Windows server 2003 IIS 全攻略（三）

配置网站身份验证



打开目录安全性
先来看身份验证和访问控制，点其编辑



如果启用匿名访问：默认情况下，服务器创建和使用账户IUSR_computername。如果启用了它，IIS始终都是尝试先使用匿名验证对用户进行验证，即使启用了其它的验证方法，也是如此。在用户试图连接到网站时，WEB服务器将连接分配给WINDOWS用户账户IUSR_conputername，此处conputername是运行IIS所在的计算机名称。默认情况下，IUSR_computername账户包含在WINDOWS用户组GUESTS中，该组具有安全限制，由NTFS权限强制使用。它指出了访问级别和可用于公共用户的内容类型。访问过程中IIS是检查NTFS文件和目录权限，查看是否允许IUSR_computername账户访问该文件。
选中集成WINDOWS身份验证：安全级别高，它是使用NTLM时进行HASH计算，在使用KERBEROS时应用KERBEROS票据。但是它不能跨代理服务器和防火墙，除非在PPTP连接上使用。使用KERBEROSv5和NTLM验证。NTLM可以通过包过滤防火墙，但通常会被代理服务器挡住。KERBEROS可以通过代理服务器，但通常 会被包过滤防火墙挡住。它并不能用于HTTP代理连接。



在选中摘要式身份验证时出现如图对话框。点是。



需要在“领域”文本框中指定领域名称。它的安全级别是中等。发送密码时是基于MD5的HASH计算。可以跨代理服务器和防火墙。它所要求的是用户和运行IIS的服务器必须是同一域的成员，或者是由同一域信任。用户必须将有效的WINDOWS用户账户存储在域控制器上的AD中，



如果选基本身份验证：安全级别是比较低的，它心BASE64编码的明文发送密码，虽可以跨代理服务器和防火墙，但是以明文该项，存在安全隐患。优点是大多数浏览器都支持该验证。



其安全级别高，发送密码也是加密的。使用SSL连接。还有一个默认域要填上。

通过IP地址控制对网站的访问



点IP地址和域名限制中的编辑。



点击添加



这里以一台计算机为例



可以看到其它计算机都可以访问，图中的这台不允许访问。



这里是一组计算机。



这里是域名。



可以看到刚才配置的。
下面来看第二种方法配置
点拒绝访问，然后点添加



便出现授权访问对话框。



这是其它计算机都不允许访问，只允许图中配置的计算机访问。
这个非常重要，在软考网络工程师中要非常注意这两种配置。往往很容易搞错。
如果配置拒绝了192.168.0.6这台计算机访问，当它访问时便出现如下：



有关“安全通信”这一项会在以后专门开帖讨论。

下面来看虚拟目录
虚拟目录是在网站主目录下建立的一个友好的名称或别名，可以将位于网站主目录以外的某个物理目录或其它网站的主目录链接到当前网站主目录下，这样，客户端只需要连接一个网站，就可以访问到存储在服务器中各个位置的资源以及存储在其它计算机上的资源。
它的好处是：便于用户访问；提高了安全性，因为客户端并不知道文件在服务器上的实际物理位置，所以无法使用该信息来修改文件；使用目录可以更方便地移动网站中的目录，只需要更改虚拟目录与目录物理位置之间的映射，无需更改目录的URL；使用虚拟目录可以发布多个目录下的内容以供所有用户访问，并可以单独控制每个虚拟目录的访问权限。使用虚拟目录可以均衡WEB服务器负载，因为网站中资源来自于多个不同的服务器，从而避免单一服务器负载过重，响应缓慢。



点新建虚拟目录。



下一步



填写别名



这里是映射到本地服务器上的目录。



这里可以配置访问权限。



点完成
下面是通过UNC路径映射到其它计算机上的共享目录。
再另建立一个虚拟目录，步骤如上类似，这里只给出不同的地方。



MKT是虚拟目录的名称。



这里是多了个安全凭据，只有授权的才可以访问该虚拟目录。



点下一步要求重新再输入密码



可看到一共建立好三个虚拟目录。其中有两个是刚才介绍的，还有一个是同样建立。但现在要把crq这个虚拟目录映射到其它网站的URL，因为按照上面的创建中在配置过程中不到输入指向到其它网站的URL。只能先在对话框中输入本地硬盘上的目录，然后在虚拟创建完成之后，在虚拟目录属性对话框中将其重定向到指定的URL。



点它的属性在重定向这里配置，输入URL。便可以



可以看到CRQ映射到了其它网站的URL。

在一台服务器上创建多个网站
IIS允许一台服务器上创建多个网站，如无需要使用3个不同的服务器来创建]www.landon.com;[url]www.crq.com;[url]www.test.com3[/url][/url]个网站。可以将这些网站创建在同一个服务器上，合并网站可以节约硬件资源，节省空间，降低能源成本。为了确保用户的请求能到达正确的网站，必须为服务器上的每个网站配置唯一的标识。一个网站由IP地址，TCP端口号，和主机头名称3项标识的组合来惟一标识。
1、使用多个IP地址在一台服务器上创建多个网站



对每一个网站配置不同的IP地址。



可以看到这两个不同的网站具有不同的IP，其它都一样。
这种配置要求每个站点都有惟妙惟肖一的静态IP地址，由于公用IP地址短缺，因此获取大量的静态IP地址是因难的，同时为多个网站分配大量的惟一的IP地址会降低WEB服务器性能。这种方法主要用于一台服务器上创建基于SSL/TLS的网站。
2、使用多个主机头名在一台服务器上创建多个站点。
一个网站可以支持一个或多个主机头名称，在一台服务器上创建多个网站时通常使用主机头名称来标识。由于WEB服务器必须分配非页面缓冲池内存来管理每个IP地址标识的网站，因此使用主机头的好处是可以避免由于使用惟一IP地址标识多个网站而引起的潜在性能降低。但是，由于基于SSL/TLS的HTTP加密了的主机头名称，对于同一台服务器上的基于SSL/TLS的网站，主机头信息是无法访问的。因此必须使用不同的IP地址来标识一台服务器上不同的基于SSL/TLS的网站。



前面已有配置过主机头，就是在这里进行添加。对每个网站添加不同的主机头，可以对不同的网站分别访问。
3、使用多个TCP端口号在一台服务器上创建多个站点
通常不推荐使用此方法，可用于专有网站开发和测试，可以使用非标准的TCP端口号作为惟一标识来创建用于站点开发和测试目的的网站。用户访问时必须知道指派给网站的非标准TCP端口号，并且在访问网站时在URL中指定该端口号才能访问网站。



这个网站端口号是80



这个网站是8080。

本文出自 “yangming.com” 博客，请务必保留此出处/article/4227360.html本文出自 51CTO.COM技术博客