Windows 網(wǎng)絡(luò)服務(wù)架構(gòu)

1、Windows 網(wǎng)絡(luò)服務(wù)架構(gòu)系列課程詳解Windows 網(wǎng)絡(luò)服務(wù)架構(gòu)系列課程詳解（三） -Web站點的部署方案 實驗背景：WWW（word wide web）服務(wù)，即萬維網(wǎng)服務(wù)，指在網(wǎng)上發(fā)布的，并可以通過瀏覽器觀看的圖形界面的服務(wù)。萬維網(wǎng)服務(wù)是通過建立Web站點來實現(xiàn)的。在信息技術(shù)高速發(fā)展的今天，Internet之所以如此風(fēng)行，WWW服務(wù)功不可沒。因為它操作簡單，界面魅力十足，可用來聯(lián)機購物、買書、看電影、聽廣播、看電視、玩游戲、找工作、查資料等。各大公司也通過Web站點提供售前售后服務(wù)，這種良性的互動行為，直接提升了整體信息環(huán)境的便利性和普及性。常用的WWW服務(wù)軟件，在Windows系統(tǒng)中是

2、IIS，在Linux系統(tǒng)中是Apache。本實驗主要介紹使用IIS 6.0（目前已經(jīng)為IIS7.0）在windows server 2003 上配置Web站點，實現(xiàn)WWW服務(wù)。實驗?zāi)康模?、 介紹IIS 6.0的安裝過程。2、 配置Web站點（重點是主目錄和文檔的配置）3、 配置虛擬目錄4、 配置虛擬主機5、 淺談Web站點的安全性實驗網(wǎng)絡(luò)拓撲：實驗步驟1. IIS 6.0的安裝IIS（Internet Information Services，Internet信息服務(wù)）主要用于Windows環(huán)境中，同樣也是Microsoft公司提供的，存放在Windows server 2003操作系統(tǒng)中的

3、組件中。IIS 6.0主要包含的組件有WWW、FTP、SMTP Server、NNTP Servcer、Internet信息服務(wù)管理器、Internet打印、后臺智能傳輸服務(wù)（BITS）服務(wù)器擴展等等。1.1、 首先在開始菜單里選擇“控制面板”-“添加或刪除程序”-“添加/刪除Windows組件(A)，打開windows組件安裝向?qū)А?1.2、 選擇“應(yīng)用程序服務(wù)器”組件，然后勾選“Internet信息服務(wù)（IIS），如圖點擊“下一步”則里面的所有的子組件都默認被安裝上了。這并不是我們所需要的，而且安裝起來非常慢。 2. 配置Web站點2.1、 在選擇了“Internet 信息服務(wù)（IIS）”

4、之后，點擊“詳細信息”選擇“萬維網(wǎng)服務(wù)”進行安裝就可以了。 2.2、 安裝完成之后，通過“開始”“程序”“管理工具”“Internet 信息服務(wù)(IIS)管理器”打開管理站點的服務(wù)器界面。（默認情況下，主機里對于的子目錄里已經(jīng)建立好了一個默認站點，描述為“默認站點” 2.3、 網(wǎng)站的IP地址與TCP端口的配置選擇“默認站點”右鍵單擊“屬性”，打開站點的屬性，然后選擇“網(wǎng)站”窗口，網(wǎng)站-網(wǎng)站標識：描述(S)：可以描述一個站點是干什么的，默認為“默認站點”這里改為“上海站點”方便管理員使用控制臺管理。IP地址(I)：輸入此站點的IP地址，一臺主機的IP地址可以有多個，這里任意選擇一個即可，后面的“

5、高級”選項主要是為了配置“主機頭”使用的。TCP端口(T)：web服務(wù)器使用的是HTTP協(xié)議或者基于加密的HTTPS協(xié)議（銀行大部分都使用這種協(xié)議），而HTTP協(xié)議默認使用的端口號為TCP 80端口，HTTPS協(xié)議默認使用的端口號為TCP 443端口，如果使用默認端口號，客戶端再訪問的時候，就不需要在網(wǎng)址后面加入端口便可以訪問，例如:8080/網(wǎng)站-連接：連接超時：在框中鍵入數(shù)字（以秒為單位）設(shè)置服務(wù)器在斷開與非活動用戶的連接之前等待的時間，默認為120秒。這項設(shè)置在啟用了“保持HTTP連接”勾選狀態(tài)才有效。保持HTTP連接：勾選該選項可以使客戶端與Web服務(wù)器保持連接，進一步訪問該服務(wù)器上的

6、網(wǎng)頁時不需要重新建立連接。如果禁用了“保持HTTP連接”，那么瀏覽器將不得不為包含多個元素的頁面進行大量的連接請求，可能需要為每個元素進行單獨的連接。這些額外的請求和連接要求額外的服務(wù)器活動和資源，這將會降低服務(wù)器的性能。建議啟用“保持HTTP連接”。時間上用“連接超時”加以限制。網(wǎng)站-啟用日志服務(wù)：活動日志格式：主要保存客戶端訪問Web服務(wù)器的日志記錄。默認為 “W3C擴展日志文件格式”，日志記錄的內(nèi)容可以通過“屬性”進行設(shè)置。2.4、 主目錄的設(shè)置設(shè)置主目錄之前，首先在本地磁盤（或者遠程磁盤）上創(chuàng)建一個Web站點的目錄shanghai，并在里面編輯一個文檔并以shanghai.htm網(wǎng)頁的

7、格式命名以便做測試。完成這些操作的過程也可以在命令提示符下進行操作，如下所示：主目錄的設(shè)置主要是設(shè)置客戶端訪問此站點的一些權(quán)限以及主目錄的存放問題。通過設(shè)置主目錄可以將網(wǎng)頁發(fā)布到Web站點上。主目錄的資源一般有三個來源：此計算機上的目錄：也就是在本地磁盤建立的目錄，默認目錄存放的位置為“%systemroot%inetpubwwwroot”,將此目錄修改為C:shanghai目錄下。另一臺計算機上的共享：將網(wǎng)頁存放在網(wǎng)絡(luò)中其它計算機上，要求使用UNC（訪問共享文件夾的路徑）路徑，并需要用戶訪問權(quán)限。重定向到URL：選擇該選項時，客戶如果訪問次Web站點，則會重定向到其它站點。設(shè)置完之后，可以指

8、定客戶端訪問此web服務(wù)器的權(quán)限，默認為“讀取”、“記錄訪問”和“資源索引”權(quán)限。2.5、 文檔的設(shè)置，也就是主頁的設(shè)置。設(shè)置完目錄之后，需要將所有網(wǎng)頁連接到首頁上，然后通過首頁進行訪問。首先，打開上海站點屬性里的“文檔”，默認情況下，有四個首頁“Deault.htm，Default.asp,index.htm，iisstart.htm”其中，index.htm是我們最常用的，當然也可以自己指定首頁，如上海站點的首頁為shanghai.htm，可以通過“添加”按鈕將shanghai.htm添加進來，然后，將其移動到最頂端，當應(yīng)用的時候，服務(wù)器是從上到下進行首頁搜索的，放到最頂端的目的是為了讓客

9、戶端更快的找到首頁，其次是為了避免造成首頁的混亂。2.6、 測試上海站點的Web網(wǎng)頁在DNS服務(wù)器的正向查找區(qū)域（）里添加一臺主機，命名為shanghai，IP地址為(web站點的IP地址)。然后在客戶機端設(shè)置TCP/IP的具體參數(shù)，DNS指向。打開IE瀏覽器輸入3. 配置虛擬目錄剛才在C盤建立的目錄C:shanghai為主目錄，也叫物理目錄，主目錄里也可以創(chuàng)建不同的子文件夾來存放不同的內(nèi)容。如果文件很多，主目錄的空間可能不足，就需要將上述的文件存放到其它分區(qū)或者其它計算機上，而用戶訪問時上述文件夾在邏輯上還歸屬于網(wǎng)站之下，這種歸屬于網(wǎng)站之下的目錄稱

10、為虛擬目錄?？梢岳锰摂M目錄將一個網(wǎng)站的文件分散存儲在同一計算機的不同路徑和其它計算機中，這些目錄在邏輯上歸屬于主目錄。這樣做的好處有1、將數(shù)據(jù)分散保存到不同的磁盤或者計算機上，便于分別開發(fā)于維護。2、當數(shù)據(jù)移動到其它物理位置時，不會影響到Web站點的邏輯結(jié)構(gòu)。3.1、 創(chuàng)建虛擬目錄假設(shè)上海站點想添加兩個欄目，一個是news欄目，將最新的新聞發(fā)布上去，另一個是products欄目，將最新開發(fā)出來的產(chǎn)品特性發(fā)布上去。需要新建兩個虛擬目錄，首先在%systemroot%下新建兩個目錄，然后在里面各添加一個首頁，并以此命名為news.htm、products.htm。右擊“上海站點，選擇“新建”“虛

11、擬目錄”寫入別名“news”路徑寫入虛擬目錄的實際物理位置設(shè)置虛擬目錄的權(quán)限，默認為“讀取”。點擊“完成”便建立好了news虛擬目錄。以同樣的方式建立products虛擬目錄。3.2、 配置虛擬目錄配置虛擬目錄和配置主目錄基本相同，注意：文檔和本地路徑的設(shè)置。配置完成之后，首先在IIS管理器中進行瀏覽一下（右鍵單擊相應(yīng)的子目錄，選擇“瀏覽”），看是否能解析出虛擬目錄里首頁的內(nèi)容。然后再在客戶機上進行解析。解析時，需要輸入4. 配置虛擬主機為了提高硬件資源的利用率，可以在一臺計算機上運行多個網(wǎng)站，而不需要另加什么硬件，這些網(wǎng)站稱為虛擬主機。實現(xiàn)虛擬主機一般有三種方法：1、 使用不同的IP地址（網(wǎng)

12、頁這IP地址是一對一的關(guān)系，這種方式需要足夠的IP地址才行）2、 使用不同的IP地址、不同的TCP端口（需要記憶端口號，不便于瀏覽，不過這個在一些需要增強安全性的網(wǎng)站而已有點用處）3、 使用相同的IP地址和TCP端口、不同的主機頭（通過主機頭本質(zhì)上是站點對應(yīng)的FQDN）進行區(qū)分不同站點。4.1、 使用不同IP地址訪問多個網(wǎng)站首先在web服務(wù)器上添加多個IP地址，在TCP/IP屬性的高級選項里添加。然后，新建一個網(wǎng)站，并命名為北京站點，建立好之后，在主目錄里將本地路徑設(shè)置為C:beijing，IP地址設(shè)置為，TCP端口號設(shè)置不變?yōu)?0，文檔中添加beijing.htm并移動

13、到最頂層。在DNS的正向查找區(qū)域里添加一條主機A記錄為beijing，IP地址為。設(shè)置完成之后，在客戶端進行測試即可。4.2、 利用相同的IP地址和TCP端口訪問不同的網(wǎng)頁。首先，將Web上設(shè)置的多個IP地址刪除掉，留下一個IP地址，以免造成干擾，當將兩個網(wǎng)站的IP地址和TCP端口號配置成一樣時，就出現(xiàn)了網(wǎng)站沖突的現(xiàn)象，如下面所示，北京站點處于停止狀態(tài)。打開北京站點的“屬性”，選擇“網(wǎng)站”選項，然后輸入TCP端口號為任意一個端口號（不能設(shè)置成80），最好在1024以后，因為1024以前的端口號都是具有特殊意義的，以免在網(wǎng)絡(luò)中造成沖突，設(shè)置TCP端口號

14、為3000，SSL端口可以設(shè)置為空，高級選項里的主機頭也為空。刪除剛在在DNS的區(qū)域上配置的主機beijing記錄，然后添加一條A記錄，命名為beijing，并將IP地址也改為。這樣，北京網(wǎng)站和上海網(wǎng)站就使用了同一個IP地址了。客戶端每次訪問的時候，最好清除一下DNS緩沖和網(wǎng)頁緩沖（刪除Cookies，刪除文件，清除歷史記錄），訪問的時候，應(yīng)該在IE瀏覽器里輸入:3000/，而http:/shanghai,4.3、 配置主機頭網(wǎng)站之間的差異可以通過網(wǎng)絡(luò)層的IP地址進行區(qū)分，同時也可以通過傳輸層的端口號進行區(qū)分。但是這都不是最好的解決辦法，而最好的解決辦法是讓所有的網(wǎng)頁使用

15、相同的IP地址和端口地址。主機頭便做到了這一點，它是通過區(qū)分各自的FQDN來實現(xiàn)的。4.4、 配置上海網(wǎng)站的主機頭，打開上海站點的屬性,IP地址設(shè)置成，端口號設(shè)置為80，然后選擇IP地址的 “高級”選項，編輯對應(yīng)的主機頭為。以同樣的方式打開北京站點的屬性窗口，設(shè)置同樣的IP地址和端口號，然后編輯IP地址的主機頭為，這也就是現(xiàn)在網(wǎng)絡(luò)上的好多虛擬主機租用為何如此便宜的原因了。 下面是在客戶端進行的測試，可以看出，輸入網(wǎng)址的時候是不需要輸入端口號的。同時也沒浪費IP地址。5. Web站點的安全性Web站點建立之后，就可以對用戶提供信息瀏覽服務(wù)，通常是運行匿

16、名訪問的。但某些特殊網(wǎng)站（或者虛擬目錄）要求用戶提供用戶賬號和密碼才能訪問，或者限制某些IP地址能（或不能）訪問。5.1、 身份驗證和訪問控制當客戶端鏈接到Web站點時，Web站點會檢查是否運行匿名訪問（首先要檢查IP地址是被允許的前提下）。如果Web站點不允許匿名訪問，就必須輸入用戶賬號和密碼。打開上海站點的屬性窗口，選擇“目錄安全性”單擊“身份驗證和訪問控制”的“編輯”按鈕匿名身份驗證：“啟用匿名訪問”使用戶無須輸入用戶名和密碼，便可以訪問Web站點。當用戶試圖連接到網(wǎng)站時，Web服務(wù)器將連接分配給Windows用戶賬戶IUSR_computername，此處的computername是允

17、許IIS的計算機的名稱，此用戶在搭建IIS的web服務(wù)器的時候自動建立生成?；旧矸蒡炞C：該方法要求提供用戶名和密碼由于密碼在網(wǎng)絡(luò)上是以明文形式發(fā)送的，這些密碼很容易被截取，所以安全性較低。集成Windows身份驗證：Windows集成身份驗證比基本身份驗證安全，而且在用戶具有Windows域賬戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成Windows身份驗證中，瀏覽器嘗試使用當前的用戶在域登陸過程中使用的憑據(jù)，如果此嘗試失敗，就會提示改用戶輸入用戶名和密碼。如果用戶作為域用戶登陸到本地計算機，則此用戶在訪問該域中的網(wǎng)絡(luò)計算機時不必再次進行身份驗證。該身份驗證不能通過代理服務(wù)器使用。Windows

18、域服務(wù)器的摘要式身份驗證：摘要式身份驗證比基本身份驗證安全。在使用摘要身份驗證時，密碼不是以明文形式發(fā)送。摘要身份驗證比集成Windows身份驗證優(yōu)越的地方是前者可以通過代理服務(wù)器使用。Windows域服務(wù)器的摘要式身份驗證需要使用域用戶。.NET passport身份驗證：Miscrosoft .NET Passport是一項用戶身份驗證服務(wù)，它允許單一簽入安全性，可使用戶在訪問啟用了.NET Passort的網(wǎng)站和服務(wù)時更改安全。啟用了.NET Passport的站點依靠.NET Passport中央服務(wù)器來對用戶進行身份驗證，但是，改中央服務(wù)器不會授權(quán)或拒絕特定用戶對各個啟用了.NET

19、Pssport的站點進行訪問?？刂朴脩舻臋?quán)限由網(wǎng)站負責(zé)。選擇此選項時，對IIS的請求必須在查詢字符串或Cookie中包含有效的.NET Passport憑據(jù)。如果IIS不檢測.NET Passport憑據(jù)，這些請求就會被重定向到.NET Passport登陸頁。注意：如果激活了匿名訪問，則匿名訪問會比其它身份驗證方法優(yōu)先。首先，在web服務(wù)器上創(chuàng)建一個用戶命名為zhangsan，密碼為123456，然后在上海站點上右鍵選擇“權(quán)限”添加zhangsan用戶，并設(shè)置為讀取權(quán)限即可。不勾選“啟用匿名訪問”，勾選“集成Windows身份驗證”，然后在客戶端的IE瀏覽器里輸入 （注意：清除客戶端IE瀏覽器的緩沖和DNS緩沖）便出現(xiàn)了一個登陸對話框，此時要求你輸入具有訪問網(wǎng)頁權(quán)限的用戶名和密碼，輸入剛才創(chuàng)建的用戶名和密碼即可訪問。5.2、 IP地址和域名限制除了上述訪問可以增加網(wǎng)站的安全性之外