WinServer2008服务器配置管理详解

图8-9 IIS管理器图8-10 Web服务器安装成功

8.2.2 配置IP地址和端口

Web服务器安装完成以后，可以使用默认创建的Web站点来发布Web网站。不过，如果服务器中绑定有多个IP地址，就需要为Web站点指定唯一的IP地址及端口。

在IIS管理器中，右击默认站点，单击快捷菜单中的“编辑绑定”命令，或者在右侧“操作”栏中单击“绑定”，显示如图8-11所示的“网站绑定”窗口。默认端口为80，使用本地计算机中的所有IP地址。

选择该网站，单击“编辑”按钮，显示如图8-12所示的“编辑网站绑定”窗口，在“IP地址”下拉列表框中选择欲指定的IP地址即可。在“端口”文本框中可以设置Web 站点的端口号，且不能为空。“主机名”文本框用于设置用户访问该Web网站时的名称，当前可保留为空。

图8-11 “网站绑定”窗口图8-12 “编辑网站绑定”窗口注 意

使用默认值80端口时，用户访问该网站不需输入端口号，如http://192.168.0.1或https://www.wendangku.net/doc/a918319178.html,。但如果端口号不是80，那么访问Web网站时就必须提

供端口号，如http://192.168.0.1:8000或https://www.wendangku.net/doc/a918319178.html,:8000。

设置完成以后，单击“确定”按钮保存设置，并单击“关闭”按钮关闭即可。此时，在IE浏览器的地址栏中输入Web服务器的地址，显示如图8-13所示的窗口，表示可以访问Web网站。

168

图8-13 Web 网站

8.2.3 配置主目录

主目录也就是网站的根目录，用于保存Web 网站的网页、图片等数据，默认路径为“C:\Intepub\wwwroot ”。但是，数据文件和操作系统放在同一磁盘分区中，会存在安全隐患，

并可能影响系统运行，因此应设置为其他磁盘或分区。

打开IIS 管理器，选择欲设置主目录

的站点，在右侧窗格的“操作”选项卡中单击“基

本设置”，显示如图8-14所示的“编辑网站”

窗口，在

“物理路径”文本框中显示的就是网站

的主目录。

在“物理路径”文本框中输入Web 站

点的新主目录路径，或者单击“浏览”按钮选择，最后单击“确定”按钮保存即可。

图8-14 “编辑网站”窗口 8.2.4 配置默认文档

用户访问网站时，通常只需输入网站域名即可，无需输入网页名，实际上此时显示的网页就是默认文档。一般情况下，Web 网站需要至少一个默认文档，当用户使用IP 地址或域名访问且没有输入网页名时，Web 服务器就会显示默认文档的内容。

在IIS 管理器的左侧树形列表中选择默认站点，在中间窗格显示的默认站点主页中，双击“IIS ”选项区域的“默认文档”图标，显示如图8-15所示的“默认文档”列表。有5种默认文档，分别为Default.htm 、Default.asp 、index.htm 、index.html 和iisstar.htm 。当用户访问时，IIS 会自动按顺序由上至下依次查找与之相对应的文件名。 169

图8-15 “默认文档”列表

单击右侧“操作”任务栏中的“添加”链接，

显示如图8-16所示的“添加默认文档”窗口，在“名称”

文本框中可输入欲添加的默认文档名称。

单击“确定”按钮，即可添加该默认文档。新添加的默认文档自动排列在最上方，如图8-17所示，

可通过单击右侧“操作”栏中的“上移”和“下移”超级链接来调整各个默认文档的顺序。

图8-16 “添加默认文档”窗口

图8-17 添加的默认文档

若要删除或禁用某个默认文档，只需选择相应的默认文档，然后单击“删除”或“禁用”超级链接即可。

8.2.5 配置访问权限和安全

默认状态下，允许所有的用户匿名连接IIS 网站，即访问时不需要使用用户名和密码登录。不过，如果对网站的安全性要求高，或网站中有机密信息，就需要对用户限制，禁止匿名访问，而只允许特殊的用户账户才能进行访问。

170

1．禁用匿名访问

在IIS管理器中，选择欲设置身份验证的Web站点，如图8-18所示。

在站点主页窗口中，选择“身份验证”，双击，显示“身份验证”窗口。默认情况下，“匿名身份验证”为“启用”状态，如图8-19所示。

图8-18 Web站点

图8-19 “身份验证”窗口

右击“匿名身份验证”，单击快捷菜单中的“禁用”命令，即可禁用匿名用户访问。

2．使用身份验证

在IIS 7.0的身份验证方式中，还提供基本验证、Windows身份验证和摘要身份验证。需要注意的是，一般在禁止匿名访问时，才使用其他验证方法。不过，在默认安装方式下，这些身份验证方法并没有安装。可在安装过程中或者安装完成后手动选择。

在“服务器管理器”窗口中，展开“角色”节点，选择“Web服务器(IIS)”，单击“添加角色服务”，显示如图8-20所示的“选择角色服务”窗口。在“安全性”选项区域中，可选择欲安装的身份验证方式。

图8-20 “选择角色服务”窗口

171

安装完成后，打开IIS 管理器，再打开“身份验证”窗口，所经安装的身份验证方式显示在列表中，并且默认均为禁用状态，如图8-21所示。

图8-21 “身份验证”窗口

可安装的身份验证方式共有三种，区别如下。

● 基本身份验证：该验证会“模仿”为一个本地用户（即实际登录到服务器的用户），

在访问Web 服务器时登录。因此，若欲以基本验证方式确认用户身份，用于基本验证的Windows 用户必须具有“本地登录”用户权限。默认情况下，Windows 主域控制器（PDC ）中的用户账户不授予“本地登录”用户的权限。但使用基本身份验证方法将导致密码以未加密形式在网络上传输。蓄意破坏系统安全的人可以在身份验证过程中使用协议分析程序破译用户和密码。

● 摘要式身份验证：该验证只能在带有Windows 域控制器的域中使用。域控制器必须具有

所用密码的纯文本复件，因为必须执行散列操作并将结果与浏览器发送的散列值相比较。 ● Windows 身份验证：集成Windows 验证是一种安全的验证形式，它也需要用户输入

用户账户和密码，但用户名和密码在通过网络发送前会经过散列处理，因此可以确保安全性。当启用Windows 验证时，用户的浏览器通过Web 服务器进行密码交换。Windows 身份验证使用Kerberos v5验证和NTLM 验证。如果在Windows 域控制器上安装了Active directory 服务，并且用户的浏览器支持Kerberos v5验证协议，则使用Kerberos v5验证，否则使用NTLM 验证。

Windows 身份验证优先于基本验证，但它并不提示用户输入用户名和密码，只有Windows

验证失败后，浏览器才提示用户输入其用户名和密码。

Windows 身份验证非常安全，但是在通过HTTP 代理连

接时，Windows 身份验证不起作用，无法在代理服务器

或其他防火墙应用程序后使用。因此，Windows 身份验

证最适合企业Intranet 环境。

例如，当Web 服务器使用基本身份验证时，在客

户端访问该网站时，会提示如图8-22所示的“连接到

https://www.wendangku.net/doc/a918319178.html, ”窗口。在“用户名”和“密码”文本框中，输入合法的用户名及密码，单击“确定”按钮即可打开该网页。

图8-22 “连接到https://www.wendangku.net/doc/a918319178.html, ”窗口

172

3．通过IP地址限制保护网站

在IIS中，还可以通过限制IP的方式来增加网站的安全性。通过允许或拒绝来自特定IP 地址的访问，可以有效地避免非法用户的访问。不过，这种方式只适合于向特定用户提供Web 网站的情况。同样，“IP地址限制”功能也需要手动安装，可在“选择角色服务”窗口中勾选“IP和域限制”复选框以进行安装。

设置允许访问的IP地址的操作步骤如下。

打开IIS管理器，选择欲限制的Web站点，双击“IPv4地址和域限制”图标，显示如图8-23所示的“IPv4地址和域限制”窗口。

在右侧“操作”任务栏中，单击“添加允许条目”链接，显示如图8-24所示的“添加允许限制规则”窗口。如果要添加一个IP地址，可点选“特定IPv4地址”单选按钮，并输入允许访问的IP地址即可；如果要添加一个IP地址段，可点选“IPv4地址范围”单选按钮，并输入IP地址及子网掩码即可。

图8-23 “IPv4地址和域限制”窗口

图8-24 “添加允许限制规则”窗口

图8-25 “添加拒绝限制规则”窗口

单击“确定”按钮，IP地址添加完成。

“拒绝访问”与“允许访问”正好相反。

通过“拒绝访问”设置将拒绝来自一个IP地址

或IP地址段的计算机访问Web站点。不过，已

授予访问权限的计算机仍可访问。单击“添加拒

绝条目”按钮，在打开的“添加拒绝限制规则”

窗口中，添加拒绝访问的IP地址，如图8-25所

示。其操作步骤与“添加允许条目”中相同，这

里不再赘述。

8.2.6 配置自定义错误

有时可能会因为网络出现问题，或者因为Web服务器设置的原因，而使得用户无法正常访问Web网页。为了能够使用户清楚地了解不能访问的原因，在Web服务器上应设置相应的反馈给用

173

户的错误页。错误页可以是自定义的错误页，也可以是包含排除故障信息的详细错误信息。

默认情况下，IIS已经集成了一些常见的错误代码。在“Default Web Site”主页中单击“错误页”图标，显示如图8-26所示的“错误页”窗口，显示一些常用的错误代码信息。

图8-26 “错误页”窗口

如果要更改某个错误页代码号，可右击代码名称，单击快捷菜单中的“更改状态”命令，则错误页代码号变为可改写状态，重新输入新的代码号即可。

如果要查看或修改错误页代码信息，右击一个错误页代码，在快捷菜单中单击“编辑”命令，或者在右侧“操作”栏中单击“编辑”链接，显示如图8-27所示的“编辑自定义错误页”窗口，此时即可自定义发生该错误时返回给用户的信息，以及发生该错误时所执行的操作。

●将静态文件中的内容插入错误响应中：在“文件路径”文本框中可设置当发生错误时，

返回给客户端的Web页。如果勾选“尝试返回使用客户端语言的错误文件”复选框，可以根据客户端计算机所使用的语言不同页返回相应的错误页。

●在此网站上执行URL：选择该项后，可在“URL(相对于网站根目录)”文本框中输入

相对于网站根目录的相对路径中的错误页，如“/ErrorPages/404.aspx”。

●以302重定向响应：选择该项后，可在“绝对URL(A)”文本框中输入当发生该错误

时重定向的网站地址。

虽然IIS自带了一些错误页代码，但并不一定能满足用户的所有需要。因此，可以自行添加一些错误页代码。在“错误页”窗口中，单击“添加”按钮，显示如图8-28所示的“添加自定义错误页”窗口。在“状态代码”文本框中设置一个错误页代码号，根据需要在“响应操作”选项区域中设置当发生错误时的响应操作即可。最后，单击“确定”按钮保存设置。

图8-27 “编辑自定义错误页”窗口

图8-28 “添加自定义错误页”窗口

174

8.2.7 配置MIME类型

MIME（Multipurpose Internet Mail Extensions）即多功能Internet邮件扩充服务，这是一种保证非ASCII码文件在Internet上传播的标准，最早用于邮件系统传送图片等非ASCII的内容，如今浏览器也支持这种规范。如果Web服务器中没有添加相应的MIME类型，则用户无法访问该类型的文件。

在IIS管理器中，选择Web站点主页，双击“MIME类型”图标，显示如图8-29所示的“MIME类型”窗口，显示了系统已经集成的MIME类型。

图8-29 “MIME类型”窗口

如果想添加新的MIME类型，可在“操作”栏

中单击“添加”链接，显示如图8-30所示的“添加MIME

类型”窗口。在“文件名扩展名”文本框中输入欲添加的

MIME类型，如“.iso”，在“MIME类型”文本框中输入

文件扩展名所属的类型。图8-30 “添加MIME类型”窗口

单击“确定”按钮，MIME类型添加完成。如果还要添加其他MIME类型，可按以上步骤继续操作。

8.2.8 配置安全Web服务

为了保护Web网站的安全，防止数据在传输过程中被截获和篡改，可以在Web服务器上配置SSL（Secure Socket Layer，安全套接字层）。SSL是一种利用证书实现数据加密的技术，HTTP协议可用来加密传输对安全比较敏感的数据和信息，实现Web服务端与Web客户端的安全通信。而客户端访问时，则要使用“https://DNS域名或IP地址”的形式。

1．创建SSL证书

由于SSL是利用证书实现数据加密传输，因此，若要使用SSL，必须在Web服务器端创建用于SSL加密的证书。证书包含了有关服务器的信息，服务器允许客户在共享敏感信息之前

175

对其加以积极识别，Web服务器只有安装有效服务器证书后才拥有安全通信功能。

在“Internet信息技术(IIS)管理器”窗口中选择服务器名称，在“主页”中的“IIS”区域中双击“服务器证书”图标，显示如图8-31所示的“服务器证书”窗口。在安装IIS 7.0时，系统自动创建了一个证书，网络管理员可以直接应用该证书实现SSL，也可以导入已有证书，或者创建新证书。

这里，以创建一个自签名证书为例。在“操作”任务栏中单击“创建自签名证书”超级链接，显示如图8-32所示的“创建证书申请”窗口。在“为证书指定一个好记名称”文本框中为新证书设置一个名称。

图8-31 “服务器证书”窗口

图8-32 “创建自签名证书”窗口

单击“确定”按钮，自签名证书创建完成，并显示在证书列表中，如图8-33所示。

选择新创建的证书，在右侧“操作”栏中单击“查看”链接，显示如图8-34所示的“证书”窗口，可以查看该证书的名称、颁发者、颁发给、到期日期和证书哈希等详细信息，单击“确定”按钮。

图8-33 证书创建完成

图8-34 “证书”窗口

2．创建SSL网站

当SSL证书创建完成以后，即可创建HTTPS站点，并启用SSL设置。需要注意的是，HTTPS 站点只能在创建SSL证书后创建，不能将已创建的HTTP站点更改为HTTPS站点。

176

在IIS管理器窗口的“连接”栏中，右击“网站”，在快捷菜单中单击“添加网站”命令，显示“添加网站”窗口，设置网站名称、物理路径，在“类型”下拉列表中选择“https”，在“IP地址”下拉列表中指定IP地址，“端口”使用默认的443即可；在“SSL证书”下拉列表中选择该网站欲使用的证书，如图8-35所示。

单击“确定”按钮，HTTPS网站创建完成，如图8-36所示。

图8-35 “添加网站”窗口

图8-36 HTTPS网站创建完成

在HTTPS网站主页中，双击“IIS”区域中的“SSL设置”图标，显示如图8-37所示的“SSL设置”窗口。

勾选“要求SSL”复选框，默认启用40位数据加密方法。如果勾选“需要128位SSL”复选框，则启动128位数据加密方法。在“客户证书”选项区域中选择三种证书接受方式，分别如下。

●忽略：系统默认设置，不接受提供客户端证书，因此安全性最低。

●接受：启用服务器端的SSL设置，并接受客户端证书（若提供），在允许客户端获得

内容访问权限之前验证客户端身份。这里选择该项。

●必需：在接受访问之前要求用户必须提供证书，以验证客户端身份的有效性，安全性

最高。

设置完成后，在右侧“操作”栏中单击“应用”链接，应用所有设置，如图8-38所示。

图8-37 “SSL设置”窗口

图8-38 应用SSL设置

177