果右擊一個應(yīng)用程序池�、Web網(wǎng)站組或單個網(wǎng)站,然后選擇"新建"→"應(yīng)用程序池(來自文件)"����,或者"新建"→"網(wǎng)站"→"來自文件",或者"新建"→"虛擬目錄(來自文件)"���,就可以從保存的配置文件創(chuàng)建新的應(yīng)用程序池�、Web網(wǎng)站或虛擬目錄��。因此�,必要的時候,我們可以只創(chuàng)建和配置一個對象�����,利用"將配置保存到一個文件"功能導(dǎo)出對象的配置信息����,然后利用"新建"→"虛擬目錄(來自文件)"等功能將配置信息導(dǎo)入到多個Web網(wǎng)站����。這就是說,我們可以先精心配置一個模板����,然后用它來創(chuàng)建和配置新的網(wǎng)站��。當(dāng)然��,出現(xiàn)問題時��,配置信息副本還可以用來恢復(fù)網(wǎng)站的設(shè)置�����。
由于IIS 6.0配置信息是可移植的����,它還有另外一個好處���,這就是方便了升級��。假設(shè)我們升級時不能直接在Win 2K/IIS 5.0上安裝Windows 2003/IIS 6.0���,必須換一臺機器,這時就要解決如何將IIS 5.0不可移植的配置數(shù)據(jù)轉(zhuǎn)移到新的IIS 6.0服務(wù)器的問題�����。利用IIS 6.0配置數(shù)據(jù)的可移植性,解決辦法是:首先安裝好新的Windows 2003服務(wù)器����,為原來的Win 2K服務(wù)器做一個完整的備份,然后在Win 2K服務(wù)器上安裝第二個Windows 2003服務(wù)器將它升級�����,導(dǎo)出第二個Windows 2003服務(wù)器的配置數(shù)據(jù)(用密碼加密)����,然后將配置數(shù)據(jù)導(dǎo)入到新的Windows 2003服務(wù)器。新安裝的Windows 2003服務(wù)器必須作一些調(diào)整��,例如允許IUSR帳戶等�,但至少現(xiàn)在不必重新執(zhí)行全部配置操作了。
IIS 6.0的配置數(shù)據(jù)是標(biāo)準(zhǔn)的文本文件(XML文件)�����,所以可以用記事本之類的文本編輯器打開和編輯����。如果修改了IIS 5.0或IIS 4.0的配置數(shù)據(jù)����,有時必須重新啟動IIS�,如果系統(tǒng)上網(wǎng)站的數(shù)量很多�����,可能需要不少時間�,例如ISP的服務(wù)器就屬于這類情況。為了解決這個問題�����,IIS 6.0支持一種"運行時允許編輯"功能���。"運行時允許編輯"功能按照如下方式啟用:在IIS管理器中�����,右擊服務(wù)器��,選擇菜單"屬性"�,然后選中"允許直接編輯配置數(shù)據(jù)庫"選項�����,如圖三所示。啟用了這個功能之后��,如果我們用記事本打開配置數(shù)據(jù)文件����,插入一個虛擬目錄的配置,然后保存并關(guān)閉配置文件���,IIS 6.0幾乎立即就能根據(jù)配置文件的設(shè)置作相應(yīng)的修改����,根本無需重新啟動�����。
圖三
既然允許直接編輯配置文件���,因配置文件不合法造成的服務(wù)器����、應(yīng)用程序故障也必然增多�����。為此���,IIS 6.0提供了配置文件歷史版本目錄�,即\system32\inetsrv\history�����,每次修改配置數(shù)據(jù)或重新啟動IIS 6.0�����,IIS 6.0都會在該目錄中保存一份原有的配置數(shù)據(jù)���。
ISAPI Rewrite實現(xiàn)IIS圖片防盜鏈
IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin
在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略
win2000server IIS和tomcat5多站點配置