Windows 网络服务架构系列课程详解（三） ---------Web站点的部署方案 推荐

[align=center]Windows 网络服务架构系列课程详解（三） [/align]
[align=center]---------Web站点的部署方案[/align]

实验背景：
WWW（word wide web）服务，即万维网服务，指在网上发布的，并可以通过浏览器观看的图形界面的服务。万维网服务是通过建立Web站点来实现的。
在信息技术高速发展的今天，Internet之所以如此风行，WWW服务功不可没。因为它操作简单，界面魅力十足，可用来联机购物、买书、看电影、听广播、看电视、玩游戏、找工作、查资料等。各大公司也通过Web站点提供售前售后服务，这种良性的互动行为，直接提升了整体信息环境的便利性和普及性。
常用的WWW服务软件，在Windows系统中是IIS，在Linux系统中是Apache。本实验主要介绍使用IIS 6.0（目前已经为IIS7.0）在windows server 2003 上配置Web站点，实现WWW服务。

实验目的：
1、介绍IIS 6.0的安装过程。
2、配置Web站点（重点是主目录和文档的配置）
3、配置虚拟目录
4、配置虚拟主机
5、浅谈Web站点的安全性
实验网络拓扑：



实验步骤1. IIS 6.0的安装
IIS（Internet Information Services，Internet信息服务）主要用于Windows环境中，同样也是Microsoft公司提供的，存放在Windows server 2003操作系统中的组件中。IIS 6.0主要包含的组件有WWW、FTP、SMTP Server、NNTP Servcer、Internet信息服务管理器、Internet打印、后台智能传输服务（BITS）服务器扩展等等。

1.1、 首先在开始菜单里选择“控制面板”---“添加或删除程序”---“添加/删除Windows组件(A)，打开windows组件安装向导。







1.2、 选择“应用程序服务器”组件，然后勾选“Internet信息服务（IIS），如图点击“下一步”则里面的所有的子组件都默认被安装上了。这并不是我们所需要的，而且安装起来非常慢。







2. 配置Web站点
2.1、 在选择了“Internet 信息服务（IIS）”之后，点击“详细信息”选择“万维网服务”进行安装就可以了。







2.2、 安装完成之后，通过“开始”—“程序”—“管理工具”—“Internet 信息服务(IIS)管理器”打开管理站点的服务器界面。（默认情况下，主机里对于的子目录里已经建立好了一个默认站点，描述为“默认站点”







2.3、 网站的IP地址与TCP端口的配置
选择“默认站点”右键单击“属性”，打开站点的属性，然后选择“网站”窗口，
网站---网站标识：
描述(S)：可以描述一个站点是干什么的，默认为“默认站点”这里改为“上海站点”方便管理员使用控制台管理。
IP地址(I)：输入此站点的IP地址，一台主机的IP地址可以有多个，这里任意选择一个即可，后面的“高级”选项主要是为了配置“主机头”使用的。
TCP端口(T)：web服务器使用的是HTTP协议或者基于加密的HTTPS协议（银行大部分都使用这种协议），而HTTP协议默认使用的端口号为TCP 80端口，HTTPS协议默认使用的端口号为TCP 443端口，如果使用默认端口号，客户端再访问的时候，就不需要在网址后面加入端口便可以访问，例如http://shanghai.xiaonuo.com:8080/
网站---连接：
连接超时：在框中键入数字（以秒为单位）设置服务器在断开与非活动用户的连接之前等待的时间，默认为120秒。这项设置在启用了“保持HTTP连接”勾选状态才有效。
保持HTTP连接：勾选该选项可以使客户端与Web服务器保持连接，进一步访问该服务器上的网页时不需要重新建立连接。如果禁用了“保持HTTP连接”，那么浏览器将不得不为包含多个元素的页面进行大量的连接请求，可能需要为每个元素进行单独的连接。这些额外的请求和连接要求额外的服务器活动和资源，这将会降低服务器的性能。建议启用“保持HTTP连接”。时间上用“连接超时”加以限制。
网站---启用日志服务：
活动日志格式：主要保存客户端访问Web服务器的日志记录。默认为 “W3C扩展日志文件格式”，日志记录的内容可以通过“属性”进行设置。




2.4、 主目录的设置
设置主目录之前，首先在本地磁盘（或者远程磁盘）上创建一个Web站点的目录shanghai，并在里面编辑一个文档并以shanghai.htm网页的格式命名以便做测试。
完成这些操作的过程也可以在命令提示符下进行操作，如下所示：







主目录的设置主要是设置客户端访问此站点的一些权限以及主目录的存放问题。通过设置主目录可以将网页发布到Web站点上。
主目录的资源一般有三个来源：
此计算机上的目录：也就是在本地磁盘建立的目录，默认目录存放的位置为“%systemroot%\inetpub\wwwroot”,将此目录修改为C:\shanghai目录下。
另一台计算机上的共享：将网页存放在网络中其它计算机上，要求使用UNC（访问共享文件夹的路径）路径，并需要用户访问权限。
重定向到URL：选择该选项时，客户如果访问次Web站点，则会重定向到其它站点。
设置完之后，可以指定客户端访问此web服务器的权限，默认为“读取”、“记录访问”和“资源索引”权限。




2.5、 文档的设置，也就是主页的设置。
设置完目录之后，需要将所有网页连接到首页上，然后通过首页进行访问。首先，打开上海站点属性里的“文档”，默认情况下，有四个首页“Deault.htm，Default.asp,index.htm，iisstart.htm”其中，index.htm是我们最常用的，当然也可以自己指定首页，如上海站点的首页为shanghai.htm，可以通过“添加”按钮将shanghai.htm添加进来，然后，将其移动到最顶端，当应用的时候，服务器是从上到下进行首页搜索的，放到最顶端的目的是为了让客户端更快的找到首页，其次是为了避免造成首页的混乱。







2.6、 测试上海站点的Web网页
在DNS服务器的正向查找区域（xiaonuo.com）里添加一台主机，命名为shanghai，IP地址为192.168.0.1(web站点的IP地址)。
然后在客户机端设置TCP/IP的具体参数，DNS指向192.168.0.2。打开IE浏览器输入http://shanghai.xiaonuo.com/看是否能浏览到刚才创建的站点首页内容。







3. 配置虚拟目录
刚才在C盘建立的目录C:\shanghai为主目录，也叫物理目录，主目录里也可以创建不同的子文件夹来存放不同的内容。如果文件很多，主目录的空间可能不足，就需要将上述的文件存放到其它分区或者其它计算机上，而用户访问时上述文件夹在逻辑上还归属于网站之下，这种归属于网站之下的目录称为虚拟目录。可以利用虚拟目录将一个网站的文件分散存储在同一计算机的不同路径和其它计算机中，这些目录在逻辑上归属于主目录。这样做的好处有1、将数据分散保存到不同的磁盘或者计算机上，便于分别开发于维护。2、当数据移动到其它物理位置时，不会影响到Web站点的逻辑结构。

3.1、 创建虚拟目录
假设上海站点想添加两个栏目，一个是news栏目，将最新的新闻发布上去，另一个是products栏目，将最新开发出来的产品特性发布上去。需要新建两个虚拟目录，首先在%systemroot%下新建两个目录，然后在里面各添加一个首页，并以此命名为news.htm、products.htm。
右击“上海站点，选择“新建”—“虚拟目录”写入别名“news”










路径写入虚拟目录的实际物理位置




设置虚拟目录的权限，默认为“读取”。点击“完成”便建立好了news虚拟目录。以同样的方式建立products虚拟目录。







3.2、 配置虚拟目录
配置虚拟目录和配置主目录基本相同，注意：文档和本地路径的设置。







配置完成之后，首先在IIS管理器中进行浏览一下（右键单击相应的子目录，选择“浏览”），看是否能解析出虚拟目录里首页的内容。然后再在客户机上进行解析。解析时，需要输入http://shanghai.xiaonuo.com/news/或者http://shanghai.xiaonuo.com/products/进行浏览才行，这也就是我们平时在浏览网页所看到的一些连接而已。







4. 配置虚拟主机
为了提高硬件资源的利用率，可以在一台计算机上运行多个网站，而不需要另加什么硬件，这些网站称为虚拟主机。实现虚拟主机一般有三种方法：
1、 使用不同的IP地址（网页这IP地址是一对一的关系，这种方式需要足够的IP地址才行）
2、 使用不同的IP地址、不同的TCP端口（需要记忆端口号，不便于浏览，不过这个在一些需要增强安全性的网站而已有点用处）
3、 使用相同的IP地址和TCP端口、不同的主机头（通过主机头—本质上是站点对应的FQDN）进行区分不同站点。

4.1、 使用不同IP地址访问多个网站
首先在web服务器上添加多个IP地址，在TCP/IP属性的高级选项里添加。




然后，新建一个网站，并命名为北京站点，建立好之后，在主目录里将本地路径设置为C:\beijing\，IP地址设置为192.168.0.4，TCP端口号设置不变为80，文档中添加beijing.htm并移动到最顶层。













在DNS的正向查找区域xiaonuo.com里添加一条主机A记录为beijing，IP地址为192.168.0.4。设置完成之后，在客户端进行测试即可。







4.2、 利用相同的IP地址和TCP端口访问不同的网页。
首先，将Web上设置的多个IP地址删除掉，留下一个IP地址192.168.0.1，以免造成干扰，当将两个网站的IP地址和TCP端口号配置成一样时，就出现了网站冲突的现象，如下面所示，北京站点处于停止状态。




打开北京站点的“属性”，选择“网站”选项，然后输入TCP端口号为任意一个端口号（不能设置成80），最好在1024以后，因为1024以前的端口号都是具有特殊意义的，以免在网络中造成冲突，设置TCP端口号为3000，SSL端口可以设置为空，高级选项里的主机头也为空。




删除刚在在DNS的区域xiaonuo.com上配置的主机beijing记录，然后添加一条A记录，命名为beijing，并将IP地址也改为192.168.0.1。这样，北京网站和上海网站就使用了同一个IP地址了。







客户端每次访问的时候，最好清除一下DNS缓冲和网页缓冲（删除Cookies，删除文件，清除历史记录），访问的时候，应该在IE浏览器里输入http://beijing.xiaonuo.com:3000/，而http://shanghai,xiaonuo.com/等同于http://shanghai.xiaonuo.com:80/。













4.3、 配置主机头
网站之间的差异可以通过网络层的IP地址进行区分，同时也可以通过传输层的端口号进行区分。但是这都不是最好的解决办法，而最好的解决办法是让所有的网页使用相同的IP地址和端口地址。主机头便做到了这一点，它是通过区分各自的FQDN来实现的。

4.4、 配置上海网站的主机头，打开上海站点的属性,IP地址设置成192.168.0.1，端口号设置为80，然后选择IP地址的 “高级”选项，编辑192.168.0.1对应的主机头为shanghai.xiaonuo.com。以同样的方式打开北京站点的属性窗口，设置同样的IP地址和端口号，然后编辑IP地址的主机头为beijing.xiaonuo.com，这也就是现在网络上的好多虚拟主机租用为何如此便宜的原因了。










下面是在客户端进行的测试，可以看出，输入网址的时候是不需要输入端口号的。同时也没浪费IP地址。







5. Web站点的安全性
Web站点建立之后，就可以对用户提供信息浏览服务，通常是运行匿名访问的。但某些特殊网站（或者虚拟目录）要求用户提供用户账号和密码才能访问，或者限制某些IP地址能（或不能）访问。

5.1、 身份验证和访问控制
当客户端链接到Web站点时，Web站点会检查是否运行匿名访问（首先要检查IP地址是被允许的前提下）。如果Web站点不允许匿名访问，就必须输入用户账号和密码。
打开上海站点的属性窗口，选择“目录安全性”




单击“身份验证和访问控制”的“编辑”按钮
匿名身份验证：“启用匿名访问”使用户无须输入用户名和密码，便可以访问Web站点。当用户试图连接到网站时，Web服务器将连接分配给Windows用户账户IUSR_computername，此处的computername是允许IIS的计算机的名称，此用户在搭建IIS的web服务器的时候自动建立生成。
基本身份验证：该方法要求提供用户名和密码由于密码在网络上是以明文形式发送的，这些密码很容易被截取，所以安全性较低。
集成Windows身份验证：Windows集成身份验证比基本身份验证安全，而且在用户具有Windows域账户的内部网环境中能很好地发挥作用。在集成Windows身份验证中，浏览器尝试使用当前的用户在域登陆过程中使用的凭据，如果此尝试失败，就会提示改用户输入用户名和密码。如果用户作为域用户登陆到本地计算机，则此用户在访问该域中的网络计算机时不必再次进行身份验证。该身份验证不能通过代理服务器使用。
Windows域服务器的摘要式身份验证：摘要式身份验证比基本身份验证安全。在使用摘要身份验证时，密码不是以明文形式发送。摘要身份验证比集成Windows身份验证优越的地方是前者可以通过代理服务器使用。Windows域服务器的摘要式身份验证需要使用域用户。
.NET passport身份验证：Miscrosoft .NET Passport是一项用户身份验证服务，它允许单一签入安全性，可使用户在访问启用了.NET Passort的网站和服务时更改安全。启用了.NET Passport的站点依靠.NET Passport中央服务器来对用户进行身份验证，但是，改中央服务器不会授权或拒绝特定用户对各个启用了.NET Pssport的站点进行访问。控制用户的权限由网站负责。选择此选项时，对IIS的请求必须在查询字符串或Cookie中包含有效的.NET Passport凭据。如果IIS不检测.NET Passport凭据，这些请求就会被重定向到.NET Passport登陆页。
注意：如果激活了匿名访问，则匿名访问会比其它身份验证方法优先。




首先，在web服务器上创建一个用户命名为zhangsan，密码为123456，然后在上海站点上右键选择“权限”添加zhangsan用户，并设置为读取权限即可。




不勾选“启用匿名访问”，勾选“集成Windows身份验证”，然后在客户端的IE浏览器里输入http://shanghai.xiaonuo.com （注意：清除客户端IE浏览器的缓冲和DNS缓冲）便出现了一个登陆对话框，此时要求你输入具有访问网页权限的用户名和密码，输入刚才创建的用户名和密码即可访问。







5.2、 IP地址和域名限制
除了上述访问可以增加网站的安全性之外，也可以通过排除一些IP地址、IP段或者域名访问web服务器。选择上海站点的“属性”里的“目录安全性”选择“IP地址和域名限制”的“编辑”，然后输入授权访问所要排除的IP地址，或者拒绝访问所要排除的IP地址。这里就选择授权访问，输入拒绝192.168.0.3的客户端。







在客户端输入http://shanghai.xiaonuo.com便可以查看到没有被授权访问的原因。




5.3、 网站性能配置
当你的网站宽带不是很高，而且访问量又比较大时，最好对“性能”加以限制，打开上海站点“属性”的“性能”窗口，可以限制用户访问网站的最大带宽，以及用户可以同时访问的人数，这种情况在学习和国家的一些基于网页的成绩查询系统比较常见。




5.4、 配置日志
如果网站启用了日志记录，管理员可以通过查看日志跟踪网站被访问的情况，如那些用户访问了本站点、访问者查看了什么内容，以及最后以此查看该信息的时间等，可以使用日志来评估内容受欢迎程度或识别信息瓶颈，有时还可以通过日志查处非授权用户访问网站以便采取对应措施。
启用日志的方法是打开上海站点“属性”的“网站”选项里，启用日志记录，然后选择属性，输入新日志的计划以及保存的文件目录。也可以通过“高级”选项选择你想要记录的内容。
注意：选择“高级”选项卡，只有当活动日志的格式为“W3C扩展日志文件格式”时才有效。













5.5、 安全性总结
打开上海站点的属性里的“自定义错误”选项中可以自己定义一些“自定义错误”，这样更有利于排除错误，不过，如果经验不足，最好不要更改，以免造成一些不必要的错误。




附件：http://down.51cto.com/data/2352016