Windows 2008 R2 IIS中Web服务器的配置
|
|
|
|
|
|
IIS 7.5的Web服务组件安装成功后,就可以在这台服务器上创建Web站点了。默认情况下,在安装的过程中,系统会自动创建一个默认的Web站点。用户可以通过修改默认站点的属性发布自己的Web网站,也可以重新建立一个Web站点。
|
|
|
|
通过"开始"→"管理工具"→"Internet服务管理器"命令打开"Internet信息服务(IIS)管理器"对话框。在管理器的左侧窗格中单击"网站"节点前的"+"号,然后选中某个希望配置的网站,右键单击该网站,在弹出的快捷菜单中选择"属性"命令,打开"属性"对话框。
|
|
|
在"网站"选项卡中可以设置网站的标识,包括网站描述、IP地址和端口号,还可以设置连接超时、启用日志记录等,从网站日志记录中可以查看哪些用户访问了网站中的哪些内容,如下图所示。
|
|
|
|
|
在"主目录"选项卡中指定网站Web内容的来源,如下图所示。
|
|
|
|
|
|
为了保证Web网站和服务器的安全,可以在"目录安全性"选项卡上为网站进行身份验证和访问控制、IP地址和域名限制的设置,如下图所示。在"身份验证和访问控制"选项组中单击"编辑"按钮,打开如下图所示的"身份验证方法"对话框。使用该对话框可以配置Web服务器以验证用户身份。可以验证单个用户或选择用户组来阻止未授权用户与受限制内容建立Web(HTTP)连接。
|
|
|
|
|
|
|
选中"启用匿名访问"复选框可以为用户建立匿名连接,此时用户无须专用的账户,而是使用匿名或来宾账户(Guest)登录到IIS。默认情况下,服务器创建和使用账户IUSR_计算机名,对应于本书所举的例子,用户名为IUSR_WIN2008_R2。
|
|
|
如果用户希望对网站的访问者验证身份,也可以在"身份验证方法"对话框中的"用户访问需经过身份验证"选项组中进行设置。在此部分中选中的选项要求用户在访问服务器上的任何信息前,提供有效的Microsoft Windows用户名和密码。当前IIS 7.5中提供了以下两种身份验证方法。
|
|
|
(1)基本身份验证。用户使用基本身份验证访问Web站点时,系统会模仿为一个本地用户(即能实际登录到Web服务器的用户)登录到Web服务器,因此用于基本验证的Windows用户必须具有"本地登录"用户权限。它是一种工业标准的验证方法,大多数浏览器支持这种验证方法。在使用基本身份验证方法时,用户密码是以未加密形式在网络上传输的,很容易被蓄意破坏系统安全的人在身份验证过程中使用协议分析程序破译用户和密码,因此这种验证方式是不安全的。
|
|
|
(2)摘要式身份验证。摘要式身份验证也要求用户输入账号名称和密码,但账号名称和密码都经过MD5算法处理,然后将处理后产生的散列随机数(hash)传送给Web服务器。采用这种方法时,Web服务器必须是Windows域的成员服务器。
|
|
|
(3)Windows身份验证。集成Windows验证是一种安全的验证形式,它也需要用户输入用户账户和密码,但账户名和密码在通过网络发送前会经过散列处理,因此可以确保其安全性。Windows身份验证方法有两种,分别是Kerberos v5验证和NTLM,如果在Windows域控制器上安装了Active Directory服务,并且用户的浏览器支持Kerberos v5验证协议,则使用Kerberos v5验证,否则使用NTLM验证。
|
|
|
Windows身份验证优先于基本身份验证,但它并不先提示用户输入用户名和密码,只有Windows身份验证失败后,浏览器才提示用户输入用户名和密码。虽然Windows身份验证非常安全,但是在通过HTTP代理连接时,Windows身份验证不起作用,无法在代理服务器或其他防火墙应用程序后使用。因此,Windows身份验证最适合企业Intranet环境。
|
|
|
用户可以基于IP地址或域名来允许或拒绝特定用户、计算机、计算机组或域访问该网站、目录或文件。在上图所示的"IP地址和域名限制"选项组中单击"编辑"按钮,打开如下图所示的"IP地址和域名限制"对话框。默认情况下,所有的计算机都被允许访问该网站。选中"授权访问"单选按钮,可以授权所有的计算机访问该网站,但在"下列除外"列表框中指定的计算机除外。要添加拒绝访问的计算机、计算机组或域,需单击"添加"按钮,打开如下图所示的"拒绝访问"对话框,在其中输入希望拒绝计算机的相应信息。输入后,单击"确定"按钮,被拒绝访问的计算机将出现在下图所示的"下列除外"列表框中。
|
|
|
|
|
|
|