IIS配置WEB服务器

IIS配置WEB服务器

创建Web和FTP服务器是创建Internet信息服务器(IIS)的最重要的内容，通过Web服

务器，用户可以有效直观的将信息发布给内部用户和Internet远程用户；通过FTP服务器，

可实现服务器和客户机之间的快速文件传输。

IIS安装好之后，会自动创建一个默认的Web站点和一个默认的FTP站点，供用户快速

发布内容。用户也可自己创建Web站点和FTP站点，以扩大和丰富自己的Web服务器和FTP

服务器上的信息。对于Web服务器来说，还可利用服务器扩展功能来增强Web站点的功能。

一、IIS 提供的基本服务:

 WWW服务：支持最新的超文本传输协议（HTTP）1.1标准，运行速度更快，安

全性更高，还可以提供虚拟主机服务。WWW服务是指在网上发布可以通过浏览器观看的

用HTML标识语言编写的图形化页面的服务。IIS允许用户设定数目不限的虚拟Web站点。

 FTP服务：支持文件传输协议（FTP）。主要用于网上的文件传输。IIS允许用户设

定数目不限的虚拟FTP站点，但是每一个虚拟FTP站点都必须拥有一个唯一的IP地址或

端口。IIS不支持通过主机名区分不同的虚拟FTP站点。

 SMTP服务：支持简单邮件传输协议（SMTP）。IIS 允许基于Web的应用程序传

送和接收信息。启动SMTP服务需要使用NT操作系统的NTFS文件系统。

 除上述服务之外，IIS还可以提供NNTP Service等服务。本篇将主要讨论其中最重

要的WWW服务，读者在真正熟悉WWW服务之后，其它类型的服务也可做到触类旁通。

二、主目录（注：文章中“客户”指Web站点的访问者，“用户”指IIS 的使用者）

主目录是Web或FTP站点发布树的顶点，也是站点访问者的起点，它不但包含一个主

页，而且还包含指向其他网页的链接。如果要通过主目录发布信息，请将信息文件置于主

目录中，或将其组织到主目录的子目录中。

主目录及其子目录中的所有文件自动对站点访问者开放。如果访问者知道所需访问文

件的正确路径和文件名，即使主页中没有指向这些文件的链接，访问者也可查看该文件。

因此，请将那些需访问者查看的文件保存在主目录或子目录中。

每个Web站点必须有一个主目录，对Web站点的访问实际上是对站点主目录的访问。

主目录之所以能被其他访问者访问，是因为它被映射到站点的域名。例如，如果站点的

Internet域名是， 而主目录是D:WebsiteLWH， 则客户浏览器使用

/可访问D:WebsiteLWH 目录中的文件。

IIS的默认主目录为Inetpubwwwroot，通过它可快速、轻松地发布信息，但是，如

果用户想发布的所有文件已经位于一个目录中，可以将默认主目录更改为文件目前所在的

目录，而不要移动文件。

三、虚拟目录

虚拟目录是指物理上并不包含在主目录中，但对于访问WEB站点的用户来说，此目录

好像确实存在。比如，有“/news”之类的地址，“news”可以是“主目录”

的下一级目录（姑且称之为“实际目录”），也可以在其它任何目录下，也即所谓的“虚拟

目录”。创建虚拟目录就是建立一个实际目录指针。用户在浏览器地址栏中输入IP

地址/别名 可访问网页。

四、站点属性的设置：Web和FTP服务器创建好之后，还需要进行适当的管理才能

使用户的信息安全有效的被其他访问者访问。Web和FTP服务器的管理基本相同，包括

一些常规管理和安全管理，下面对其进行介绍。

注意，IIS中的属性具有继承性，子级目录自然继承上级目录的相同属性。

1、Web站点标识。

说明: 用于描述web站点。

IP地址：用户分配给该站点的IP地址。在高级对话框中还可以进一步的设定该站点的

IP地址，TCP端口号以及主机名称等（注：同一台Web服务器中，可以具有不同IP地址

或不同主机名的多个站点）。

TCP端口：缺省值为80，用户可以根据自己的需要进行改动。

SSL端口：指定使用安全套接字层（SSL）的端口。

连接： 无限--不限制同时连接站点的用户数量。

限制到--读者可以根据需要限定在同一时刻连接站点的用户数量。

连接超时--如果访问用户在指定的时间范围内没有发出新的访问请求，Web服务器自

动中断与该用户的连接。

启用日志： 在提供给用户的日志格式选择中，NCSA为较通用格式，W3C为扩展格

式，ODBC为数据库日志格式。在属性对话框中，可以进一步的设定日志记录的时间间隔

单位，以及日志文件的存放位置。

2、操作员

通过该项可以在windows用户帐号中指定对站点拥有操作权的用户帐号（注：操作

员帐号不一定必须是 Windows管理员组的成员，操作员只具有有限的站点管理权限）。

3、性能

性能调整：可以根据站点的具体情况设定每天访问站点的人数。该项可以相应的调整

Web站点所占用的系统内存的大小。

带宽限制：启用带宽限制将会限制Web站点所能够使用的带宽。

连接配置：“保留 HTTP 连接”允许客户维持与服务器已经打开的连接，而不要求对

客户的每个新请求都启用新的连接。

4、ISAPI配置器

设置用于处理 HTTP 请求过程中的对事件作出响应的程序。

5、主目录：

内容应该来自于：

此计算机上的目录――要用本地计算机上的内容作为主目录的目录内容；

另一计算机上的共享位置――要从网络上的其他计算机上查找目录内容作为主目录的内

容；

重定向到URL――要将主目录的目录内容重定向到Internet上的某个Web站点。

本地路径：输入主目录的路径。如果用户不知道目录的确切路径，可单击“浏览”按

钮，打开“浏览文件夹”对话框进行选择。

访问许可：设置客户对站点内容的访问权限。

内容控制：

日志访问――将在日志文件中记录对站点目录的访问；

允许浏览目录――可以在当客户没有指定具体的访问页面，而且站点也没有设定默认页

面时自动生成一个目录

内容控件：

索引此目录――将指定目录加入Web站点的全文索引（注：需安装Microsoft Index

Server ）；Front Page Web――将在Web 站点中创建一个 FrontPage Web目录。

应用程序设置：

在分开的内存空间运行： 选定该选项将使应用程序独立于 Web 服务器进程单独运

行。当应用程序出现错误时，使其他应用程序（包括 Web 服务器）免受影响。

许可：

无――不允许在服务器端运行任何程序或脚本。

脚本――允许运行映射到脚本引擎的应用程序而不必拥有“执行”权限。

执行（包括脚本）――允许运行脚本程序，dll以及exe程序。

6、文档标签

启用默认文档：当访问客户没有具体指定浏览页面文档时显示的默认页面。此项作用

是，当在浏览器中只输入域名（或IP地址）后，系统会自动在“主目录”中按“次序”（由

上到下）寻找列表中指定的文件名，如能找到第一个则调用第一个；否则再寻找并调用第

二个、第三个……如果“主目录”中没有此列表中的任何一个文件名存在，则显示找不到文

件的出错信息。

启动文档脚注：可以自动为网站的页面加上脚注，可以用于添加站点的LOGO等。这

些内容不但会大大地增加用户Web站点的可读性，而且还可引导访问者对用户Web站点

以后内容的阅读。另外，网页页脚还可以减少Web服务器的执行的时间。如果用户的Web

站点被其他访问者频繁的访问，使用文档页脚是非常有用的。要添加网页页脚，可在“文

档”选项卡中，选择“启用文档页脚”复选框；在“启用文档页脚”文本框中输入页脚文

件的完整路径。

7、目录安全性标签

匿名访问和安全控制（单击编辑进入配置）：

允许匿名访问――指定一个用户帐号，使所有网站的访问者使用该帐号以匿名方式登录。

基本验证――验证来访客户的用户名和密码（注：此项在不使用匿名登录方式或已经在

NTFS文件系统中设置访问控制时有效）。

Windows NT挑战响应――只有在禁用匿名方式或在NTFS文件系统中设置访问控制时

有效，不支持挑战响应方式的浏览器将被禁止访问。

IIS提供了三种登录认证方式，它们分别是匿名方式、明文方式和询问/应答方式。用

户采用那种方式取决于用户建立IIS的目的。

如果用户建立站点的目的是为了做广告，那么可以选择匿名方式。因为访问者中的大

多数是第一次访问用户的站点，用户不可能也没有必要为他们建立帐户；如果希望为访问

者提供电子邮件寄存或信息交付等网络服务，则需要选用明文方式。因为在这种方式下，

访问者必须使用用户名和密码进行访问，可有效的保护私人邮件或信息的安全性；如果访

问者主要是企业内部的员工，并且希望服务器中的信息受到最安全的保护，可选择询问/

应答方式。这种方式要求访问者在访问之前先进行访问请求，在得到许可后才可进行访问。

不过这种方式要求访问者使用的浏览器必须是Internet Explorer浏览器，因为其他浏览器

不支持这种认证方式。

由于IIS对Web、FTP及SMTP虚拟服务器的访问都是匿名的，本节就以匿名访问为

例介绍如何进行安全认证设置。

1. 在“匿名访问和验证控制”选项区域中，单击“编辑”按钮，打开“验证方法”对

话框，如图14 - 2 6所示。

2.可选的验证方法有基本验证、Windows域服务器的简要验证和集成Windows验证。

一般选择集成Windows验证。因为基本验证是一种明文密码验证，可能会造成未经过加

密的密码在网络上传输；Windows域服务器的简要验证是一种简要的身份验证，使

Internet信息服务与Windows 2000域账号管理器一起工作进行验证，仅要求用户账号并

将账号密码保存为加密明文文本；不利于验证信息的安全性。

3．单击“编辑”按钮，打开如图14 - 2 7所示的“匿名账号”对话框进行设置。

4. 在安装IIS时，系统自动创建一个匿名账号：I U S R _计算机名，如果计算机名为

LY，则匿名账号为：I U S R _ LY。使用“I U S R _计算机名”账号可以将Web客户登录

到服务器上。允许匿名服务时，管理员可更改用户匿名请求的的用户账号，并可更改此账

号的密码。在“用户名”文本框中直接输入用户账号名，或者单击“浏览”按钮，选择一

个要添加的用户账号。

5. 在“匿名用户账号”对话框中，启用“允许I I S控制密码”复选框，或者在“密码”

文本框中输入用户账号密码。

安全通讯：使用密钥管理器建立认证请求。

IP地址和域名控制：当有大量的攻击和破坏来自于某些地址或者某个子网时，使用这

种限制机制是非常有用的。一般，只有基于企业内部网络的IIS才使用IP地址及域名进行

安全保护。

允许访问――向除指定的地址之外的所有客户授予访问权；

禁止访问――禁止除指定地址之外的所有客户的访问。

8、HTTP标题

允许内容过期：通过设置来保证自己站点的过期信息不被发布出去。当用户的Web

和FTP站点上的信息有很强的时效性时，进行过期内容设置是非常必要的，这不但有利于

净化用户的Web和FTP站点，而且有利于访问者进行信息查找。在启用过期内容时，用

户可直接为整个站点设置，也可为某个目录设置。

启动过期内容之后，Web浏览器会在浏览时比较当前日期时间与设置的过期日期时

间，以决定是显示原有信息还是更新的信息。

自定义HTTP标题： 用户自己编写的发送给客户浏览器的HTTP标题。

MIME（多用途Internet邮件扩展）映射： 设定由Web服务器传送给浏览器的文

件类型。

内容分级： 在HTTP标题中加入内容级别，使客户可以在浏览器端选择过滤不接受的

内容。

如果用户站点的内容并不是针对所有的访问者，就需要进行内容分级设置，以防止不

具备分级要求的其他访问者查看站点内容。通过分级服务设置，用户可以在每一个Web

页的HTTP标头插入一些描述性的标签。当访问者在对站点进行访问时，他的Web浏览

器能够先检查到每一个Web页的HTTP标头的分级服务要求，并根据浏览器的分级设置

和站点的分级要求来决定哪些内容可以浏览哪些内容不可以浏览。

在预设的情况下， Windows 2000起用的是RSAC分级服务系统进行分级服务。该

Internet分级主要针对暴力、性、裸体和语言四个方面进行分级设置。在设置分级服务内

容之前，用户须要上网填写一个R S A C分级问卷，以获得一些推荐的内容分级，以便更

好地进行分级设置。分级内容设置过程如下：

1.单击“编辑分级”按钮，打开“内容分级”对话框。

2. 在“分级服务”选项卡中，单击“详细信息”按钮，查看到R S A C分级服务的Internet

页，单击“分级问卷”按钮，可连接到R S A C站点上，填写分级问卷。

3. 对R S A C系统有所了解之后， 用户就可以设置分级服务的内容，以过滤公司的

Web页的内容。单击“分级”选项卡，并选择“分级”选项卡中的“此资源启用分级”复

选框。

4. 在“类别”列表框中，选择暴力、性、裸体和语言四个类别中的一种，分级滑块就

会显示出来，调节该滑块，可改变所选类别的分级级别。

5. 如果希望对自己的电子邮件进行分级服务，用户可以在“岁此内容分级人员的电子

邮件名”文本框中输入自己的电子邮件地址。

6. 如果希望单独为分级服务设置失效时间，可单击“失效于”下拉列表框中的下三角

按钮，从弹出的电子日历中选择一个日期。

9、自定义错

用户自己设定在出错时返还到浏览器的错误提示信息。

以上，是IIS的基本配置，只要在实践中多加练习，并结合用户帐号管理以及NTFS

文件系统的学习，就可以为自己建立起一个功能完善，性能稳定的Web浏览器。

10、安全与权限设置

安全与权限设置是I I S保证其站点安全的最重要的保护措施，它可用来控制怎样验证

用户的身份以及他们的访问权限。在权安全与限设置过程中，管理员不但可以设置权限和

站点安全的继承关系，而且还可以选择要应用的设置，包括验证方法、访问许可、IP地址

限制等设置。权限与安全设置过程如下：

1. 在如图14 - 5所示的快捷菜单中选择“所有任务” |“权限向导”命令，打开“权

限向导”对话框。单击“下一步”按钮，打开“安全设置”对话框，如图14 - 2 2所示。

2. 如果要从父站点或者虚拟目录继承安全性设置，应选择“继承所有的安全设置”单

选按钮；如果需要选取新的安全性设置，应选择“请从模板选取新的安全设置。

3. 单击“下一步”按钮，打开“ Windows 目录和文件权限”对话框，如图14 - 2 3

所示。

4. 如果要保持Windows 目录和文件权限，应选择“保持目录和文件权限”单选按钮；

如果要保持原来Windows 目录和文件权限并加入新设置的权限，应选择“原封不动地保

持当前的目录和文件许可配置，并加入推荐的许可权限”单选按钮。这里选择“推荐：替

换全部的目录和文件访问权限”单选按钮，以新设置的权限替换原有的目录和文件权限。

5. 单击“下一步”按钮，打开如图14 - 2 4所示的“安全摘要”对话框，在设置列表

框中选择要应用的设置，包括验证方法、访问许可、IP地址限制和文件A C L将不能被修

改等设置。

6. 单击“下一步”按钮，打开“您已成功的完成IIS 5.0‘权限向导’”对话框，再单

击“完成”即可完成设置。