Администрирование Windows XP

Информационные службы интернета

Несмотря на то что система Windows XP Professional гордится своими новыми инструментами для работы в интернете, один из самых мощных инструментов существует со времен появления Windows NT. Информационные службы интернета (Internet Information Services, IIS) предоставляют интегрированное обслуживание протокола транспортировки гипертекста (Hypertext Transport Protocol, HTTP ) и протокола передачи файлов (File Transfer Protocol, FTP ). IIS также включают в себя расширения и приложения других разработчиков, которые выводят его возможности за границы обычных интернет-сервисов. Сюда входят электронная почта, система безопасности и инструменты управления сайтами.

В этой лекции мы рассмотрим главный инструмент веб-сервиса компании Microsoft и его применение в среде Windows XP Professional. Сначала мы поговорим о том, что собой представляет IIS, и как им пользоваться. Затем рассмотрим процесс инсталляции в системе Windows XP Professional. В конце лекции мы дадим несколько полезных советов по использованию IIS.

Что такое IIS

IIS представляют собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для построения и управления веб-сайтами, машину поиска и поддержку разработчиков веб-приложений, имеющих доступ к базам данных.

Компания Microsoft разработала IIS для построения веб-сервисов с использованием архитектуры учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей, вместо того чтобы создавать новые. Преимущества этой особенности очевидны, если мы представим себе нужды крупной организации с огромными базами пользовательских данных. Кроме того, возможность тесной интеграции нового сервиса с доменом делает применение IIS еще более выгодным.

Другим хорошим качеством IIS является то, что эти службы интегрируются в операционные системы Windows XP Professional и Windows 2000 вместе с NTFS. Они работают вместе со стандартными инструментами сервера, такими как Event Viewer (Просмотр событий), Performance Monitor (Системный монитор), SNMP и System Management Server (Сервер управления системой), позволяя быстрее справляться с затруднениями и улучшая управление.

IIS также поддерживает интерфейс программирования приложений интернет-сервера (Internet Server Application Programming Interface, ISAPI). С помощью ISAPI можно создавать программы для работы с данными, которые приходят на сервер и возвращаются клиенту. ISAPI используется для создания соединений с серверами баз данных посредством службы ODBC (Open Database Connectivity). В этом разделе рассматривается версия IIS 5.1.

Отличительные черты IIS 5.1

IIS 5.1 является одной из версий служб интернета компании Microsoft, предоставляющей много инструментов для облегчения управления и веб-разработки.

Как упоминалось ранее, многие улучшения IIS касаются внутренней работы Windows XP Professional, обеспечивая прочную базу для функциональности и надежности системы. Улучшенная система безопасности и администрирования доступны в любой момент. Усовершенствования IIS 5.1 имеют отношение к четырем конкретным областям: надежности, безопасности, управлению и приложениям.

Надежность

По сравнению с прежними версиями IIS 5.1 демонстрирует повышенную надежность и стабильность. Например, при сбое перезапуск IIS стал более быстрым и легким. В ранних версиях при возникновении проблемы и остановке IIS администратору приходилось перезапускать четыре различных службы. IIS 5.1 перезапускается щелчком правой кнопки мыши на элементе консоли управления MMC или из командной строки.

HTTР (протокол, отвечающий за обмен данными в интернете) также улучшил свои качества в IIS 5.1. Администраторы веб-сайтов могут генерировать свои собственные модифицированные сообщения об ошибках. IIS включает в себя инструмент сжатия HTTP, который используется для упаковки статических и динамических веб-страниц с целью их ускоренной пересылки. Динамические страницы должны сжиматься отдельно, а статические страницы хранятся в кэше, что ускоряет передачу для будущих запросов данных.

Наконец, в IIS применяется защита приложений, которая позволяет приложениям работать отдельно от остальных IIS-процессов. В случае падения приложения вместе с ним не упадет весь IIS-сервер.

Регистрация и дросселирование. В IIS 5.1 улучшен процесс регистрации. У администраторов появилось больше возможностей отслеживать то, что происходит с их веб-сервисами. IIS могут не только генерировать регистрацию в почасовом режиме, но и позволяют обрабатывать зарегистрированные данные. К таким данным относятся пользовательское время и время ядра, дефекты страниц и прерванные процессы. Такой способ регистрации позволяет администраторам определять, где используются ресурсы системы, как можно изменить эти ресурсы, и что может этому препятствовать.

Если, просмотрев регистрационный журнал, администратор решит предпринять какие-либо действия, то он может воспользоваться инструментом, который называется дросселированием. Для управления ресурсами веб-серверов существует два вида дросселирования.

• Дросселирование процесса. Позволяет управлять использованием процессора с помощью приложений, находящихся вне процесса. Такие приложения работают в отделенном от центральных IIS-процессов участке памяти. Эта особенность повышает надежность работы IIS. Если приложение, находящееся вне процесса, становится нестабильным, то это не влияет на основную работу сервера.
• Дросселирование полосы пропускания на каждом веб-сайте. Используется для ограничения полосы пропускания, если веб-сервер содержит другие сервисы типа электронной почты или FTP. Этот вид дросселирования позволяет администраторам регулировать величину полосы пропускания сервера, используемую каждым сайтом.

WebDAV. WWW является замечательным местом для массовой публикации материалов. Однако насколько удобно просматривать информацию, настолько же неудобно совместно работать над проектом. Компания Microsoft предлагает решать эту проблему с помощью продукта WebDAV (Web Distributed Authoring and Versioning).

WebDAV представляет собой расширение HTTP и позволяет авторам работать с файлами и каталогами, находящимися на сервере, с удаленных компьютеров посредством HTTP-соединения. Так как IIS интегрируется с Windows XP Professional, WebDAV получает дополнительную функциональность благодаря обеспечению безопасности и доступа к файлам системы Windows.

WebDAV позволяет удаленным пользователям перемещать, искать, редактировать или удалять файлы и каталоги с сервера. MMC позволяет легко создавать WebDAV-каталог. После того как каталог создан, авторизованные пользователи могут публиковать документы на сервере и вносить изменения в файлы. На рис. 7.1 показано, как происходит обмен документами с помощью WebDAV.

Примечание. Для того чтобы вносить изменения в файлы с помощью WebDAV, пользователи должны пройти авторизацию, то есть получить специальное разрешение на внесение изменений.

Клиенты, использующие WebDAV, могут получать доступ к каталогам посредством Windows XP Professional, Internet Explorer 6.0, Microsoft Office XP или любого другого клиентского приложения, поддерживающего протокол WebDAV. Установить соединение с WebDAV достаточно просто. На Windows XP Professional клиенте откройте My Network Places (Сетевое окружение) и воспользуйтесь мастером добавления в сетевое окружение (Add Network Place Wizard) (рис. 7.2).

После запуска мастера проделайте следующие шаги.

1. В окне мастера следуйте инструкциям Windows XP Professional по созданию ярлыка веб-сайта, на котором находится WebDAV-сайт.
2. После создания ярлыка его значок появится в папке My Network Places (Сетевое окружение).
3. В поле Other Places (Другие места) щелкните на My Documents (Мои документы).
4. Выберите файл или папку, которые нужно скопировать на веб-сервер.
   
   
   Рис. 7.2.  Для установки соединения с WebDAV воспользуйтесь мастером добавления в сетевое окружение операционной системы Windows XP Professional

5. В поле File and Folder Tasks (Задачи для файлов и папок) щелкните на Copy this file (Скопировать файл) или Copy this folder (Скопировать папку).
6. В диалоговом окне Copy Items (Копирование элементов) щелкните на папке My Network Places (Сетевое окружение) и затем щелкните на папке с ярлыком.
7. Щелкните на Copy (Копировать).

Поддержка WebDAV со стороны системы Windows XP Professional хороша еще и тем, что любое приложение, запущенное в нем, получает возможность работать с протоколом WebDAV.

Обеспечение безопасности

При появлении каждой новой служебной программы улучшается и обеспечение безопасности. Наиболее интересными инструментами системы безопасности IIS являются Fortezza, Transport Layer Security, Advanced Digest Authentication и протокол аутентификации Kerberos v.5. В IIS содержатся и такие старые проверенные инструменты, как Secure Sockets Layer (SSL) и сертификаты, ставшие в новой версии IIS еще надежнее. Давайте поближе познакомимся с системой обеспечения безопасности IIS 5.1.

• Интегрированная Windows-аутентификация. Эта мера безопасности существовала еще в Windows NT, где она называлась Challenge and Respose (Запрос и подтверждение). В IIS 5.1 эта функция получила не только новое название, но и возможность поддержки протокола Kerberos. Одним из основных свойств Kerberos является способность передавать данные для аутентификации на Windows и не-Windows компьютеры, которые поддерживают Kerberos. Так как обязанности по аутентификации можно делегировать другому компьютеру, стало гораздо легче изменять размеры веб-сайта с несколькими серверами. Теперь устанавливать одни серверы в качестве веб-серверов, а другие - в качестве серверов баз данных стало легче и безопаснее.
• Certificate Server 2.0. Мастер сертификатов веб-сервера (Web Server Certificate Wizard) упрощает процесс настройки сертификата безопасности и позволяет использовать для связи протокол защищенных сокетов (SSL). Другой мастер позволяет конфигурировать список доверия сертификатов (Certificate Trust List, CTL). Мастер разрешений IIS (IIS Permissions Wizard) присваивает веб- и NTFS-разрешения веб-сайтам, виртуальным каталогам и файлам сервера.
• Server-Gated Cryptography (SGC) и Fortezza. Эти меры обеспечения безопасности требуют специального сертификата и позволяют финансовым учреждениям использовать 128-битное шифрование. Fortezza является Федеральным правительственным стандартом сообщений.

Примечание. Название Fortezza является зарегистрированным товарным знаком Национального агентства по безопасности

• Secure Socket Layers (SSL). Этот протокол защищенных сокетов чаще всего применяется веб-браузерами и серверами для создания безопасных соединений. В IIS 5.1 используется самая последняя версия этого протокола - SSL 3.0.
• Transport Layer Security (TLS). Этот протокол основан на SSL и предназначен для криптографической аутентификации пользователя. Он дает возможность программистам разрабатывать независимый TLS-код, который может обмениваться зашифрованной информацией с другим процессом, не требуя от программиста знания кода этого процесса. Предполагается, что TLS станет основой для новых методов кодирования.
• Advanced Digest Authentication. Аутентификационные данные проходят через односторонний процесс, называемый кешированием. Результатом этого процесса является хэш, или профиль сообщения. Причем, этот профиль расшифровать нельзя, а следовательно, нельзя прочитать исходный текст. Сервер добавляет дополнительную информацию к паролю перед хэшированием, чтобы никто не мог перехватить и использовать этот пароль.

Примечание. Advanced Digest Authentication поддерживается только на доменах с Windows 2000- или .NET-контроллерами и используется только с браузером Internet Explorer v.5 и выше.

Управление

С IIS 5.1 управление стало более простым. Во-первых, IIS легко инсталлируются (более подробно см. раздел "Инсталляция IIS"). Кроме того, IIS 5.1 включают в себя мастера системы безопасности, учет времени протекания процессов, удаленное администрирование и генерирование сообщений об ошибках пользователей.

Как и многие другие Windows XP Professional-приложения и сервисы, IIS управляется с помощью MMC. Для доступа выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание), выберите Administrative Tools\Computer Management (Администрирование\Управление компьютером), а затем выберите оснастку IIS в поле Server Applications and Services (Серверные приложения и службы). Вы можете получить доступ к MMC, выбрав Start\Control Panel (Пуск\Панель управления). Затем надо щелкнуть на Performance and Maintenance ((Производительность и обслуживание)) и выбрать Administrative Tools\Internet Information Services (Администрирование\Информационные службы интернета).

Примечание. Не забывайте о том, что вы можете создать свою собственную пользовательскую консоль MMC (это и является основным качеством MMC) и включить IIS в список избранных дополнений.

Помимо прочего, IIS использует инструмент администрирования, разработанный на базе браузера, который позволяет управлять IIS посредством удаленного доступа через HTTP-соединение. В этом инструменте используется протокол HTTP, что позволяет управлять удаленным сервером из любого браузера на любой платформе.

Приложения

IIS дает новый импульс разработчикам программ, так как расширяет среду разработок приложений веб-сервера. Такие усовершенствования как Active Directory, модель компонентных объектов (Component Object Model, COM) и активные серверные страницы (Active Server Pages, ASP) широко используются программистами. Основной путь создания динамичного содержимого с помощью IIS состоит в применении ASP.

ASP позволяет объединять HTML и скрипты, используя целый ряд разработчиков для создания веб-страниц "на лету". ASP расширяет функциональность базового веб-сервера, облегчая построение динамичных веб-приложений. За счет этого поддерживается выполнение ASP-скриптов, которые можно написать на языках VBScript, JavaScript или Jscript и на других. Также в ASP можно включать компоненты ActiveX сервера, написанные на языках C++, Visual Basic и Java. Доступны предварительно созданные объекты, что используется для построения законченных веб-приложений без программирования или с небольшой его долей. ASP включает в себя несколько стандартных объектов, используемых при разработке веб-приложений.

ASP-скрипты используются для создания HTML "на лету". Это происходит следующим образом: когда рабочая станция клиента через браузер попадает на IIS-сервер и открывает ASP-документ, запускается скрипт. Скрипт генерирует HTML-код, основанный на введенных пользователем данных, типе браузера, содержания cookies, хранящихся на компьютере-клиенте и т. д. При выполнении он может запросить базу данных и разместить данные в таблице для отправки клиенту в виде HTML. В связи с тем что сервер обрабатывает запросы, выполняет прикладные задачи, получает результаты, упаковывает их, генерирует HTML-код и посылает его в браузер, он должен быть очень мощной системой. Если ваш сервер предназначен быть активным сервером, то позаботьтесь о том, чтобы он обладал достаточной мощностью.

ASP в IIS 5.1 предлагает ряд полезных инструментов.

• Asperror object. Этот объект улучшает обработку ошибок, позволяя разработчикам находить ошибки в файлах со скриптами. Возможность контролировать потоки данных позволяет серверу обрабатывать страницы без традиционной передачи данных в оба конца, которая требуется при переадресации на сервере.
• ASP без скриптов. Они стали лучше благодаря новой проверке на стадии синтаксического анализа. В более ранних версиях IIS сайты использовали расширение .asp для всех страниц, создавая возможность сохранять ссылки без изменений после добавления скрипта на HTML-страницу. Недостаток этого метода состоит в том, что механизм написания скрипта по умолчанию запускается даже при отсутствии кода. Новая проверка определяет, когда выполняющиеся запросы ожидают внутренних компонентов, и автоматически выдает необходимые ресурсы, чтобы можно было продолжать обработку других запросов.

ASP имеет ряд встроенных компонентов для выполнения следующих заданий:

• регистрация;
• получение доступа к данным;
• получение доступа к файлам;
• использование счетчиков.

Это быстрые и гибкие инструменты. Инструмент Browser Capatibilities, например, поддерживает функции, описанные в cookies, присланных браузером. Это дает гибкость работе кода сервера, основанного на характеристиках, поддерживаемых клиентом.

ASP поддерживает командные сценарии Windows, что позволяет превращать скрипты в COM-компоненты многократного использования в ASP и других COM-подчиненных программах.

FrontPage

На рынке программных продуктов нет недостатка в инструментах для создания HTML. Для развертывания и управления сайтами IIS широко использует инструменты приложения Front Page. Так, например, с помощью Front Page Server Extensions администраторы могут управлять своими веб-сайтами с графическим интерфейсом. Авторы могут создавать, размещать и работать со своими веб-страницами с удаленных компьютеров.

Front Page Server Extensions

Расширения FrontPage Server Extensions не ограничиваются работой только с продуктами компании Microsoft. Они могут устанавливаться на UNIX, SunOS и другие платформы.

Примечание. Более подробную информацию о Front Page и расширениях сервера можно получить на сайте http://www.Microsoft.com/frontpage.

FrontPage Server Extensions предлагают сетевым авторам и администраторам ряд возможностей:

• разрешают авторам напрямую взаимодействовать с сервером на веб-сайте;
• добавляют функции веб-сайтам без написания программ;
• поддерживают учет входящих на сайт пользователей;
• поддерживают управление электронной почтой;
• гибкая инсталляция на другие платформы;
• автоматическое обновление гиперссылок при изменении или переносе веб-страницы;
• интеграция с приложениями Microsoft Office, Visual SourceSafe и Index Server.

Оснастка FrontPage

Управление FrontPage Server Extensions осуществляется посредством оснасток MMC. Оснастка используется для создания и обновления расширений сервера, конвертирования папок в подсети, создания новых конфигураций гиперссылок и многого другого. В более ранних версиях FrontPage управление осуществлялось с помощью инструмента Epsrvwin.

Оснастка позволяет выполнить следующие задания:

• инсталлировать серверные расширения на веб-сервере;
• исправлять, обновлять и удалять существующие расширения сервера;
• добавлять администратора;
• запрашивать SSL для авторизации;
• изменять конфигурацию гиперссылок;
• включать или отключать авторизацию в глобальной сети;
• регистрировать операции авторизации;
• конфигурировать опции электронной почты;
• регулировать работу в глобальной сети.

Вы можете узнать о том, задействовано ли расширение FrontPage Server Extensions, щелкнув правой кнопкой мыши на виртуальном сервере (расположенном на левой панели оснастки IIS) и выбрав All Tasks (Все задачи). Если вы увидите команду Configure Server Extensions (Настроить серверные расширения) или команды, связанные с сервером (проверка серверных расширений или пересчет гиперссылок), то расширения сервера работают. Если эти команды не появились, то расширения сервера следует подключить. Для этого откройте оснастку IIS MMC и выполните следующие задания.

1. Щелкните на File (Файл) и затем щелкните на Add/Remove Snap-in (Добавить/удалить оснастку).
2. Если меню консоли показывает только элемент Options (Параметры), то выберите Options и щелкните на Always open console file in author mode (Всегда открывать файл консоли в авторском режиме). Щелкните на ОК, закройте MMC и снова откройте.
3. Затем в меню консоли щелкните на Add/Remove Snap-in. В результате появится диалоговое окно, показанное на рис. 7.3.
4. Выберите вкладку Extensions (Расширения), затем выберите FrontPage Server Extensions (Серверные расширения FrontPage), (если еще не выбрано).
5. Щелкните на ОК.

Управление содержимым интранета

Удобство IIS 5.1 проявляется не только тогда, когда надо представить материал на обозрение внешнему миру. IIS является хорошим инструментом для создания внутренней сети (интранета). На самом деле это наилучшее использование IIS в системе Windows XP Professional. Например, если у вас есть небольшая локальная сеть в филиале офиса, то желание создать интранет в качестве общедоступного информационного бюллетеня, превратив одного Windows XP Professional-клиента в интранет-сервер, использующий IIS, является разумным.

Для нормального функционирования некоторым приложениям потребуется инсталляция IIS. Например, Microsoft Visual Studio .NET требует инсталляции IIS, если вы собираетесь разрабатывать веб-приложения.

Инсталляция IIS

Как и у большей части других инсталляций, которые влияют на работу всей сети, здесь есть пара шагов, требующих понимания и выполнения перед началом установки IIS на платформу Windows XP Professional. В этом разделе рассматривается несколько вопросов, о которых вы должны помнить, и несколько требований, которые вы должны выполнить. В конце мы расскажем о процессе инсталляции IIS в Windows XP Professional.

Выбор места

IIS следует устанавливать на компьютер, работающий под управлением Windows 2000 Server или .NET Server. Однако в организации может не быть серверов такого типа, так что придется возложить задачу по обеспечению места жительства IIS на клиентский компьютер. Более того, вы можете обнаружить, что иметь IIS на компьютере-клиенте удобно во всех отношениях, включая управление IIS и .NET-разработку.

Воспользуетесь ли вы сервером или клиентом для инсталляции IIS, следует решить несколько чисто физических вопросов. Это необходимо сделать во имя безопасности данных, а не для собственного удобства. Необходимо убедиться в следующем.

• Серверу обеспечена физическая безопасность.
• Сервер регулярно копируется.
• Носители копий переносятся на вспомогательное устройство.
• IIS имеет надежный и бесперебойный источник энергопитания.
• Сетевые соединения надежны и их рабочие возможности соответствуют требованиям.

Естественно, что потребности организации будут в значительной степени определять, куда и как вы поместите свой IIS-сервер. Например, если в филиале офиса IIS-сервер используется для отслеживания очередности тех, кто ходит за пончиками, то не имеет смысла вкладывать 1000 долларов в покупку источника бесперебойного питания (UPS). С другой стороны, если IIS сохраняет ваш .com на плаву, то, возможно, потребуется нечто более мощное, чем такой UPS.

На рис. 7.4 показано типичное размещение интернет- и интранет-веб-серверов. Интернет-веб-сервер располагается после брандмауэра и конечного маршрутизатора в демилитаризованной зоне (DMZ). Дополнительные меры по обеспечению безопасности и фильтрование могут осуществляться маршрутизатором, связанным с интернетом. Интранет-сервер защищен снаружи брандмауэром, но обеспечивает быстрый доступ для локальных пользователей.

Аппаратные и сетевые компоненты

Для установки IIS, учитывая требования компьютера и самой инфраструктуры сети, необходимо иметь какой-то минимум оборудования. Вот список самых необходимых компонентов для IIS-решения.

• Сетевая карта (NIC).
• Сетевое соединение с локальной сетью (LAN).
• Интернет-соединение с интернет-провайдером (ISP).
• Зарегистрированные IP-адреса (интернет).
• Частные или зарегистрированные IP-адреса (интранет/интернет).
• DNS-сервер (рекомендуется внутренний DNS или DNS, предоставленный ISP) или локальный HOSTS-файл на каждом клиенте IIS.

Программное обеспечение

После создания инфраструктуры на IIS-сервере можно разместить дополнительные сервисы. Основным назначением сервера является: создание и размещение веб-страниц, хранение документов и данных. Тем не менее, вы можете добавить следующие приложения:

• Active Server Pages (ASP);
• NetShow;
• Index Server;
• Java Virtual Machine;
• FrontPage server extensions;
• FrontPage;
• Seagate Crystal Reports;
• SQL Server;
• SNA Server;
• Exchange Server;
• Office XP.

В связи с тем, что интернет составляет огромную часть работы компьютерных сетей, постоянно разрабатываются новые дополнительные компоненты. Самую свежую информацию о программном обеспечении IIS можно найти на сайте http://www.microsoft.com.

Этапы инсталляции

Процесс инсталляции и настройки IIS в среде Windows XP Professional достаточно прост. IIS не является частью обычной инсталляции операционной системы, но содержится на компакт-диске Windows XP Professional. Для установки и конфигурации IIS проделайте следующее.

1. Вставьте компакт-диск Windows XP Professional в CD-дисковод. Выберите Start\Control Panel (Пуск\Панель управления), затем выберите Add/Remove Programs (Установка и удаление программ).
2. Щелкните на Add Windows Components (Добавить компоненты Windows).
3. Отметьте флажок Internet Information Services (IIS). Оставьте все настройки инсталляции, данные по умолчанию, без изменений.
4. Инсталляция занимает несколько минут. После завершения инсталляции вы сможете увидеть свою домашнюю станицу, идентифицировав сайт с помощью UNC. Введите http://localhost, где localhost - имя вашего компьютера. Если у вас нет веб-сайта в каталоге по умолчанию, то появится документация по IIS.

Примечание. Если вы не знаете имени своего компьютера, то щелкните правой кнопкой мыши на значке My Computer (Мой компьютер) на рабочем столе или в меню Start (Пуск). Выберите Properties (Свойства) и щелкните на вкладке Computer Name (Имя компьютера).

Каталог по умолчанию находится в папке C:\Inetpub\wwwroot. Однако добавление в этот каталог приведет к переписыванию IIS-документации. Чтобы избежать этого, следует установить свой собственный виртуальный каталог.

Примечание. Вы можете найти консоль IIS, выбрав Start\Administration Tools\Internet Information Services (Пуск\Администрирование\Internet Information Services).

Открыв консоль IIS (см. рис. 7.5), вы увидите веб-сервисы, работающие на вашей машине, включая SMTP-сервер и FTP-сервер, если они установлены вместе с IIS.

Конфигурирование IIS

Инсталляция - это далеко не все, что нужно для работы. К счастью, конфигурировать IIS достаточно легко с помощью дополнительных оснасток MMC. В этом разделе мы рассмотрим инструменты, необходимые для решения различных задач конфигурирования.

Управление IIS

Система Windows XP Professional централизованно управляет своими ресурсами с помощью одного инструмента - MMC. Этот инструмент отображает ресурсы IIS в виде дерева, чтобы вы могли осуществлять руководство посредством дружественного графического интерфейса. Вы можете получать доступ к сервисам с помощью щелчка правой кнопкой мыши и перехода в окно свойств. MMC с оснасткой IIS показан на рис. 7.6.

IIS-страница по умолчанию содержит информацию о свойствах и функциях IIS. Если вы захотите ими воспользоваться, то там же имеется несколько образцов веб-страниц. Страница включает в себя ссылки на ресурсы веб-сайтов, для доступа к которым потребуется интернет-соединение.

Конфигурирование веб-сервисов

Оба инструмента управления IIS позволяют администраторам работать с IIS-ресурсами привычным способом. Конфигурирование веб-сервисов выполняется с помощью двойного щелчка на веб-сервисе, выбранном из списка в главном окне управления IIS, и последующего выбора Properties (Свойства). В результате появляется диалоговое окно, показанное на рис. 7.7.

Свойства, которые, возможно, потребуется настроить, перечислены ниже.

• Время ожидания подключения. Соединение пользователей будет прерываться, если в течение данного времени не произойдет никаких действий. Сократите это время, чтобы избавиться от пользователей, который держат соединение открытым, не получая никакой информации.
• Максимальное число подключений к ресурсу. Определяет количество пользователей, одновременно подключаемых к веб-серверу. Здесь следует учитывать возможности оборудования и соединения.
• Анонимный вход. Если вы хотите, чтобы пользователи, не являющиеся членами домена, имели доступ к веб-серверу, нужно разрешить анонимный вход.
• Имя пользователя/Пароль. Это учетная запись, которая реально имеет доступ к веб-страницам. Ограничьте привилегии этой учетной записи, чтобы предоставлять доступ только к тем ресурсам, которые вы делаете доступными другими пользователям.
• Аутентификация с помощью пароля. Если вы не разрешили вход анонимным пользователям, то следует отбирать пользователей с помощью обязательного ввода пароля, то есть воспользоваться наиболее безопасным методом аутентификации - Challenge/Response (Вызов/Ответ).
• Виртуальные каталоги. С IIS появляется гораздо больше возможностей для создания каталогов, в которых будут храниться интернет-страницы. Каталоги можно создавать вне исходного каталога, созданного во время инсталляции. Они называются виртуальными каталогами и могут размещаться на том же или на удаленном компьютере. Для пользователей они представляют собой подкаталоги корневого веб-каталога. В действительности они могут располагаться на совершенно другой машине.

Создать виртуальный каталог очень просто.

1. Для добавления нового виртуального каталога щелкните правой кнопкой мыши на папке под значком Default Web Site и выберите New (Создать). В раскрывающемся списке выберите Virtual Directory (Виртуальный каталог).
2. Запустится мастер создания виртуального каталога (Virtual Directory Creation Wizard). Щелкните на Next (Далее).
3. Введите псевдоним, которым вы будете пользоваться для входа в виртуальный каталог из веб-браузера. Это имя вы впишите в веб-браузер после localhost-имени для просмотра веб-страниц, размещенных в этом каталоге.
4. Появится кнопка Browse (Обзор). Нажмите, чтобы найти место расположения каталога, в котором находятся веб-страницы на компьютере. Затем щелкните на Next.
5. В конце работы мастер продемонстрирует ряд флажков для настройки системы безопасности (рис. 7.8). Если безопасность вас не очень беспокоит, то отметьте их все. Если же беспокоит, и вы собираетесь работать с ASP-скриптами, то включите два первых флажка - Read (Чтение) и Run (Исполнение). Затем щелкните на Next.

Теперь виртуальный каталог установлен. Вы можете просматривать веб-страницы в папке, вводя http://localhost/aliasname, где aliasname - это имя, которое вы задали в шаге 3.

Примечание. При использовании NTFS можно создать виртуальный каталог, щелкнув правой кнопкой мыши на каталоге вWindows Explorer, затем щелкнув на Sharing (Доступ) и выбрав Web Sharing (Доступ через веб).

Регистрация

IIS предоставляет возможность контроля за тем, какие события регистрируются и как. Помимо разрешения регистрации доступа к обычным текстовым файлам ежедневно, еженедельно или ежемесячно, или пока файл журнала не достигнет определенной величины, вы можете экспортировать файлы журналов в базу данных SQL/ODBC.

Войдите в систему управления регистрацией, щелкнув правой кнопкой мыши на веб-сайте, которым вы собираетесь управлять, и выбрав Properties (Свойства). В результате появится окно, показанное на рис. 7.9.

Скорее всего, вы будете пользоваться другими приложениями для чтения файлов журналов и написания отчетов об использовании веб-страниц. Эта статистика показывает, какие пользователи заходят на веб-сервер и что они просматривают при этом. Более того, журналы очень пригождаются при нарушении безопасности сервера.

Примечание. Если IIS-сервер активно используется, то файлы журналов принимают достаточно большие размеры. Поэтому было бы разумно размещать их на удаленной машине, чтобы их не могли взломать хакеры, если им удастся проникнуть в IIS-компьютер.

Контроль доступа

Естественно, что безопасность вашей сети имеет важное значение. Обеспечить доступ для законопослушных пользователей и одновременно оградить себя от всякого рода злоумышленников порой бывает очень нелегко. IIS включает несколько свойств (о которых мы поговорим позже), помогающих достичь нужного баланса.

Вы можете настроить систему контроля за доступом, щелкнув правой кнопкой мыши на веб-сайте, которым вы хотите управлять с помощью Диспетчера IIS, и выбрав Properties (Свойства). Щелкните на вкладке Directory Security (Безопасность каталога), и перед вами откроется целый ряд опций системы безопасности (см. рис. 7.10).

С помощью IIS можно предоставить или отказать в доступе для отдельных компьютеров (через IP-адреса). Если вы собираетесь предоставлять доступ для всех в интернете, то это вид контроля доступа не нужен. Однако если у вас есть личный интранет, то, возможно, потребуется предоставить доступ пользователям определенной подсети, скажем, пользователям подсети 10.0.5.0. Для этого щелкните на кнопке Edit (Изменить) в окне ограничений для IP-адреса и имени домена и введите необходимые ограничения.

Конфигурирование FTP-сервера

Вы можете предоставлять пользование файлами непосредственно на веб-странице. Однако все будет происходить быстрее и эффективнее, если установлен FTP-сервер. Это особенно удобно, когда у вас много файлов или многие хотят скачать эти файлы. В настройках FTP-сервиса есть много общего с настройками веб-сайта. Следовательно, мы будем говорить только об отличиях. Тем не менее, сначала убедитесь в том, что FTP-сервис установлен вместе с IIS. Если FTP-сервис не установлен, то сделайте это следующим образом.

1. В Control Panel (Панель управления) щелкните на Add/Remove Programs (Установка/удаление программ).
2. Щелкните на Add/Remove Windows Components (Установка компонентов Windows).
3. Из списка выберите Internet Information Services (IIS) и щелкните на Details (Состав).
4. Отметьте флажок File Transfer Protocol (FTP) Service (Служба FTP).
5. Нажмите на ОК. Windows XP Professional может потребовать инсталляционный компакт-диск.
6. Щелкните на Next (Далее).
7. Щелкните на Finish (Готово).

Имеется несколько вкладок с различными настройками, которые можно модифицировать по своему усмотрению. Эти вкладки описаны ниже.

• FTP Site. Содержит ряд однотипных опций, которые не влияют на работу других сервисных программ, но используются только в FTP:
• Connection timeout (Время простоя соединения);
• Maximum connections (Максимальное количество соединений);
• Whether or not allow anonymous users (Разрешить/запретить вход для анонимных пользователей).
• Security Accounts. Один интересный флажок называется Allow only anonymous connections (Разрешить только анонимные соединения). Отметьте его, только если вы разрешаете вход в систему анонимным пользователям. Если флажок отключен, то пользователи, регистрирующиеся на FTP-сервере, должны будут вводить свой пароль (который высылается открытым текстом). Если анонимные соединения разрешены, то пароль не нужен.
• Message. Служба FTP позволяет посылать сообщения пользователям при их входе или выходе, или когда достигнуто максимальное количество пользователей.
• Home Directory. Позволяет сконфигурировать виртуальные каталоги так, как вы это делали для службы World Wide Web. Вы также получаете возможность представлять каталоги в операционных системах DOS или UNIX.

Регистрационные и расширенные возможности FTP-сервера аналогичны возможностям веб-сервера, и вы можете конфигурировать их, как вам удобно.

Использование IIS

Мы только что предоставили краткий обзор IIS. На самом деле это достаточно сложный инструмент, функциональность которого трудно описать в одной лекции. Есть масса других книг, посвященных всем тонкостям работы с IIS.

В последней части этой лекции дается краткий обзор использования IIS для построения и управления ресурсами в среде Windows XP Professional.

Установка страниц по умолчанию

При инсталляции IIS автоматически создаются веб-сайт и FTP-сайт по умолчанию. Однако, несмотря на наличие сетевых папок, вам все же приходится публиковать содержание в этих папках по умолчанию.

Публикация в сетевых папках

Публикация содержания в сетевых папках представляет собой процесс, состоящий из четырех этапов.

1. Сначала следует создать веб-страницу с помощью любого инструмента для творческой (авторской) работы.
2. Файл, содержащий домашнюю страницу, должен называться Default.htm или Default.asp.
3. Скопируйте свою домашнюю страницу в сетевой каталог по умолчанию для IIS. При включении IIS домашний каталог - \Inetpub\wwwroot.
4. Если сеть имеет службу разрешения имен, то посетители могут вводить имя компьютера в адресной строке веб-браузера, чтобы добраться до вашего сайта. Если разрешение имен недоступно, то они (посетители) должны будут вводить IP-адрес вашего компьютера.

Публикация в FTP-папках

Публикация в FTP-папке выполняется почти так же, как в веб-папке. Для этого проделайте следующие шаги.

1. Перенесите свои файлы в FTP-каталог для публикаций (каталогом по умолчанию, созданным IIS, является \Inetpub\ftproot).
2. Если в сети имеется служба разрешения имен, то посетители могут вводить имя компьютера, которому предшествует FTP:// (например, FTP://www.velte.com). Если службы разрешения имен нет, то они должны вводить IP-адрес, которому предшествует FTP://. Однако будет лучше, если пользователи воспользуются FTP-программой типа WS_FTP, которая делает процесс переноса более быстрым и эффективным.

Управление системой безопасности

Излишне говорить, насколько важно обеспечивать безопасность при работе с интернетом. В этом смысле IIS работает вместе с системой безопасности Windows XP Professional. Так создается интегрированная система защиты, которая является исключительно полезной.

Разрешения

Как и многие другие инструменты Windows XP Professional, NTFS предоставляет средства обеспечения безопасности на уровне диска. IIS не является исключением. Одним из лучших качеств NTFS является чувство собственной безопасности. Используя NTFS, можно ограничить доступ к своим IIS-файлам и каталогам, определить, кто из посетителей сайта имеет доступ к файлам на основании своей учетной записи или членства в группе.

Примечание. Перед тем как предпринимать что-либо, убедитесь, что жесткий диск (или его раздел) конвертирован в NTFS. Можете верить или не верить, но без этого NTFS не сможет ничего защитить.

Проделайте следующие шаги, чтобы обезопасить свои файлы с помощью NTFS.

1. Откройте My Computer (Мой компьютер) и найдите папку или файл, для которых нужно настроить разрешения.
2. Щелкните правой кнопкой мыши на папке или файле, выберите Properties (Свойства) и затем щелкните на вкладке Web Sharing (Доступ через веб).
3. Далее воспользуйтесь ниспадающим списком для выбора веб-сайта, с которым вы хотите поделиться этим ресурсом.
4. Нажмите на кнопку Share this folder (Открыть общий доступ к этой папке). Появится окно (см. рис. 7.11).
5. Введите псевдоним для папки или файла.
6. Установите любые разрешения или ограничения по своему выбору, включая следующие:
   • чтение;
   • запись;
   • доступ к тексту сценария (позволяет пользователям получать доступ к исходным файлам);
   • просмотр каталога.
   
   
   Рис. 7.11.  Введите псевдоним для папки или файла

7. Установите любые разрешения прикладного характера:
   • Никаких;
   • Сценарии;
   • Выполнить (включает в себя сценарии).

Проделывая эти шаги, вы сможете устанавливать различные уровни доступа к своим файлам и папкам. Важно знать, что можно настроить разрешения одного уровня для доступа к папке с файлами, а доступ к определенному файлу (или папке) внутри данной папки сделать более ограниченным.

Аутентификация

Аутентификацией называется процесс подтверждения того, что данный пользователь является именно тем лицом, которым себя объявляет. Он выполняется в окне с полями для ввода имени пользователя и пароля. Если пользователь не обладает корректной информацией, то он не сможет войти в сеть или на FTP-сайт. Более того, IIS позволяет проводить аутентификацию при входе в определенный каталог или файл.

Веб-аутентификация. Для реализации аутентификации на веб-сайте проделайте следующие шаги.

1. Сначала создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
3. В окне Диспетчера IIS выберите веб-сайт, каталог или файл. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
4. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). В поле Anonymous Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
5. В появившемся диалоговом окне (рис. 7.12) укажите методы аутентификации, которые вы хотите применить.

FTP-аутентификация. Аутентификация на FTP-сервере дает такой же результат, но имеет свой уникальный процесс. Для введения FTP-аутентификации выполните следующие шаги.

1. Создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
3. В окне Диспетчера IIS выберите FTP-сайт. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
4. Щелкните на ведомости свойств Security Accounts (Учетные записи безопасности) и отметьте Allow Anonymous Connection (Разрешить анонимные подключения).
5. В поля Username (Имя пользователя) и Password (Пароль) введите имя пользователя и пароль для анонимного доступа, которые вы будете использовать. Имя пользователя обычно задается в виде IUSR_computername. Если отмечен флажок Allow IIS to control password (Разрешить управление паролем из IIS), то уберите отметку для смены пароля.
6. Снова отметьте флажок Allow IIS to control password, чтобы синхронизировать пароли с учетными записями.
7. Отметьте флажок Allow only anonymous connections (Разрешить только анонимные подключения). Это является требованием к каждому посетителю регистрироваться в качестве анонимного пользователя.
8. Нажмите на ОК.
9. Установите необходимые NTFS-разрешения для анонимного доступа.

Анонимная аутентификация

Учетная запись доступа IUSR_computername появляется в файле Guest (Гость) при назначении анонимного доступа. Для создания переменного уровня безопасности посредством присвоения разрешений на доступ к различным частям своего веб-сайта, вы можете установить разные анонимные учетные записи, каждая из которых дает различный доступ к группам. Однако имейте в виду, что анонимная учетная запись должна иметь разрешения Log On Locally (Локальный вход), иначе IIS не сможет обрабатывать эти запросы.

Примечание. Права Log On Locally (Локальный вход) присваиваются посредством Active Directory Service Interfaces - ADSI (дополнительного инструмента MMC).

Для изменения учетной записи, используемого для анонимной аутентификации, выполните следующие действия.

1. В окне Диспетчера IIS щелкните правой кнопкой мыши на сайте, каталоге или файле, в которые нужно внести изменения, и выберите Properties (Свойства).
2. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла) и в поле Anonymouse Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
3. Откроется диалоговое окно Authentication Methods (Методы аутентификации). В поле Anonymous access (Анонимный доступ) щелкните на кнопке Browse (Обзор).
4. В диалоговом окне Anonymous User Account (Учетная запись анонимного пользователя) введите учетную запись пользователя.
5. Очистите флажок Allow IIS to control password (Разрешить управление паролем из IIS) и введите пароль, соответствующий этой учетной записи.

Шифрование

Правильная регистрация посетителей на IIS еще не означает, что данные полностью защищены от нежелательного просмотра. Вы можете заставить своих авторизованных посетителей создавать зашифрованные каналы, перед тем как получить доступ к информации. Единственная тонкость здесь состоит в том, что и сервер и клиент для обеспечения безопасности канала должны поддерживать одну и ту же схему шифрования. Если они оба используют современные браузеры и серверы, то это не является проблемой.

Примечание. Шифрование невозможно без инсталляции действительного сертификата сервера.

Для настройки шифрования проделайте следующие шаги.

1. В окне Диспетчера IIS щелкните правой кнопкой мыши на том сайте, каталоге или файле, в которые нужно внести изменения, а затем выберите Properties (Свойства).
2. Предполагая, что вы еще не создали пару ключей сервера и запрос о сертификате, выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). (Если вы это уже проделали, то переходите к пункту 4.)
3. В поле Secure Communications (Безопасные подключения) щелкните на Server Certificate (Сертификат). Запустится мастер сертфикатов веб-сервера (Web Server Certificate Wizard), который выполнит остальную часть процесса.
4. Вернувшись в главное окно Properties (Свойства), выберите вкладку Directory Security или File Security и в поле Secure Communications щелкните на Edit (Изменить).
5. В открывшемся диалоговом окне Secure Communications выберите Require Secure Channel (SSL) (Требуется безопасный канал).

Примечание. Убедитесь в том, что ваши пользователи знают, что им следует вводить https:// вместо http://.

Управление содержимым

Хорошо известно, что разработка содержимого и размещение его на веб-сервере являются не окончанием путешествия, а, скорее, первым шагом. Веб-сайты стали "живыми", в чем и заключается причина такой популярности интернета. Содержание перестает быть статичным, как в книгах, журналах и газетах. И все это может стать настоящей головной болью, если вы не умеете управлять веб-содержимым.

После размещения в интранете информационного бюллетеня компании непременно настанет время его обновить. Вам доступен ряд инструментов, которые помогают управлять содержанием IIS.

С чего начать

Первым делом надо настроить свои веб-страницы, назначив каталоги, в которых будут находиться документы. Веб-страницы должны быть локализованы в этих каталогах, чтобы IIS мог публиковать их. Каталоги выбираются с помощью Диспетчера IIS.

Если принять, что все файлы находятся на одном жестком диск с IIS, то можно опубликовать эти документы, просто скопировав файлы в домашний каталог по умолчанию IIS: C:\InetPub\wwwroot.

Примечание. Для FTP-сайтов каталогом по умолчанию является C:\Inetpub\ftproot.

Пользователи интранета могут получить доступ к этим файлам с помощью URL http://servername/filename. Интернет-пользователи будут вводить обычный URL для входа на вашу страницу.

Отведи меня домой

В интересах сайта и в ваших собственных следует создать домашние каталоги для каждого веб- и FTP-сайта. Домашний каталог содержит файл-указатель, приглашающий посетителей и соединяющий их ссылками с другими страницами сайта, и он обозначен либо именем домена (для интернет-посетителей), либо именем сервера (для интранет-посетителей).

Например, если вы размещаете веб-содержимое по поводу ежегодного праздника членов клуба автолюбителей, интернет-пользователи могут вводить http://www.mudtacular2002.com. Однако члены клуба воспользуются именем сервера (Mr.Mud), чтобы попасть на страницу (на языке интранета это будет выглядеть как http://mrmud). Каким бы образом визитеры ни заходили на сайт, они попадут прямо в домашний каталог. По умолчанию домашний каталог появляется после инсталляции IIS при создании нового веб-сайта.

Обходной путь

Сколько раз бывало, что вы заходили на веб-страницу только для того, чтобы прочитать сообщение, подобное этому:

We're sorry, the page you're looking for is no longer here.

We will redirect you in a moment.

(Просим извинения за то, что страница, которую вы, искали больше не существует. Сейчас мы вас перенаправим.)

Это раздражает, но этого нельзя избежать, особенно на больших сайтах со сложной файловой структурой. К сожалению, если вам приходится переносить страницы из одной папки в другую на своем сайте, не всегда удается отследить и исправить все ссылки. Вместо того чтобы менять все URL, просто дайте команду IIS сообщить браузеру, где находятся новые ссылки. Это называется переадресацией запроса браузера. Используя IIS, можно переадресовать запросы:

• из одного каталога в другой;
• на другой веб-сайт;
• в другой файл из другого каталога.

Когда браузер посетителя ищет файл в соответствии со старым URL, IIS сообщает браузеру местонахождение нового URL (т. е. переадресовывает).

С помощью следующих шагов можно переадресовать запросы на другой веб-сайт или в другой каталог.

1. Откройте Диспетчер IIS и щелкните правой кнопкой мыши на веб-сайте или на каталоге, который нужно изменить.
2. Выберите Properties (Свойства).
3. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог). Результат показан на рис. 7.13.
   
   
   Рис. 7.13.  Переадресация запросов браузера в IIS

4. Выберите A redirection to a URL (Перенаправление на URL).
5. В поле Redirect (Переадресовать) введите URL нового каталога.

Для переадресовки запросов на определенный файл:

1. Откройте оснастку IIS MMC и щелкните правой кнопкой мыши на веб-сайте или каталоге, который нужно изменить.
2. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог).
3. Выберите A redirection to URL (Перенаправление на URL).
4. В поле Redirect to (Переадресовать) введите URL конечного файла.
5. Выберите The exact URL (Существующий URL), введенный выше.

Вставки на стороне сервера

Часто посетителям веб-сайта будет требоваться предоставление пользовательской (модифицированной) веб-страницы. Настолько модифицированной, что это трудно заранее вообразить и иметь такую страницу на своем сайте. Например, когда вы заходите на Amazon.com и ищете определенное название, то конечная информация генерируется на странице, отвечающей этому запросу. Это называется динамическим содержимым.

IIS поддерживает динамическое содержимое с помощью вставок на стороне сервера (Server-Side Includes, SSI). Большую часть работы по управлению веб-сайтом можно выполнить посредством SSI. Так называемые директивы добавляются к веб-страницам во время разработки последних. При поступлении запроса на страницу IIS выполняет директивы, которые на них содержатся.

Наиболее распространенной директивой является include (включить), которая инкорпорирует содержимое файла на указанную веб-страницу. Например, если на странице есть баннер, который содержит ссылку на рекламу, то следует воспользоваться SSI для включения HTML-источника этого баннера на веб-страницу. Когда потребуется обновить баннер, не надо менять страницу целиком: просто обновите файл баннера.

Подключение SSI выполняется посредством следующих действий.

1. Убедитесь в том, что файлы, содержащие SSI-директивы, имеют соответствующие SSI-расширения (.stm, .shtm, .shtml).
2. Разместите SSI-файлы в каталоге с разрешениями доступа Scripts (Сценарии) и Execute (Выполнение).

Отключить SSI можно следующим образом.

1. Откройте окно Диспетчера IIS и щелкните правой кнопкой мыши на веб-сайте или каталоге, который вы хотите изменить.
2. Выберите Properties (Свойства).
3. Щелкните на вкладке Home Directory (Домашний каталог) или Directory (Каталог).
4. Выберите каталог, в котором запускается приложение.
5. Щелкните на кнопке Configuration (Настройка) и затем щелкните на вкладке App Mappings (Добавить связи) (см. рис. 7.14).
6. Выберите расширение и щелкните на кнопке Remove (Удалить).

IIS представляет собой весьма богатую тему для обсуждения и заслуживает гораздо большего внимания. Можно надеяться, что эта лекция даст вам общее представление о полезности, инсталляции и управлении IIS. Потратьте свое время на изучение IIS и вы обнаружите полезный инструмент интернета и интранета.