IIS(InternetInformationServer互聯(lián)網(wǎng)信息服務).ppt

IIS（Internet Information Server，互聯(lián)網(wǎng)信息服務）,本章內(nèi)容 IIS基本配置 IIS的安全問題 IIS的輔助工具 提高IIS效率的方法,IIS簡介,IIS（Internet Information Server，互聯(lián)網(wǎng)信息服務）是一種Web（網(wǎng)頁）服務組件，其中包括Web服務器、FTP服務器、NNTP服務器和SMTP服務器，分別用于網(wǎng)頁瀏覽、文件傳輸、新聞服務和郵件發(fā)送等方面，它使得在網(wǎng)絡（包括互聯(lián)網(wǎng)和局域網(wǎng)）上發(fā)布信息成了一件很容易的事。本章內(nèi)容講述Windows 2000高級服務器版中自帶的IIS 5.0的配置和管理方法。 （目前最高版本是IIS 6.0),IIS是扮演所有用戶端服務要求的接口，和一般結(jié)構(gòu)不同的是對ASP文件的處理方式，當IIS收到ASP文件的服務要求時，它會調(diào)用必須的ISAPI或DLL程序，對ASP程序進行解釋執(zhí)行，經(jīng)過處理后，IIS再將結(jié)果轉(zhuǎn)為HTML格式傳回給使用者的Web瀏覽器。,IIS的安裝和運行,進入“控制面板”，依次選“添加/刪除程序添加/刪除Windows組件”，將“Internet信息服務（IIS）”前的小鉤去掉（如有），重新勾選中后按提示操作即可完成IIS組件的添加。用這種方法添加的IIS組件中將包括Web、FTP、NNTP和SMTP等全部四項服務。,IIS的運行,當IIS添加成功之后，再進入“開始程序管理工具Internet服務管理器”以打開IIS管理器，對于有“已停止”字樣的服務，均在其上單擊右鍵，選“啟動”來開啟。,建立第一個Web站點,請先在“默認Web站點”上單擊右鍵，選“屬性”，以進入名為“默認Web站點屬性”設置界面。 1修改綁定的IP地址：轉(zhuǎn)到“Web站點”窗口，再在“IP地址”后的下拉菜單中選擇所需用到的本機IP地址“”。,2修改主目錄：轉(zhuǎn)到“主目錄”窗口，再在“本地路徑”輸入（或用“瀏覽”按鈕選擇）好自己網(wǎng)頁所在的“D:Wy”目錄。,3添加虛擬目錄：比如你的主目錄在“D:Wy”下，而你想輸入“/test”的格式就可調(diào)出“E:All”中的網(wǎng)頁文件，這里面的“test”就是虛擬目錄。請在“默認Web站點”上單擊右鍵，選“新建虛擬目錄”，依次在“別名”處輸入“test”，在“目錄”處輸入“E:All”后再按提示操作即可添加成功。,4添加首頁文件名：轉(zhuǎn)到“文檔”窗口，再按“添加”按鈕，根據(jù)提示在“默認文檔名”后輸入自己網(wǎng)頁的首頁文件名“Index.htm”。,添加多個Web站點,多個IP對應多個Web站點 如果本機已綁定了多個IP地址，想利用不同的IP地址得出不同的Web頁面，則只需在“默認Web站點”處單擊右鍵，選“新建站點”，然后根據(jù)提示在“說明”處輸入任意用于說明它的內(nèi)容（比如為“我的第二個Web站點”）、在“輸入Web站點使用的IP地址”的下拉菜單處選中需給它綁定的IP地址即可；當建立好此Web站點之后，再按上步的方法進行相應設置。,一個IP地址對應多個Web站點,當按上步的方法建立好所有的Web站點后，對于做虛擬主機，可以通過給各Web站點設不同的端口號來實現(xiàn)，比如給一個Web站點設為80，一個設為81，一個設為82（如圖2），則對于端口號是80的Web站點，訪問格式仍然直接是IP地址就可以了，而對于綁定其他端口號的Web站點，訪問時必須在IP地址后面加上相應的端口號，也即使用如“:81”的格式。,很顯然，改了端口號之后使用起來就麻煩些。如果你已在DNS服務器中將所有你需要的域名都已經(jīng)映射到了此惟一的IP地址，則用設不同“主機頭名”的方法，可以讓你直接用域名來完成對不同Web站點的訪問。 比如你本機只有一個IP地址為，你已經(jīng)建立（或設置）好了兩個Web站點，一個是“默認Web站點”，一個是“我的第二個Web站點”，現(xiàn)在你想輸入“”可直接訪問前者，輸入“”可直接訪問后者。其操作步驟如下：,（1）請確保已先在DNS服務器中將你這兩個域名都已映射到了那個IP地址上；并確保所有的Web站點的端口號均保持為80這個默認值。 （2）再依次選“默認Web站點右鍵屬性Web站點”，單擊“IP地址”右側(cè)的“高級”按鈕，在“此站點有多個標識下”雙擊已有的那個IP地址（或單擊選中它后再按“編輯”按鈕），然后在“主機頭名”下輸入“”再按“確定”按鈕保存退出 （3）接著按上步同樣的方法為“我的第二個Web站點”設好新的主機頭名為“”即可。 （4）最后，打開你的IE瀏覽器，在地址欄輸入不同的網(wǎng)址，就可以調(diào)出不同Web站點的內(nèi)容了。,3多個域名對應同個Web站點,你只需先將某個IP地址綁定到Web站點上，再在DNS服務器中，將所需域名全部映射向你的這個IP地址上，則你在瀏覽器中輸入任何一個域名，都會直接得到所設置好的那個網(wǎng)站的內(nèi)容。,對IIS服務的遠程管理,1在“管理Web站點”上單擊右鍵，選“屬性”，再進入“Web站點”窗口，選擇好“IP地址”。 2轉(zhuǎn)到“目錄安全性”窗口，單擊“IP地址及域名限制”下的“編輯”按鈕，點選中“授權訪問”以能接受客戶端從本機之外的地方對IIS進行管理；最后單擊“確定”按鈕。,3則在任意計算機的瀏覽器中輸入如“:3598”（3598為其端口號）的格式后，將會出現(xiàn)一個密碼詢問窗口，輸入管理員帳號名（Administrator）和相應密碼之后就可登錄成功，現(xiàn)在就可以在瀏覽器中對IIS進行遠程管理了！在這里可以管理的范圍主要包括對Web站點和FTP站點進行的新建、修改、啟動、停止和刪除等操作。,IIS常見漏洞,（1）Null.htw IIS如果運行了Index Server就包含了一個通過Null.htw有關的漏洞，即服務器上不存在此.htw結(jié)尾的文件。這個漏洞會導致顯示ASP腳本的源代碼， global.asa里面包含了用戶帳戶等敏感信息。如果攻擊者提供特殊的URL請求給IIS就可以跳出虛擬目錄的限制，進行邏輯分區(qū)和ROOT目錄的訪問。而這個“hit-highlighting“功能在Index Server中沒有充分防止各種類型文件的請求，所以導致攻擊者訪問服務器上的任意文件。Null.htw功能可以從用戶輸入中獲得3個變量： CiWebhitsfile CiRestriction CiHiliteType 你可通過下列方法傳遞變量來獲得如default.asp的源代碼： http:/www.目標機.com/null.htw?CiWebhitsfile=/default.asp%20&%20 CiRestriction=none%20&%20&CiHiliteType=full其中不需要一個合法的.htw文件是因為虛擬文件已經(jīng)存儲在內(nèi)存中了。,（3）+.htr Bug 這個漏洞是由NSFOCUS發(fā)現(xiàn)的，對有些ASA和ASP追加+.htr的URL請求就會導致文件源代碼的泄露： http:/www.目標機.com/global.asa+.htr,4）NT Site Server Adsamples 漏洞 通過請求site.csc，一般保存在/adsamples/config/site.csc中，攻擊者可能獲得一些如數(shù)據(jù)庫中的DSN，UID和PASS的一些信息，如： http:/www.目標機.com/adsamples/config/site.csc,（5）webhits.dll & .htw 這個hit-highligting功能是由Index Server提供的允許一個WEB用戶在文檔上highlighted（突出）其原始搜索的條目，這個文檔的名字通過變量CiWebhitsfile傳遞給.htw文件，Webhits.dll是一個ISAPI應用程序來處理請求，打開文件并返回結(jié)果，當用戶控制了CiWebhitsfile參數(shù)傳遞給.htw時，他們就可以請求任意文件，結(jié)果就是導致可以查看ASP源碼和其他腳本文件內(nèi)容。要了解你是否存在這個漏洞，你可以請求如下條目： http:/www.目標機.com/nosuchfile.htw 如果你從服務器端獲得如下信息： format of the QUERY_STRING is invalid 這就表示你存在這個漏洞。,ISM.DLL 緩沖截斷漏洞,這個漏洞存在于IIS4.0和5.0中，允許攻擊者查看任意文件內(nèi)容和源代碼。通過在文件 名后面追加近230個+或者?%20?（這些表示空格）并追加?.htr?的特殊請求給IIS，會使IIS認為客戶端請求的是?.htr?文件，而.htr文件的后綴映射到ISM.DLL ISAPI應用程序，這樣IIS就把這個.htr請求轉(zhuǎn)交給這個DLL文件，然后ISM.DLL程序把傳遞過來的文件打開和執(zhí)行，但在ISM.DLL 截斷信息之前,緩沖區(qū)發(fā)送一個斷開的 .Htr 并會延遲一段時間來返回一些你要打開的文件內(nèi)容?？墒且⒁猓?WEB 服務停止并重啟過，否則這攻擊只能有效執(zhí)行一次。如果已經(jīng)發(fā)送過一個 .htr 請求到機器上,那么這攻擊會失效.它只能在 ISM.DLL 第一次裝入內(nèi)存時工作。 http:/www.目標機.com/global.asa%20%20（.=230）global.asa.htr,IIS存在的Unicode解析錯誤漏洞,NSFOCUS安全小組發(fā)現(xiàn)微軟IIS 4.0和IIS 5.0在Unicode字符解碼的實現(xiàn)中存在一個安全漏洞，導致用戶可以遠程通過IIS執(zhí)行任意命令。當IIS打開文件時，如果該文件名包含unicode字符，它會對其進行解碼，如果用戶提供一些特殊的編碼，將導致IIS錯誤的打開或者執(zhí)行某些web根目錄以外的文件。 你可以使用下面的方法利用這個漏洞： （1） 如果系統(tǒng)包含某個可執(zhí)行目錄，就可能執(zhí)行任意系統(tǒng)命令。下面的URL可能列出當前目錄的內(nèi)容： http:/www.目標機.com/scripts/%c1%1c/winnt/system32/cmd.exe?/c+dir （2） 利用這個漏洞查看系統(tǒng)文件內(nèi)容也是可能的： http:/www.目標機.com/a.asp/%c1%1c/%c1%1c/winnt/win.ini 這個漏洞是針對中文操作平臺，你也可以使用“%c0%af“或者“%c1%9c“來測試英文版本，原因就是編碼不同。,Win2000+IIS 5.0安全配置規(guī)范,Windows 2000安全配置 確保所有磁盤分區(qū)為NTFS分區(qū) 操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū) 不要安裝不需要的協(xié)議，比如IPX/SPX, NetBIOS? 不要安裝其它任何操作系統(tǒng) 安裝Service Pack 安裝hotfix，一般需要安裝如下補丁 * Q260347_W2K_sp2_x86_cn(IISCrosssite) * Q262694_W2K_SP2_x86_CN(resetBrowseForm) * Q269049_W2K_SP2_x86_CN(shellpath) * Q269862_W2K_SP2_x86_CN(unicode) * Q270676_W2K_SP2_x86_CN(shurufa) * Q272743_W2K_SP2_x86_CN(NTLM) * Q277873_W2K_sp2_x86_CN(filerequest) * Q278499_W2K_sp2_x86_CN(indexserv) * Q280322_W2K_sp2_x86_CN(malwebform) * q285851_w2k_sp3_x86_cn(netdde) 具體可參考微軟網(wǎng)站：/Windows2000/downloads, 關閉所有不需要的服務 * Alerter (disable) * ClipBook Server (disable) * Computer Browser (disable) * DHCP Client (disable) * Directory Replicator (disable) * FTP publishing service (disable) * License Logging Service (disable) * Messenger (disable) * Netlogon (disable) * Network DDE (disable) * Network DDE DSDM (disable) * Network Monitor (disable) * Plug and Play (disable after all hardware configuration) * Remote Access Server (disable) * Remote Procedure Call (RPC) locater (disable) * Schedule (disable) * Server (disable) * Simple Services (disable) * Spooler (disable) * TCP/IP Netbios Helper (disable) * Telephone Service (disable),在必要時禁止如下服務： * SNMP service (optional) * SNMP trap (optional) * UPS (optional 設置如下服務為自動啟動： * Eventlog ( required ) * NT LM Security Provider (required) * RPC service (required) * WWW (required) * Workstation (leave service on:will be disabled later in the document) * MSDTC (required) * Protected Storage (required),. 刪除 OS/2 和 POSIX 子系統(tǒng): 刪除如下目錄的任何鍵： HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 Subsystem for NT 刪除如下的鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerEnvironmentOs2LibPath 刪除如下的鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptional HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosix HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2 刪除如下目錄： c:winntsystem32os2,. 帳號和密碼策略,1） 保證禁止guest帳號 2） 將administrator改名為比較難猜的帳號 3） 密碼唯一性：記錄上次的 6 個密碼 4） 最短密碼期限：2 5） 密碼最長期限：42 6） 最短密碼長度：8 7） 密碼復雜化(passfilt.dll)：啟用 8） 用戶必須登錄方能更改密碼：啟用 9） 帳號失敗登錄鎖定的門限：6 10）鎖定后重新啟用的時間間隔：720分鐘,保護文件和目錄,將C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目錄的訪問權限做限制，限制everyone的寫權限，限制users組的讀寫權限 注冊表一些條目的修改 1） 去除logon對話框中的shutdown按鈕 將HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogon中 ShutdownWithoutLogon REG_SZ 值設為0 2） 去除logon信息的cashing功能 將HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogon中 CachedLogonsCount REG_SZ 值設為0,3） 隱藏上次登陸的用戶名 將HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogon中 DontDisplayLastUserName REG_SZ 值設為1 4）限制LSA匿名訪問 將HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlLSA中 RestricAnonymous REG_DWORD 值設為1 5） 去除所有網(wǎng)絡共享 將HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanManServerParameters中 AutoShareServer REG_DWORD 值設為0 . 啟用TCP/IP過濾 只允許TCP端口80和443（如果使用SSL） 不允許UDP端口 只允許IP Protocol 6 (TCP),. 移動部分重要文件并加訪問控制： 創(chuàng)建一個只有系統(tǒng)管理員能夠訪問的目錄，將system32目錄下的一些重要文件移動到此目錄： xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe, , netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe 安裝防病毒軟件,. 可以下載Hisecweb.inf安全模板來配置 Http://downl.US/hisecweb.exe 該模板配置基本的 Windows 2000 系統(tǒng)安全策略。 將該模板復制到 %windir%securitytemplates 目錄。 打開“安全模板”工具，查看這些設置。 打開“安全配置和分析”工具，然后裝載該模板。 右鍵單擊“安全配置和分析”工具，然后從上下文菜單中選擇“立即分析計算機”。 等候操作完成。 查看結(jié)果，如有必要就更新該模板。 右鍵單擊“安全配置和分析”工具，然后從上下文菜單中選擇“立即配置計算機”。,IIS的安全配置, 關閉并刪除默認站點： 默認FTP站點 默認Web站點 管理Web站點 建立自己的站點，與系統(tǒng)不在一個分區(qū)，如 D:wwwroot3 建立 E:Logfiles 目錄，以后建立站點時的日志文件均位于此目錄，確保此目錄上的訪問控制權限是： Administrators（完全控制）System（完全控制） 刪除IIS的部分目錄： IISHelp C:winnthelpiishelp IISAdmin C:system32inetsrviisadmin MSADC C:Program FilesCommon FilesSystemmsadc 刪除 C:inetpub,. 刪除不必要的IIS映射和擴展： IIS 被預先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應刪除該 映射，步驟如下： 打開 Internet 服務管理器： 選擇計算機名，點鼠標右鍵，選擇屬性： 然后選擇編輯 然后選擇主目錄， 點擊配置 選擇擴展名 “.htw“,“.htr“,“.idc“,“.ida“,“.idq“和“.printer“，點擊刪除 如果不使用server side include，則刪除“.shtm“ “.stm“ 和 “.shtml“,. 禁用父路徑 : “父路徑”選項允許您在對諸如 MapPath 函數(shù)調(diào)用中使用“”。在默認情況下，該選項 處于啟用狀態(tài)，應該禁用它。 禁用該選項的步驟如下： 右鍵單擊該 Web 站點的根，然后從上下文菜單中選擇“屬性”。 單擊“主目錄”選項卡。 單擊“配置”。 單擊“應用程序選項”選項卡。 取消選擇“啟用父路徑”復選框。,. 在虛擬目錄上設置訪問控制權限 主頁使用的文件按照文件類型應使用不同的訪問控制列表： CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators（完全控制） System（完全控制） 腳本文件 (.asp) Everyone (X) Administrators（完全控制） System（完全控制） include 文件 (.inc, .shtm, .shtml) Everyone (X) Administrators（完全控制） System（完全控制） 靜態(tài)內(nèi)容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制） System（完全控制） 在創(chuàng)建Web站點時，沒有必要在每個文件上設置訪問控制權限，應該為每個文件類型創(chuàng)建一個新目錄，然后在每個目錄上設置訪問控制權限、允許訪問控制權限傳給各個文件。 例如，目錄結(jié)構(gòu)可為以下形式： D:wwwrootmyserverstatic (.html) D:wwwrootmyserverinclude (.inc) D:wwwrootmyserver script (.asp) D:wwwrootmyserver executable (.dll) D:wwwrootmyserverimages (.gif, .jpeg),. 啟用日志記錄,確定服務器是否被攻擊時，日志記錄是極其重要的。 應使用 W3C 擴展日志記錄格式，步驟如下： 打開 Internet 服務管理器： 右鍵單擊站點，然后從上下文菜單中選擇“屬性”。 單擊“Web 站點”選項卡。 選中“啟用日志記錄”復選框。 從“活動日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。 單擊“屬性”。 單擊“擴展屬性”選項卡，然后設置以下屬性： * 客戶 IP 地址 * 用戶名 * 方法 * URI 資源 * HTTP 狀態(tài) * Win32 狀態(tài) * 用戶代理 * 服務器 IP 地址 * 服務器端口,IIS的輔助工具,使用MetaBase，管理員可以完成關于IIS的所有工作，例如，建立一個虛擬目錄；停止、啟動或暫停Web站點；建立、刪除、禁止或啟用應用程序。微軟提供了一個可視化工具MetaEdit幫助你讀寫MetaBase，你可以在這里下載它的最新版本。為了更有效地利用MetaBase，你應該試一下命令行接口-IIS Administration Script，簡稱為adsutil.vbs，你可以在C:inetpubadminscripts或者%SystemRoot%system32inetsrvadminsamples目錄下找到它。,IIS的輔助工具-站點內(nèi)容壓縮,可以使用pipeboost壓縮站點功能,IIS的輔助工具-Web應用程序緩存,你可以把不同的文件或目錄設置過期時間，打開IIS信息服務器，右擊站點內(nèi)容，單擊屬性，在跳出來的窗體中你就可以進行相應的設置了。如果你想讓開發(fā)者自己設置，請使用CacheRight 、XCache這些軟件,IIS的輔助工具-站點的安全,找出你的服務器信息和操作系統(tǒng)信息是攻擊者的第一個目標，所以不要暴露你的HTTP頭讓別人知道你運行的是IIS，使用 ServerMask這類軟件將HTTP頭刪除或替換掉。其次，你可以通過刪除不必要的文件擴展名來進一步安裝你的服務器環(huán)境。另外，你還可以掃描有問題的URL請求，微軟提供了一個免費工具-URLScan。,IIS的輔助工具-補丁,下載安裝最新的補丁。你可以到微軟的站點，也可以到/，用IIS作為關鍵詞查詢。,IIS信息服務器排錯,IIS服務器出錯的原因是復雜的。象服務啟動失敗、IIS進程中斷或者站點不能啟動這些錯誤都會在系統(tǒng)日志中記錄一個錯誤事件。不論IIS出現(xiàn)何種錯誤，在確定排錯方案之前，都應先使用事件查看器查閱系統(tǒng)日志所記錄的相關事件。某些錯誤顯然是由服務器硬件的損壞而造成的，而另一些由于軟件原因造成的錯誤往往不易察覺。,重新啟動IIS,大多數(shù)軟件問題可以通過重新啟動到方法得以解決。作為IIS5.0的新功能之一，我們可以在不重新啟動計算機的情況下重啟IIS服務，甚至相當嚴重的問題都可以采用這種方法解決。重新啟動IIS服務可以強迫系統(tǒng)重置IIS進程的內(nèi)存空間，故由于內(nèi)存錯誤引起的問題可以得到解決。重啟IIS的方法主要用于下列情況：網(wǎng)站應用程序癱瘓、且不能有效加以控制；網(wǎng)站應用程序工作不正?；蛘卟环€(wěn)定。重新啟動IIS服務的過程中，全部當前連接都不能保留，且重啟期間服務器上的全部站點都不能工作。如果重啟IIS服務不能解決問題，則重啟服務器亦不會有效。,當站點應用程序不能正常工作時，按照下述步驟重新啟動服務器的IIS服務： 1在IIS管理控制樹中展開IIS節(jié)點，選擇需要重新啟動IIS服務的計算機。 2單擊【操作】菜單，選擇【重新啟動IIS】。 3在【停止/啟動/重新啟動】對話框中的【您向要IIS做什么】下拉列表中選擇【重新啟動服務器的IIS】 ，單擊【確定】。 4正在關閉】對話框顯示重新啟動IIS的進度，如果對話框長時間沒有反應，單擊【現(xiàn)在結(jié)束】并重新進行上述操作。 注意： 對于單個站點的穩(wěn)定性問題，不必重新啟動整個IIS進程，只要重啟站點即可。,備份/還原IIS,IIS的實現(xiàn)機制包括一個類似注冊表的元數(shù)據(jù)庫：MetaBase，有關IIS本身和站點的配置屬性全部保存在Windows 2000和元數(shù)據(jù)庫MetaBase中。因此，只要將相關的注冊表和元數(shù)據(jù)庫進行備份，即可保存站點相關的全部配置。即使在刪除站點甚至重新安裝IIS之后，仍然能夠利用備份恢復到原來的狀態(tài)。,備份IIS的步驟如下： 1在IIS管理器中展開IIS節(jié)點，選擇向要備份的計算機。 2單擊【操作】菜單，選擇【備份/還原配置】。 3在【備份/還原配置】對話框中的【備份】列表中列出全部備份文件以及備份時間。單擊【創(chuàng)建備份】按鈕。 4在【備份配置】對話框中指定新建備份的名稱，單擊【確定】。 5單擊【關閉】完成備份。 默認情況下，備份文件將保存在 Winntsystem32inetsrvMetaBack目錄中。,IIS內(nèi)置的備份、還原功能只能在本地服務器中使用，但如果想在網(wǎng)絡中移植IIS網(wǎng)站配置信息到其它服務器，該工具就顯得力不從心了。 專門的備份工具 IIS備份精靈 IIS備份精靈只能用在相同版本的IIS網(wǎng)站間配置信息的移植 IIS Export Utility 可以對不同版本的IIS站點配置信息進行移植,恢復備份的方法與此類似，在【備份/還原配置】對話框中的【備份】列表中選擇一個備份文件，單擊【還原】。然后再如左圖所示的提示對話框中單擊【確定】，一段時間之后，IIS服務器恢復到進行備份時所處的狀態(tài)。,提高IIS網(wǎng)站服務器效率,1. 啟用HTTP的持續(xù)作用可以改善1520%的執(zhí)行效率。 2. 不啟用記錄可以改善58%的執(zhí)行效率。 3. 使用 獨立 的處理程序會損失20%的執(zhí)行效率。 4. 增加快取記憶體的保存文檔數(shù)量，可提高ActiveServer Pages之效能。 5. 勿使用CGI程式 6. 增加IIS 5.0電腦CPU數(shù)量。 7. 勿啟用ASP偵錯功能。 8. 靜態(tài)網(wǎng)頁采用HTTP 壓縮，大約可以減少20%的傳輸量。,1、啟用HTTP的持續(xù)作用 啟用HTTP的持續(xù)作用（Keep-Alive）時，IIS與瀏覽器的連線不會斷線，可以改善執(zhí)行效率，直到瀏覽器關閉時連線才會斷線。因為維持Keep-Alive狀態(tài)時，于每次用戶端請求時都不須重新建立一個新的連接，所以將改善服務器的效率。 此功能為HTTP 1.1預設的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持續(xù)作用功能。,2、啟用HTTP的持續(xù)作用可以改善1520%的執(zhí)行效率。 如何啟用HTTP的持續(xù)作用呢？步驟如下： 在 Internet服務管理員 中，選取整個IIS電腦、或Web站臺，內(nèi)容 之 主目錄 頁，勾選 HTTP的持續(xù)作用 選項。,3、不啟用記錄 不啟用記錄可以改善58%的執(zhí)行效率。 如何設定不啟用記錄呢？步驟如下： 在 Internet服務管理員 中，選取整個IIS電腦、或Web站臺，於 內(nèi)容 之 主目錄 頁，不勾選 啟用記錄 選項。 設定非獨立的處理程序 使用 獨立 的處理