iis
Internet Information Server的缩写为（IIS）是一个World Wide Web server。Gopher server和FTP server全部包容在里面。 IIS意味着你能发布网页，并且有ASP（Active Server Pages）、JAVA、VBscript产生页面，有着一些扩展功能。IIS支持一些有趣的东西，象有编辑环境的界面（FRONTPAGE）、有全文检索功能的（INDEX SERVER）、有多媒体功能的（NET SHOW）

其次,IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器，是在Windows NT Server上建立Internet服务器的基本组件。它与Windows NT Server完全集成，允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet／Intranet站点。


IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。本文将向你讲述Windows 2000高级服务器版中自带的IIS 5.0的配置和管理方法。

准备篇 IIS的添加和运行

一、IIS的添加

请进入“控制面板”，依次选“添加/删除程序→添加/删除Windows组件”，将“Internet信息服务（IIS）”前的小钩去掉（如有），重新勾选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。

二、IIS的运行

当IIS添加成功之后，再进入“开始→程序→管理工具→Internet服务管理器(Internet信息服务)”以打开IIS管理器，对于有“已停止”字样的服务，均在其上单击右键，选“启动”来开启。

第一篇 IIS之Web服务器

一、建立第一个Web站点

比如本机的IP地址为192.168.0.1，自己的网页放在D:\Wy目录下，网页的首页文件名为Index.htm，现在想根据这些建立好自己的Web服务器。

对于此Web站点，我们可以用现有的“默认Web站点”来做相应的修改后，就可以轻松实现。请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。

1．修改绑定的IP地址：转到“Web站点”窗口，再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“192.168.0.1”。
2．修改主目录：转到“主目录”窗口，再在“本地路径”输入（或用“浏览”按钮选择）好自己网页所在的“D:\Wy”目录。
3．添加首页文件名：转到“文档”窗口，再按“添加”按钮，根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。
4．添加虚拟目录：比如你的主目录在“D:\Wy”下，而你想输入“192.168.0.1/test”的格式就可调出“E:\All”中的网页文件，这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键，选“新建→虚拟目录”，依次在“别名”处输入“test”，在“目录”处输入“E:\All”后再按提示操作即可添加成功。
5．效果的测试：打开IE浏览器，在地址栏输入“192.168.0.1”之后再按回车键，此时就能够调出你自己网页的首页，则说明设置成功！

注：具体不同的电脑会有不同的选项名称，但大体上还是可以找到了（多试一下）。

二、添加更多的Web站点

1．多个IP对应多个Web站点

如果本机已绑定了多个IP地址，想利用不同的IP地址得出不同的Web页面，则只需在“默认Web站点”处单击右键，选“新建→站点”，然后根据提示在“说明”处输入任意用于说明它的内容（比如为“我的第二个Web站点”）、在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可（如图1）；当建立好此Web站点之后，再按上步的方法进行相应设置。

2．一个IP地址对应多个Web站点

当按上步的方法建立好所有的Web站点后，对于做虚拟主机，可以通过给各Web站点设不同的端口号来实现，比如给一个Web站点设为80，一个设为81，一个设为82……（如图2），则对于端口号是80的Web站点，访问格式仍然直接是IP地址就可以了，而对于绑定其他端口号的Web站点，访问时必须在IP地址后面加上相应的端口号，也即使用如“http://192.168.0.1:81”的格式。

很显然，改了端口号之后使用起来就麻烦些。如果你已在DNS服务器中将所有你需要的域名都已经映射到了此惟一的IP地址，则用设不同“主机头名”的方法，可以让你直接用域名来完成对不同Web站点的访问。
比如你本机只有一个IP地址为192.168.0.1，你已经建立（或设置）好了两个Web站点，一个是“默认Web站点”，一个是“我的第二个Web站点”，现在你想输入“www.enanshan.com”可直接访问前者，输入“www.popunet.com”可直接访问后者。其操作步骤如下：

（1）请确保已先在DNS服务器中将你这两个域名都已映射到了那个IP地址上；并确保所有的Web站点的端口号均保持为80这个默认值。
（2）再依次选“默认Web站点→右键→属性→Web站点”，单击“IP地址”右侧的“高级”按钮，在“此站点有多个标识下”双击已有的那个IP地址（或单击选中它后再按“编辑”按钮），然后在“主机头名”下输入“www.enanshan.com”再按“确定”(如图3)按钮保存退出。

（3）接着按上步同样的方法为“我的第二个Web站点”设好新的主机头名为“www.popunet.com”即可。
（4）最后，打开你的IE浏览器，在地址栏输入不同的网址，就可以调出不同Web站点的内容了。

3．多个域名对应同个Web站点

你只需先将某个IP地址绑定到Web站点上，再在DNS服务器中，将所需域名全部映射向你的这个IP地址上，则你在浏览器中输入任何一个域名，都会直接得到所设置好的那个网站的内容。

三、对IIS服务的远程管理

1．在“管理Web站点”上单击右键，选“属性”，再进入“Web站点”窗口，选择好“IP地址”。

2．转到“目录安全性”窗口，单击“IP地址及域名限制”下的“编辑”按钮，点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理；最后单击“确定”按钮。

3．则在任意计算机的浏览器中输入如“http://192.168.0.1:3598”（3598为其端口号）的格式后，将会出现一个密码询问窗口，输入管理员帐号名（Administrator）和相应密码之后就可登录成功，现在就可以在浏览器中对IIS进行远程管理了！在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作。

四、本部分常见问题解答

Q：在上文中所涉及到的网址中，有的加了“http://”，有的没加，这意味着什么呢？
A：没有加“http://”部分的网址，说明其可加可不加；而加了“http://”部分的，则说明它必不可少！对于带端口号的网址则必须加；否则可省略。
Q：对于上文中涉及到IP地址的网址，可否用比较“友好”的名称来代替呢？
A：可以！它除了能够用IIS服务器所在的计算机名来代替之外，还可在DNS服务器中新建域名和相应IP地址的映射表，就也可以用域名来进行访问了！
Q：我设置好了一个Web服务器，但是当我访问网页时，却出现密码提示窗口。这是为什么？
A：访问Web站点时，出现密码提示窗口，一般来说有以下原因，请逐个去进行检查：

1．所访问的网页文件本身加了密。比如“默认Web站点”原主目录“E:\Inetpub\wwwroot”下的首页文件“iisstart.asp”访问时就需要密码。

2．没有设置允许匿名访问或作了不应该的改动.如图4所示,首先应确保已勾选中了“匿名访问”这一项；并且其下“编辑”中“匿名用户帐号”中“用户名”一项应为“IUSR_NODISK”（其中“NODISK”为计算机名）的格式；另外，还需要已勾选中“允许IIS控制密码”一项。

3．你的目标目录被限制了访问权限。此项仅当该目录位于NTFS格式分区中时才可能出现。请在其上单击右键，选“属性”，再进入“安全”窗口，看列表中是不是默认的允许“Everyone”组完全控制的状态，如不是，请改回,如图5。

第二篇 IIS之FTP服务器

一、建立你的FTP站点

第一个FTP站点（即“默认FTP站点”）的设置方法和更多FTP站点的建立方法请参照前文Web服务器中相关操作执行。需要注意的是，如果你要用一个IP地址对应多个不同的FTP服务器，则只能用使用不同的端口号的方法来实现，而不支持“主机头名”的作法。
对于已建立好的FTP服务器，在浏览器中访问将使用如“ftp://192.168.0.1”或是“ftp://192.168.0.1:22的格式”；除了匿名访问用户（Anonymous）外，IIS中的FTP将使用Windows 2000自带的用户库（可在“开始→程序→管理工具→计算机管理”中找到“用户”一项来进行用户库的管理）。

二、本部分常见问题解答

Q：如何修改FTP服务器登录成功或退出时的系统提示信息？
A：在相应的FTP站点上单击右键，选“属性”，再转到“消息”窗口，在“欢迎”处输入登录成功之后的欢迎信息，在“退出”处输入用户退出时的欢送信息即可。
Q：为什么我的FTP服务器建立成功之后，除了管理员（Administrator）和匿名用户（Anonymous）之外，普通用户都不能在本机上登录；可在其他计算机上却能够正常使用。这是为什么？
A：因为默认的，普通用户不具有在本机登录的权限。如果要修改，请进入“开始→程序→管理工具→本地安全策略”中选择“左边框架→本地策略→用户权利指派”，再在右边框架中双击“在本地登录”项，然后将所需的普通用户添加到它的列表中去就行了。
第三篇 IIS之SMTP服务器

如果你嫌互联网上的那些免费邮件发送邮件的速度过慢的话，你或许可以考虑用IIS来建立一个本地的SMTP服务器。不管你是直接连入互联网还是通过局域网接入，不管你是有静态的IP地址还是用动态的IP地址，都可以很轻松地建立成功！
建立IIS下的SMTP服务器的方法非常简单，只需在IIS管理器中让“默认SMTP虚拟服务器”处于已启动状态就行了；此外一般不用再做其他任何设置。
如果你想要用自己的SMTP服务器发信，只需将你E-mail客户端软件设置中“发送邮件服务器（SMTP）”项中填入“localhost”，则不管你的IP地址如何变化，它都能正常工作,如图6 。

当你使用自己的这个SMTP服务器发送E-mail时，不仅有不受制于人的自由感，更有闪电般的发信速度，是个人SMTP服务器的最佳选择！
IIS版本对应的windows版本信息
2000 iis版本是5.0
xp 版本是5.1
2003版本是6.0 

关于windows xp home安装iis的一些问题：
windows home 版的，默认情况下不能安装 iss

解决方法如下：
大家知道，Windows XP Home版不能安装IIS或者PWS。按照一般的方法，你只能升级到XP Professional或者使用Windows 2000，不过只要略使手段，你就可以在Windows XP Home上安装IIS了。

首先在“开始”菜单的“运行”中输入“c:＼Windows＼inf＼sysoc.inf”，系统会自动使用记事本打开sysoc.inf这个文件。在sysoc.inf中找到“[Components]”这一段，并继续找到类似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字，把这一行替换为“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并关闭。

把Windows 2000 Professional的光盘插入光驱，同时按下Shift键禁止光驱的自动运行。在运行中输入“CMD”然后回车，打开命令行模式，在命令行下输入下列的两条命令，在每一行命令结束后回车(假设光驱是D盘)：

EXPand d:＼i386＼iis.dl_ c:＼Windows＼system32＼setup＼iis2.dll

EXPand d:＼i386＼iis.in_ c:＼Windows＼inf＼iis2.inf

这时，打开你的控制面板，并点击“添加删除程序”图标，之后点击“添加删除Windows组件”。

请仔细看，在“开始”菜单中显示的操作系统是Windows XP Home，但是经过修改，已经有了添加IIS的选项了。

然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS，在本例中我们只安装了WWW服务。系统会开始复制文件，这需要一些时间。并且在这起见，请保持Windows 2000 Professional的光盘还在光驱中。

在安装结束后，你可以打开“控制面板→性能和选项→管理工具”，“Internet信息服务管理”已经出现在那里。

如果你想要验证IIS是否运行正常，而已打开IE，在地址栏中输入“http://localhost”然后回车，如果能看到图三的界面(图1)，那么你的IIS就全部正常运行了。

最后还有一点注意的：如果你在安装过程中，系统需要你插入Window Whistler CD或者需要你提供exch_adsii***.dll这个文件，那是因为你按照默认的选项安装了IIS。要解决这个问题，只要在安装IIS的时候先点击“详细信息”，然后取消对SMTP的选择(即不要安装SMTP服务器)，那么复制文件的时候就不会需要那两个文件了。

如果在你安装的到图1的位置后发现，已经显示了Internet信息服务(IIS)的安装项目，但是它们根本无法被选中，那很可能因为你使用的iis.dl_和iis.in_是从Windows XP Professional中取出的，只要换成Windows 2000 Professional中的就可以继续正常安装了。

经过验证，WWW、FTP等几个服务经过这样的修改都可以在Windows XP Home上正常运行。

iis配置：
iis下载和IIS安装配置全过程
Windows 2000 Server、Windows 2000 Advanced Server 以及 Windows 2000 Professional 的默认安装都带有 IIS ，也可以在 Windows 2000 安装完毕后加装 IIS。
IIS 是微软出品的架设 WEB、FTP、SMTP 服务器的一套整合软件，[屏蔽]在 Windows2000/NT 中，可以在控制面板的添加/删除程序中选择添加删除 Windows 组件中选择添加 IIS 服务。如下图:





==========WEB 服务器 ===========
　　IIS 默认的 WEB (主页)文件存放于系统根区中的 %system%\Inetpub\wwwroot 中，主页文件就放在这个目录下；出于安全考虑，因此微软建议用 NTFS 格式化使用 IIS 的所有驱动器。
　　快速配置好默认的 WEB 站点
　　打开 IIS 管理器,在开始菜单的管理工具中选择 Internet 信息服务或直接在运行中输入 %SystemRoot%\System32\Inetsrv\iis.msc


安装好后的 IIS 已经自动建立了管理和默认两个站点，其中管理 WEB 站点用于站点远程管理，可以暂时停止运行，但最好不要删除，否则重建时会很麻烦的。
　　马上在浏览器中输入这个地址，微软已经预先把详尽的帮助资料放到 IIS 里面了：http://localhost/iishelp/iis/misc/default.asp 
　　配置
　　右击已存在的“默认 WEB 站点”，选择属性，现在开始配置 IIS 的 WEB 站点。
　　每个 Web 站点都具有唯一的、由三个部分组成的标识，用来接收和响应请求的分别是端口号、IP 地址和主机头名。
　　浏览器访问 IIS 的时候是这样的： IP -> 端口 -> 主机头 -> 该站点主目录 -> 该站点的默认首文档。
　　所以 IIS 的整个配置流程应该按照访问顺序进行设置：
　　第一步，配置 IP 和 主机头


这里可以指定 WEB 站点的 IP，如没有特别需要，则选择全部未分配。
　　如指定了多个主机头，则 IP 一定要选为全部未分配，否则访问者会访问不了的


如果 IIS 只有一个站点，则无需写入主机头标识。
　　然后配置好端口，WEB 站点的默认访问端口是 TCP 80，如果修改了站点端口，则访问者需要输入 http://yourip:端口  才能够进行正常访问。
　　第二步，指定站点主目录。
　　主目录用来存放站点文件的位置，默认是 %system%\Inetpub\wwwroot


可以选择其他目录作为存放站点文件的位置，点击浏览后选择好路经就可以了。
　　这里还可以赋予访问者一些权限，例如目录浏览等。
　　基于安全考虑，微软建议在 NTFS 磁盘格式下使用 IIS。
　　第三步：设定默认文档。
　　每个网站都会有默认文档，默认文档就是访问者访问站点时首先要访问的那个文件；例如 index.htm index.asp default.asp 等等。
　　这里需要指定默认的文档名称和顺序。


一般赋予访问者有匿名访问的权限，其实IIS 默认已经在系统中建立了 IUSR_机器名 这种匿名用户了。
　　按照向导建立新站点
　　如果想建立新的站点，可以按照 IIS 的向导进行设置：




在 IP 地址这一下拉菜单中可以选择你的 WEB 服务器 IP，缺省情况下应该选择 (全部未分配)。[TIPS: 通过这个下拉菜单可以查看你是否有公网 IP] TCP 默认端口是 80，如修改了端口，则需要用 http://ip:端口  这种格式进行浏览。
　　站点主机头使该站点指定一个域名，如 http://abc.vicp.net。可以在一个相同的  IP 下指定多个主机头。默认为 “无”。


你可以选择 WEB 站点主目录，该目录用于存放主页文件；选中允许匿名访问此站点则其任何人都可以通过网络访问你 WEB 站点。


WEB 站点的访问权限可以设定允许或禁止读取、运行脚本等权限设置。
　　WEB 站点的常规设置
　　选中刚建立的站点，右击后选择属性，出现站点设置界面:


1. 说明:站点的说明，这将出现在 IIS 管理界面中的站点名称
　　2. IP 地址:常规情况下可选择全部未分配。高级选项中可设定主机头高级 WEB 站点标识等设置。
　　3. TCP 端口:指定该站点的访问端口，浏览器访问 WEB 的默认端口是 80。
　　4. 连接: 选择无限选项允许同时发生的连接数不受限制。选择限制同时连接到该站点的连接数。在该对话框中，键入允许连接的最大数目。设定连接超时；如选择无限，则不会断开访问者的连接。
　　5. HTTP激活: 允许客户保持与服务器的开放连接，而不是使用新请求逐个重新打开客户连接。禁用保持 HTTP 激活会降低服务器性能。默认情况下启用保持 HTTP 激活。
　　6. 日志记录:可选择日志格式：IIS 、ODBC 或 W3C 扩充格式，并可定义记录选项如访问者 IP、连接时间等。
　　操作员: 设定操作 IIS 管理的用户，默认情况只允许管理员权限可操作和管理 IIS。
　　也可以添加多个用户或用户组别参加 IIS 的管理和操作。


主目录用于设定该站点的文件目录，可以选择本地目录或另一台计算机的共享位置。
　　本地路径中可以设定站点目录的存放位置，请确保你要有该目录的控制管理权限。
　　访问设置中可指定那些资源可访问那些资源不可访问，要注意的是目录浏览和日志访问；选择日志访问，IIS 会记录该站点的访问记录，你可以选择记录那些资料，如: 访问者 IP 时间等等。
应用程序设置中配置访问者能否执行程序和执行那些程序。


主文档: 设定该站点的首页文件名,访问者会按照默认文档的顺序访问该站点。
　　要在浏览器请求指定文档名的任何时候提供一默认文档，请选择该复选框。默认文档可以是目录的主页或包含站点文档目录列表的索引页。
　　要添加一个新的默认文档，请单击“添加”。可以使用该特性指定多个默认文档。按出现在列表中的名称顺序提供默认文档。服务器将返回所找到的第一个文档。
　　要更改搜索顺序，请选择一个文档并单击箭头按钮。
　　要从列表中删除默认文档，请单击“删除”。
　　注意: 如果在主目录中没有该首页文件，请马上建立或者进行相关设置。
　　要自动将一个 HTML 格式的页脚附加到 Web 服务器所发送的每个文档中，请选择该选项。页脚文件不应是一个完整的 HTML 文档。而应该只包括需用于格式化页脚内容外观和功能的　HTML 标签。要指定页脚文件的完整路径和文件名，请单击“浏览”。


目录安全性
　　匿名访问和验证控制:
　　要配置 Web 服务器的验证和匿名访问功能，请单击“编辑”。使用该功能配置 Web 服务器在授权访问受限制内容之前确认用户的身份。但是，首先必须创建有效的 Windows 用户帐户，然后配置这些帐户的 Windows 文件系统 (NTFS) 目录和文件访问权限，服务器才能验证用户的身份。请打开 [计算机管理] 进行查看。
　　IP 地址及域名限制(该功能仅在安装有 Windows 2000 Server 的设备中可用。):
要允许或阻止特定用户、计算机、计算机组或域访问该 Web 站点、目录或文件，请单击“编辑”。
　　====用 IIS 建立多个站点 ===========
　　主机头的使用
　　新建两个 WEB 站点,分别在主机头中指定两个不同的域名： test-user1.vicp.net 和 test-user2.vicp.net
　　可在该站点属性的 WEB站点 -> WEB 站点标识 -> IP 地址 -> 高级中随意修改该主机头标识。








使用 nslookup 命令指定用广州电信 ADSL 默认的 DNS 服务器检测出:tset-user1.vicp.net 和 test-user2.vicp.net IP 是一样的。但浏览时显示的确是两个不同的页面。


注意:使用主机头建立多个不同域名的站点时，也需要注意主文档等设置。
　　使用端口配置建立多站点


您可以使用不同的端口来设置多个站点，但访问者的浏览器的默认访问端口是 80，所以您必须告诉访问者您的站点使用的 TCP 端口是什么
Windows 2000 IIS 安装、配置、进阶管理
　　设置 WWW 和 FTP 服务的主属性
　　右击服务器，选择属性，可以设定 WWW 或 FTP的主属性，这些属性包括整个站点的缓存等。




可以启用带宽限制功能限制 IIS 占用的带宽








让 WWW 服务支持动态程序
　　1. 在 IIS 中安装 Perl 语言解释器
　　Perl 语言的作者是 Larry Wall 。 Practical Extraction and Report Language 是该语言的全称，其原始设计目的是代替 Unix sed/awk 与shell script的组合。
　　要让 IIS 支持这种语言，就需要安装 Perl 语言解释器。
Perl 解释器的官方下载: http://www.perl.com/pub/a/language/info/software.html 
http://download.pchome.net/development/sever/perl/730.html  (PCHOME.NET)
http://www8.pconline.com.cn/download/swdetail.phtml?id=4379  (PCONLINE.COM.CN)
　　下载后可以直接把 Perl 放在一个目录下，也可以运行安装向导把文件安装在相应的目录下；这里安装在 D:\perl 下 (Perl.exe在bin 目录中)。


配置 IIS:
　　选择站点的属性，在主目录栏中的应用程序设置点选配置：( 注意：需要在 Perl 后面加上 “% %”)。


选择添加：
　　IIS 询问应用程序的位置、对应程序解释的文件名，这里需要添加 cgi 和pl 两种文件，以及 plx 。




(可把扩展名写成 .* 或直接写成 *，IIS 会自动识别)
　　最后，把 IIS 的执行许可设置成脚本和可执行程序。


现在 IIS 已经可以支持 Perl 了。
　　2. 让 IIS 支持 PHP
　　PHP 是 Personal Home Page Tools 的缩写(Hypertext Preprocessor)。
　　PHP 的下载地址：
http://www.php.net/downloads.php  (官方站点下载)
http://download.pchome.net/development/sever/php/7884.html  (PCHOME.NET)
http://www8.pconline.com.cn/download/swdetail.phtml?id=645  (PCONLINE.COM.CN)
　　与 Perl 一样，这里选择安装在 D:\php 下。
　　配置 IIS，过程和配置 Perl 一样：




至此，IIS 已支持目前主流的动态语言了。
Windows 2000 IIS 安装、配置FTP篇
　　Windows 2000 Server、Windows 2000 Advanced Server 以及 Windows 2000 Professional 的默认安装都带有 IIS ，也可以在 Windows 2000 安装完毕后加装 IIS。
IIS 是微软出品的架设 WEB、FTP、SMTP 服务器的一套整合软件，[屏蔽]在 Windows2000/NT 中，可以在控制面板的添加/删除程序中选择添加删除 Windows 组件中选择添加 IIS 服务。如下图:


FTP 服务器
　　利用 IIS 可以建立多个不同的 FTP 服务器，并且可实现限制用户、锁定目录、锁定权限、[屏蔽]访问者的 IP 等一些列功能。
　　一、建立
　　利用 IIS 的向导就可以简单地建立 FTP 服务器。


右击 IIS 控制台的电脑图标(本地管理的会显示本地计算机名)，新建一个 FTP 站点。


IP 地址等和 WEB 方式的设置一样，动态 IP 可选择全部未分配，FTP 的默认端口是21


指定该 FTP 站点的主目录路径


设置用户的访问权限，如需要赋予访问者上传的权限，这里也应该选中“写入”。
　　二、设置FTP 站点建立后还需要进行相关的设置，在 IIS 控制台中右击 FTP 站点再选择属性可进行设置：


如选中只允许匿名连接，则 FTP 只对匿名用户开放。


设置服务器回复信息
　　三、监控
　　如想监视 FTP 服务器，可以按下图所示进行监控，并可以断开其中的访问连接。


监控 FTP 服务器
　　Windows 2000 IIS 安装、配置SMTP篇
　　一、SMTP 服务的建立
　　IIS 提供 SMTP 虚拟服务器，用户可通过本地 SMTP 服务向外发送电子邮件。


右键击 SMTP 服务器选择属性进行 SMTP 的相关设置。


二、SMTP 的应用
　　您现在可以使用自己的机器发送邮件，不再需要服务商提供的 SMTP 了。
　　outlook 中的邮件账户


把账户里面的 SMTP 更改成自己的 IP 就可以使用自己机器的 SMTP 服务了。

IIS6.0官方技术必读
如何启用 Web 服务扩展
为了更好地预防恶意用户和攻击者的攻击，在默认情况下，没有将 IIS 安装在 Microsoft® Windows® Server 2003 家族的成员上。而且，当您最初安装 IIS 时，该服务在高度安全和“锁定”的模式下安装。在默认情况下，IIS 只为静态内容提供服务 － 即，诸如 ASP、ASP.NET、服务器端的包括文件、WebDAV 发布和 FrontPage® Server Extensions 功能只有在启用时才工作。如果在安装 IIS 之后未启用该功能，IIS 将返回一个 404 错误。有关如何排解 404 错误（包括 404.2 和 404.3）、与 IIS 6.0 的新安装相关的问题或从低版本的 IIS 进行升级的详细信息，请参阅疑难解答。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

启用 Web 服务扩展
在 IIS 管理器中，单击“Web 服务扩展”文件夹。
在详细信息窗格中，选择要启用的 Web 服务扩展，然后单击“允许”。
要查看 Web 服务扩展的属性，请选择一个扩展，然后单击“属性”。


如何创建网站或 FTP 站点
IIS 在安装时会在硬盘上创建一个默认网站配置。您可以使用 \Inetpub\Wwwroot 目录发布 Web 内容，也可以创建所选的任何目录或虚拟目录。为了创建 FTP 站点，必须安装和启动文件传输协议 (FTP) 服务。默认情况下不会安装它。

使用 IIS 管理器创建网站或 FTP 站点不会创建内容，而只创建一个用于从中发布内容的目录结构和多个配置文件。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

使用默认网站
在 IIS 管理器中，展开本地计算机，展开“网站”文件夹，右键单击“默认网站”，然后单击“属性”。
在“网站”选项卡上，在“网站标识”下的“描述”框中键入网站的名称。
单击“确定”。新站点的名称出现在 IIS 管理器中。
新建网站
在 IIS 管理器中，展开本地计算机，右键单击“网站”文件夹，指向“新建”，然后单击“网站”。出现“网站创建向导”。
单击“下一步”。
在“描述”框中，键入站点的名称，然后单击“下一步”。
键入或单击站点的 IP 地址（默认值为“全部未分配”）、TCP 端口和主机头（例如，www.mysite.com），然后单击“下一步”。
在“路径”框中，键入或浏览到包含或将要包含站点内容的目录，然后单击“下一步”。
选中与要指定给用户的网站访问权限相对应的复选框，然后单击“下一步”。
单击“完成”。
要在以后更改这些设置和其他设置，请右键单击网站，然后打击“属性”。
安装 FTP 服务
从“开始”菜单，单击“控制面板”。
双击“添加或删除程序”。
单击“添加/删除 Windows 组件”。
从“组件”列表框中，单击“应用程序服务器”，然后单击“详细信息”。
从“应用程序服务器的子组件”列表框中，单击“Internet 信息服务 (IIS)”，然后单击“详细信息”。
从“Internet 信息服务的子组件”列表框中，选中“文件传输协议 (FTP) 服务”复选框。
单击“确定”两次。
单击“下一步”。您可能被提示插入 Windows Server 2003 家族光盘或输入网络安装路径。
单击“完成”，然后单击“关闭”。
注意 IIS 管理器会在安装 FTP 服务的过程中创建一个默认 FTP 站点。可使用 \Inetpub\Ftproot 目录发布内容，也可以另创建一个。

新建 FTP 站点
在 IIS 管理器中，展开本地计算机，右键单击“FTP 站点”文件夹，指向“新建”，然后单击“FTP 站点”。出现“FTP 站点创建向导”。
单击“下一步”。
在“描述”框中，键入站点的名称，然后单击“下一步”。
键入或单击站点的 IP 地址（默认值为“全部未分配”）和 TCP 端口，然后单击“下一步”。
单击所需的用户隔离选项，然后单击“下一步”。
在“路径”框中，键入或浏览到包含或将要包含共享内容的目录，然后单击“下一步”。
选中与要指定给用户的 FTP 站点访问权限相对应的复选框，然后单击“下一步”。
单击“完成”。
要在以后更改这些设置和其他设置，请右键单击 FTP 站点，然后打击“属性”。


如何创建虚拟目录
在大多数情况下，发布到网站或 FTP 站点的内容位于计算机上的根目录或主目录中，如 C:\Inetpub\Wwwroot\。但是，在某些情况下，内容会放在其他位置甚至远程计算机上。

要从主目录或根目录以外的其他目录中进行发布，可创建虚拟目录。虚拟目录不包含在主目录中，但在显示给客户浏览器时就像位于主目录中一样。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

创建虚拟目录

在 IIS 管理器中，展开“FTP 站点”文件夹，展开要向其中添加虚拟目录的 FTP 站点，右键单击要在其中创建虚拟目录的站点或文件夹，指向“新建”，然后单击“虚拟目录”。出现“虚拟目录创建向导”。
单击“下一步”。
在“别名”框中，键入虚拟目录的名称。这是用户键入的名称，应当简短且易于键入。
单击“下一步”。
在“路径”框中，键入或浏览到驻留虚拟目录的物理目录，然后单击“下一步”。
在“允许下列权限”下，选中与要指定给用户的访问权限相对应的复选框，然后单击“下一步”。
注意 出于安全目的，在选择访问权限时，请考虑只允许默认的“读取”权限。通过按照这种方式限制权限可避免恶意用户攻击网站。有关详细信息，请参阅 Windows 帮助中的保护虚拟目录和访问控制。

单击“完成”。虚拟目录在当前选定的文件夹级别下创建。
如果使用的是 NTFS 文件系统，还可以创建虚拟目录。

创建 NTFS 格式的虚拟目录

打开 Windows 资源管理器。
右键单击要成为虚拟目录的文件夹，然后单击“共享和安全”。
单击“Web 共享”选项卡。
单击“共享文件夹”。
在“别名”框中，键入虚拟目录的名称。
单击“确定”两次。



如何创建应用程序池
要点 只有在工作进程隔离模式下运行时才能使用这个 IIS 6.0 功能。

当 IIS 6.0 在工作进程隔离模式下运行时，可将 Web 应用程序组合到应用程序池中。应用程序池允许将特定配置设置应用于多个应用程序组，并允许工作进程为这些应用程序提供服务。可向应用程序池指定任何 Web 目录或虚拟目录。

通过创建新应用程序池并向它们指定网站和 Web 应用程序，可提高服务器的效率和可靠性，并使其他应用程序即使在新应用程序池终止时也总是可用。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

创建新应用程序池

在 IIS 管理器中，展开本地计算机，右键单击“应用程序池”，指向“新建”，然后单击“应用程序池”。
在“应用程序池 ID”框中，键入新应用程序池的名称。
在“应用程序池设置”下，单击“对新的应用程序池使用默认设置”或“将现有应用程序池作为模板”。
如果您选择的是“将现有应用程序池作为模板”，请从“应用程序池名称”列表框中，单击要用作模板的应用程序池。
单击“确定”。


如何创建和隔离应用程序
要创建应用程序，应将目录指定为应用程序的开始位置（应用程序根目录）。然后您可以设置应用程序的属性。每个应用程序都可以有一个好记的名称；该名称出现在 IIS 管理器中并给出了一种区分应用程序的方法。应用程序名称不在其他地方使用。

网站默认作为根目录级别的应用程序。当您创建一个网站时，同时会创建一个默认应用程序。您可以使用这个根目录级别的应用程序，也可删除它，还可通过删除它并创建一个新应用程序来替换它。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

创建应用程序

在 IIS 管理器中，展开本地计算机，右键单击作为应用程序开始位置的目录，然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“应用程序设置”部分，单击“创建”。如果看到的是“删除”按钮（而非“创建”按钮），则说明应用程序已经创建。
在“应用程序名”框中，键入应用程序的名称。
单击“确定”。
隔离应用程序表示将它们配置为在与 Web 服务器和其他应用程序不同的进程（内存空间）中运行。可在下列某种隔离模式下运行 IIS 6.0：工作进程隔离模式或 IIS 5.0 隔离模式。IIS 不能同时在这两种模式下运行。

在全新安装时，工作进程隔离模式是运行服务器的默认模式。在该模式中，可通过将应用程序添加到包括隔离设置的应用程序池中来隔离它。有关创建和配置应用程序池的详细信息，请参阅配置应用程序池。

在工作进程隔离模式中隔离应用程序

在 IIS 管理器中，展开本地计算机，展开“网站”文件夹，右键单击要隔离的应用程序，然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡（取决于应用程序）。
在“应用程序设置”部分中，在“应用程序池”列表框中，单击应用程序池。
单击“应用”，然后单击“确定”。
IIS 5.0 隔离模式允许您在 IIS 6.0 中运行为早期版本的 IIS 开发的应用程序。

在 IIS 5.0 隔离模式中隔离应用程序

在 IIS 管理器中，展开本地计算机，展开“网站”文件夹，右键单击要隔离的应用程序，然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡（取决于应用程序）。如果在列为“开始位置”目录的目录中，则“应用程序名”框已填好。
从“执行权限”列表框中，单击相应的进程选项。
单击“确定”。在创建单独的进程之前，Web 服务器将完成任何当前的对应用程序请求的处理。在对应用程序的下一个请求中，应用程序将在相应的内存空间中运行。
注意 服务器端的包括文件 (SSI) 和 Internet 数据库连接器 (IDC) 应用程序无法在 Web 服务器之外的内存空间运行。


如何获取和备份 SSL 证书
安全套接字层 (SSL) 证书包含通过网络建立标识（即称为身份验证的过程）所使用的信息。与验证的常见形式一样，证书使 Web 服务器和用户在建立连接前能够互相进行身份验证。

“服务器证书”包含关于服务器的信息，该信息允许客户在共享敏感信息之前对服务器进行确认性识别。“客户端证书”包含关于请求访问站点的客户的个人信息，可在允许其访问站点之前正确加以识别。

本主题限于获取、安装和备份服务器证书。有关获取客户端证书的信息，请参阅获取客户端证书。

有两种方式可以获取服务器证书。您可以颁发自己的证书，也可以从证书颁发机构获取证书。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用非 Administrators 组中的帐户登录到计算机，然后使用运行方式命令来以管理员身份执行该步骤。

发布自己的服务器证书

使用 Microsoft 证书服务 2.0 创建用来发布和管理证书的自定义服务。您可以为 Internet 或公司 Intranet 创建服务器证书，以便公司能够完全控制证书管理策略。有关详细信息，请参阅 Microsoft 证书服务帮助。

–或–

使用 Web 服务器证书向导请求和安装服务器证书。
从证书颁发机构获取服务器证书
查找提供可满足贵公司业务需求的服务的证书颁发机构，然后请求服务器证书。

–或–

使用 Web 服务器证书向导创建证书请求，您可以将证书请求发送到证书颁发机构。
在证书已被处理且返回给您之后，使用 Web 服务器证书向导安装证书。
保护好证书和密钥对非常重要；必须将它们备份到磁盘并保存在安全的地方。

创建服务器证书和私钥的备份副本
查找正确的证书存储。这通常是证书管理器中的本地计算机存储位置。
如果未在 Microsoft 管理控制台 (MMC) 中安装证书管理器，则需要安装它。

在个人存储位置中右键单击证书，指向“所有任务”，然后单击“导出”。
选择“是，导出私钥”。
按照向导默认的设置，当系统提示时，为证书备份文件键入一个密码。
不要选择“如果导出成功，删除密钥”，因为这将禁用当前服务器证书。

完成向导以导出服务器证书的备份副本。
如果已经在 MMC 中安装了证书管理器，它将指向正确的本地计算机证书存储位置。

将证书管理器添加到 MMC

从“开始”菜单，单击“运行”。
在“打开”框中，键入 mmc，然后单击“确定”。出现“Microsoft 管理控制台”。
在“文件”菜单上，单击“添加/删除管理单元”。
在“[屏蔽]”选项卡上，单击“添加”。
从“可用的[屏蔽]管理单元”列表框中，单击“证书”，然后单击“添加”。
单击“计算机帐户”选项，然后单击“下一步”。
单击“本地计算机（运行这个控制台的计算机）”选项，然后单击“完成”。
单击“关闭”，然后单击“确定”。


如何备份和还原配置数据库
IIS 管理员可使用 IIS 管理器或编程管理脚本来创建备份文件。备份文件是指配置数据库配置文件 (MetaBase.xml) 和匹配的配置数据库架构文件 (MBSchema.xml) 的副本。使用配置数据库配置的备份和还原功能，可从备份文件中还原配置数据库。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

创建安全备份（需要密码）
在 IIS 管理器中，右键单击本地计算机，指向“所有任务”，然后单击“备份/还原配置”。
单击“创建备份”。
在“配置备份名称”框中，键入备份文件的名称。
选中“使用密码加密备份”复选框，在“密码”框中键入密码，然后在“确认密码”框中键入同一个密码。
单击“确定”，然后单击“关闭”。
创建不受保护的备份（无需密码）

在 IIS 管理器中，右键单击本地计算机，指向“所有任务”，然后单击“备份/还原配置”。
单击“创建备份”。
在“配置备份名称”框中，键入备份文件的名称。
单击“确定”，然后单击“关闭”。
还原配置数据库备份

在 IIS 管理器中，右键单击本地计算机，指向“所有任务”，然后单击“备份/还原配置”。
在“备份”列表框中，单击要还原的“自动备份”文件的版本，然后单击“还原”。如果被提示输入密码，请键入所选择的用来保护备份的密码。


如何重定向网站
当浏览器请求网站上的网页或程序时，Web 服务器查找由 URL 标识的网页并将其返回到浏览器。当移动网站上的一个网页时，您无法总是更正所有引用该页上的旧 URL 的链接。为了确保浏览器能够找到位于新 URL 的网页，可以命令 Web 服务器将浏览器“重定向”到新 URL。

可以将对一个目录中文件的请求重定向到另一个目录、另一个网站或者另一个目录中的另一个文件。当浏览器请求位于原始 URL 的文件时，Web 服务器命令浏览器通过使用新 URL 请求网页。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

将请求重定向到另一个网站或目录

在 IIS 管理器中，展开本地计算机，右键单击要重定向的网站或目录，然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“此资源的内容来自”下，单击“重定向到 URL”。
在“重定向到”框中，键入目标目录或网站的 URL。例如，要将对 Catalog 目录中文件的所有请求都重定向到 NewCatalog 目录，请键入 /NewCatalog。
重定向对单个文件的所有请求

在 IIS 管理器中，展开本地计算机，右键单击要重定向的网站或目录，然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“此资源的内容来自”下，单击“重定向到 URL”。
在“重定向到”框中，键入目标文件的 URL。
选中“上面输入的准确 URL”复选框以防止 Web 服务器将原始文件名附加到目标 URL 中。
您可以在目标 URL 中使用通配符和重定向变量来准确控制如何将源 URL 转换为目标 URL。

还可以使用重定向方法将对特定目录中文件的所有请求重定向到一个程序。通常，您应该将所有参数从原始 URL 传递到该程序，这可以通过重定向变量来完成。

将请求重定向到程序

在 IIS 管理器中，展开本地计算机，右键单击要重定向的网站或目录，然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“此资源的内容来自”下，单击“重定向到 URL”。
在“重定向到”框中，键入该程序的 URL，其中包括将参数传递到该程序所需的任何重定向变量。例如，要将 Scripts 目录中所有的脚本请求重定向到日志程序中（该程序记录请求的 URL 以及与该 URL 一起传递的任何参数），请键入 /Scripts/Logger.exe?URL=$V+PARAMS=$P。$V 和 $P 是重定向变量。
选中“上面输入的准确 URL”复选框以防止 Web 服务器将原始文件名附加到目标 URL 中。

如何做多个网站的宿主
要创建并宿主多个网站，必须首先确保每个站点都有唯一的标识。为此，您将需要获得多个 IP 地址或者将多个主机头名分配给单个 IP 地址。主机头名是网站的“好记的”名称，例如 www.microsoft.com。

获取并维护多个 IP 地址通常是为大型公司和 Internet 服务提供商 (ISP) 保留的任务，而分配多个主机头名是一个通过 IIS 管理器完成的相当简单的过程。为使用多个主机头名，您的计算机或网络必须使用名称解析系统 （通常为 DNS）。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

分配主机头名

在 IIS 管理器中，展开“网站”文件夹，右键单击该网站，然后单击“属性”。
在“网站”选项卡上，单击“高级”。
单击“添加”。
在相应的框中，键入网站的 IP 地址、TCP 端口和主机头值。
当使用安全套接字层 (SSL) 时，由于主机头包括在加密的客户请求中，所以主机头不起作用。不过，每个服务器可以拥有多个服务器证书、多个 IP 地址以及多个 SSL 端口。



如何向应用程序指定资源
可以通过多种方法指定或限制应用程序使用的资源数量。您可以使用应用程序属性页来控制单个应用程序的性能、缓存和进程选项，或者使用“带宽限制”来限制用于整个站点或应用程序池的资源。第三种方法就是通过 NTFS 文件系统和 Web 服务器安全功能来控制对应用程序的访问。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

使用属性页指定资源

在 IIS 管理器中，展开本地计算机，右键单击应用程序的网站或根目录，然后单击“属性”。
单击“主目录”、“虚拟目录”或“目录”选项卡。
在“应用程序设置”部分，单击“配置”。
在“映射”和“选项”选项卡上，选中相应的复选框以启用或禁用缓存、缓冲和会话状态。
使用带宽限制功能全局指定资源

在 IIS 管理器中，展开本地计算机，右键单击“网站”文件夹，然后单击“属性”。
单击“性能”选项卡。
在“带宽限制”下，选中“限制此服务器上所有 Web 站点的总可用网络带宽”复选框。
在“最大带宽”框中，单击向上和向下箭头，或者键入希望目录中所包含的每个站点使用的最大每秒千字节数。
在“网站连接”下，选择“不受限制”或“连接限制为：”。如果选择“连接限制为：”，请单击该框中的向上和向下箭头，或者键入希望目录中所包含的每个站点使用的最大每秒千字节数。
使用带宽限制功能向单个网站指定资源

在 IIS 管理器中，展开本地计算机，展开“网站”文件夹，右键单击要向其指定资源的网站，然后单击“属性”。
单击“性能”选项卡。
在“带宽限制”下，选中“限制网站可以使用的网络带宽”复选框。
在“最大带宽”框中，单击向上和向下箭头，或者键入希望目录中所包含的每个站点使用的最大每秒千字节数。
在“网站连接”下，选择“不受限制”或“连接限制为：”。如果选择“连接限制为：”，请单击该框中的向上和向下箭头，或者键入最大网站连接数。


如何保存配置
在按照所需的方式启动并运行站点和应用程序之后，您可以将全部或部分配置保存为备份副本，也可以从其他站点或计算机导入它们或者将它们导出到其他站点或计算机。

每当配置数据库发生更改时，IIS 就会自动创建配置数据库配置和架构文件的备份副本。管理员还可以根据需要创建备份文件，或者创建单个站点或应用程序配置的备份副本，然后将它们导出到其他站点或计算机或者从其他站点或计算机导入它们。

备份文件只包含配置数据；它们不包括内容（.asp 文件、.htm 文件、.dll 文件等）。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

保存配置数据库配置

在 IIS 管理器中，右键单击“本地计算机”，指向“所有任务”，然后单击“备份/还原配置”。
单击“创建备份”。
在“配置备份名称”框中，键入备份文件的名称。
如果要用密码加密备份文件，请选中“使用密码加密备份”复选框，然后在“密码”和“确认密码”框中键入密码。
单击“确定”，然后单击“关闭”。


还原配置数据库配置

在 IIS 管理器中，右键单击“本地计算机”，指向“所有任务”，然后单击“备份/还原配置”。
从“备份”列表框中，单击以前的备份版本，然后单击“还原”。
当出现确认消息时，单击“是”。
单击“确定”，然后单击“关闭”。


保存站点或应用程序配置

在 IIS 管理器中，右键单击要备份的站点或应用程序，指向“所有任务”，然后单击“将配置保存到一个文件”。
在“文件名”框中键入文件名。
在“路径”框中键入或浏览到用于保存文件的位置。
单击“确定”。



如何配置回收
要点 只有在工作进程隔离模式下运行时才能使用这个 IIS 6.0 功能。

在工作进程隔离模式中，可以将 IIS 配置为定期重新启动分配给应用程序池的工作进程，从而允许您回收有问题的 Web 应用程序。回收可以使存在问题的应用程序保持顺利运行，尤其是在无法修改应用程序代码时。这确保这些应用程序池保持正常运行，且可以恢复系统资源。

您可以将工作进程配置为基于经过的时间、服务的请求数、计划的时间或内存利用率来重新启动，也可以将它们配置为按需启动。

要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

配置要在经过一定时间后回收的工作进程

在 IIS 管理器中，展开本地计算机，展开“应用程序池”，右键单击该应用程序池，然后单击“属性”。
在“回收”选项卡上，选中“回收工作进程(分钟)”复选框。
单击向上或向下箭头，设置在经过多少分钟后回收工作进程。
单击“确定”。
配置要在处理一定数量的请求后回收的工作进程

在 IIS 管理器中，展开本地计算机，展开“应用程序池”，右键单击该应用程序池，然后单击“属性”。
在“回收”选项卡上，选中“回收工作进程(请求数目)”复选框。
单击向上或向下箭头，设置在处理多少请求后回收工作进程。
单击“确定”。
配置要在计划的时间回收的工作进程

在 IIS 管理器中，展开本地计算机，展开“应用程序池”，右键单击该应用程序池，然后单击“属性”。
在“回收”选项卡上，选中“在下列时间回收工作进程”复选框。
单击“添加”向列表中添加一个时间，单击“删除”从列表中删除一个时间，或者单击“编辑”更改将回收工作进程的现有时间。
单击“确定”。
注意 如果将回收设置为在计划的时间进行，则在系统时间发生变化时，回收可能不按计划进行。为了避免无意更改计划的回收时间，请在系统时间更改之后立即回收计划的工作进程。

配置要在消耗一定内存量之后回收的工作进程

在 IIS 管理器中，展开本地计算机，展开“应用程序池”，右键单击该应用程序池，然后单击“属性”。
在“回收”选项卡上，在“内存回收”下，选中“最大虚拟内存(兆)”或“最大使用的内存(兆)”复选框。
单击向上或向下箭头，设置内存限制。
单击“确定”。


如何远程管理服务器
您可以远程管理 Intranet 或 Internet 上运行 IIS 的服务器。可以针对该用途使用下列工具：

IIS 管理器：您可以在服务器上使用 IIS 管理器远程连接到运行 IIS 5.0、IIS 5.1 和 IIS 6.0（不支持 IIS 3.0 和 IIS 4.0）的 Intranet 服务器，并对其进行管理。
终端服务：终端服务不要求您在远程客户机上安装 IIS 管理器，这是由于一旦连接到运行 IIS 的服务器，您就可以像登录到本地一样使用 IIS 管理器。
远程管理 (HTML) 工具：您可以使用远程管理 (HTML) 工具从 Intranet 上的任何 Web 浏览器管理 IIS Web 服务器。本版本的远程管理 (HTML) 工具只在运行 IIS 6.0 的服务器上运行。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限，才能执行下列步骤。作为安全性的最佳操作，请使用不属于 Administrators 组的帐户登录计算机，然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下，键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。

使用 IIS 管理器远程管理 Intranet 服务器

在网络上运行 Windows Server 2003 家族成员的任何计算机上启动 IIS 管理器。
要连接到远程 IIS 计算机，请右键单击本地计算机，然后单击“连接”。
在“计算机名”框中，键入或浏览要连接到的计算机。
单击“确定”。
注意 如果未安装 TCP/IP 和名称解析服务器（如 Windows Internet 名称服务 (WINS)，则可能无法使用计算机名连接到 IIS 计算机。还可以使用 IIS 计算机的 IP 地址。详细信息，请参阅 Windows 帮助中的 TCP/IP。

使用终端服务远程管理服务器

在连接时所使用的计算机上安装终端服务客户端程序。
当远程计算机正在运行时，启动终端服务并标识远程计算机的名称。
从“终端服务”窗口，像在本地那样管理 IIS。可在网络上运行 Windows 的计算机上启动 IIS 管理器，或者打开基于 Web 的服务器管理工具。还可以从“终端服务”窗口运行脚本。
通过控制面板启用远程管理 (HTTP) 工具

从“开始”菜单，单击“控制面板”。
双击“添加或删除程序”。
在左侧窗格中，单击“添加/删除 Windows 组件”。
单击“应用程序服务器”，然后单击“详细信息”。
选择“Internet 信息服务 (IIS)”，然后单击“详细信息”。
单击“万维网服务”，然后单击“详细信息”。
选中“远程管理 (HTML)”复选框，然后单击“确定”。
再单击两次“确定”，单击“下一步”，然后单击“完成”以完成“Windows 组件向导”。
从 IIS 管理器查看远程管理 (HTML) 工具

展开本地计算机，展开“网站”文件夹，右键单击 Administration 网站，然后单击“浏览”。
用远程管理 (HTML) 工具管理 IIS Web 服务器

从 Web 浏览器打开 Intranet 站点，然后在地址栏中键入 https://hostname:8098，其中 hostname 是要连接和管理的计算机名称。

彻底掌握IIS6.0功能及应用详解


        关于IIS 6.0的故事一言难尽，如果你已经在IIS技术上有所投资，IIS 6.0无疑是一个动人的、非听不可的话题。鉴于IIS 6.0和以前版本的差别实在太大了，只用一篇文章很难做到面面俱到，所以本文首先探讨IIS 6.0的安装、体系结构以及由于体系结构方面的差异带 来的全新服务功能，下一篇文章接着介绍IIS 6.0的新特性——其中有些你可能还没有听说过，另外还有默认配置方面的一些重要变化，这些变化可能会影响到你的迁移计划。

　　一、安装IIS 6.0

　　首先从最基本的说起吧。IIS 6.0包含在Windows Server 2003服务器的四种版本之中：数据中心版，企业版，标准版，Web版。另外，顺便再回答一个最常见的IIS 6.0问题：IIS 6.0不能在Windows XP、2000或NT上运行。

　　安装好Windows 2003之后，马上就可以看到Windows 2003/IIS 6.0的与众不同之处，其中一个关键的变化是，除了Windows 2003 Web版之外，Windows 2003的其余版本默认不再安装IIS。按照微软过去的理念，安装操作系统的同时IIS也自动启动，为许多Web应用提供服务，Windows 2003的做法可谓一大突破。在Windows 2003中，安装IIS有三种途径：利用“管理您的服务器”向导，利用控制面板“添加或删除程序”的“添加/删除Windows组件”功能，或者执行无人值守安装。

　　第一次启动Windows 2003系统时，“管理您的服务器”向导自动启动，如图一所示。


1.gif
　　图一

　　选择“添加或删除”角色，在“配置服务器”向导中可以看到一系列可配置的服务器角色，其中就有“应用程序服务器（IIS，ASP.NET）”选项，如图二，选中该选项之后点击“下一步”，向导提供了是否安装ASP.NET和Microsoft FrontPage服务器扩展的选项。可以看到，微软在这里采用了一种新型的“安装任何部件之前总是征求用户意见”的IIS安装策略，对于微软来说，这是一个彻底的转变，证明微软确实在认真对待安全问题。

2.gif
　　　图二
        使用控制面板中的“添加/删除Windows组件”功能还要灵活一些。在向导中选择“应用程序服务器”，再点击“详细信息”，向导显示出一系列组件的清单，其中就有“Internet信息服务（IIS）”选项，还有一些选项是以前的“添加/删除Windows组件”向导没有提供的，表一概括比较了IIS 6.0和IIS 5.0 的主要组件。如果从这里安装IIS 6.0，最后得到的Web服务器可能只支持静态内容（除非在安装期间选中了某些扩展组件）。选中Internet信息服务选项，再点击“详细信息”，可以看到IIS 6.0的子组件，如图三所示。


3.gif

　　图三



表一：IIS 6.0和IIS 5.0组件比较 
IIS 6.0  IIS 5.0 
应用程序服务器  Internet信息服务 
    应用程序服务器控制台      公用文件 
    ASP.NET      文档 
    启用网络COM+访问      文件传输协议（FTP）服务 
    启用网络DTC访问      FrontPage 2000服务器扩展 
    Internet信息服务      Internet信息服务管理单元 
      后台智能传送服务（BITS）服务器扩展      Internet服务管理器（HTML） 
        BITS管理控制台管理单元      NNTP 
        BITS服务器扩展ISAPI      SMTP 
      公用文件      万维网服务 
      文件传输协议（FTP）服务   
      FrontPage 2002服务器扩展   
      Internet信息服务管理器   
      Internet打印   
      NNTP服务   
      SMTP服务   
      万维网服务   
        Active Server Pages   
        Internet数据连接器   
        远程管理（HTML）   
        远程桌面Web连接   
        在服务器端的包含文件   
        WebDAV发布   
        万维网服务   
    消息队列   
      Active Directory集成   
      公用   
      下层客户端支持   
      MSMQ HTTP支持   
      路由支持   
      触发器   



　　也许你已经注意到了表一列出的某些新增组件选项，但你注意到IIS 6.0少了什么吗？IIS 6.0中消失不见的最主要的一个项目是文档。在IIS 6.0中，所有文档都以帮助文件的形式发布，不再有IISHelp虚拟目录。在IIS 5.0中，如果从本地访问服务器，默认Web网站自动打开IIS的文档，但在IIS 6.0中，如果打开“
http://localhost”，只能看到一个声明网站正在构建之中的页面。

　　另外，在IIS 5.0的IISHelp虚拟目录中有一些错误处理页面，这些错误处理页面以ASP的方式实现。如果你要用到定制的（或者修改过的）帮助文件、错误处理页面，在IIS 6.0网站上必须自己创建该目录。
进一步分析IIS 6.0的子组件清单，可以发现：原来在IIS 5.0和IIS 4.0中默认安装的Internet服务管理器（ISM）已经不见了。但是，如果你点击“万维网服务”（IIS 6.0的子组件之一，但图三没有显示出来），再点击“详细信息”，可以发现IIS 6.0的万维网服务还有子组件，如图四所示，其中包括原来的Internet服务器管理器，不过现在已经改名为“远程管理（HTML）”；还有Windows 2003和XP版本的终端服务高级客户端（TSAC）——现在它叫做“远程桌面Web连接”。现在，我们不仅可以方便地添加或删除这两个子组件，对其他子组件也一样，包括：ASP，Internet数据连接器，在服务器端的包含文件，WebDAV发布，当然还有万维网服务。




　　安装IIS 6.0的最后一种方式是无人值守安装。和以前一样，这仍旧是唯一一种能够将工具和默认Web网站安装到其他驱动器（而不是系统驱动器）的安装方式。Windows 2003无人值守安装方式大体上仍和Win 2K一样，都是用Sysocmgr和一个应答文件实施安装。当然，新的特性需要新的参数、选项，有关这方面的详细说明，可以在Windows 2003 Release Candidate 2 （RC2）找到，地址是：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsnetserver/proddocs/datacenter/gs_installingiis.asp。

　　如果将IIS 5.0或IIS 4.0服务器升级到Windows 2003，IIS 6.0不会被设置成自动启动。也就是说，如果采用升级的方式安装，IIS 6.0默认是禁用的，除非遇到下列情况之一：

　　⑴ 以前的IIS服务器上已经安装了IIS Lockdown工具。

　　⑵ 存在注册子键
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\RetainW3SVCStatus，且它包含一个任意的注册键。例如，你可以创建一个名为EnableIIS6的键，设定它的值为DWORD类型的1。

　　⑶ 在无人值守的升级安装中，应答文件的[InternetServer]部分存在DisableWebServiceOnUpgrade = True/False条目。


　　二、支持服务

　　自IIS 6.0发布以来，它的某些新特性一直是人们关注和议论的焦点，成为众人瞩目的明星，但另一些Internet支持服务虽然不是经常有人说起，却同样值得关注，其中之一就是POP3服务和POP3服务Web管理器。我们无从得知微软为何不在“应用程序服务器”组件清单中列出POP3服务，但是继SMTP服务之后（SMTP服务随同POP3服务一起安装），管理员们盼望POP3服务已经很久了，他们一直在期盼着用一个简单的POP3服务来替代庞大的Microsoft Exchange Server。

　　统一描述、发现和集成协议（Universal Description, Discovery, and Integration，即UDDI）服务是Windows 2003提供的又一种新的功能，它也与IIS有关，但默认不安装（注意，Windows 2003 Web版不能安装UDDI）。UDDI是一种产业标准（即不是微软的发明），能够通过广告发布IIS服务器提供的Web服务——这里“广告”一词的含义与日常生活中的广告不同，它是指一种让客户程序（通常是Web浏览器）获知Web服务（通常是ASP.NET应用）各种细节的方式。UDDI仍在发展之中，但一些企业已经在内部采用UDDI，以便开发者将自己的代码发布给其他协作开发的人。有关UDDI的更多知识，可以在下列网站找到：http://www.uddi-china.org/（中文），http://www.uddi.org（英文），http://www.uddicentral.com（英文）。

　　最后一种重要的支持服务是后台智能传送服务，即 Background Intelligent Transfer Service或BITS。BITS是一种后台文件传输机制和队列管理器，也称作节流传输服务。BITS控制文件请求，减少带宽消耗并改善最终用户的体验。针对IIS启用BITS可保证Web服务器的服务质量，如果没有BITS，当100个用户同时下载一个500 MB的文件，服务器的带宽可能就被消耗殆尽，导致其他访问Web服务的用户频繁地遇到超时错误。如果BITS就象广告说的那样有效，可以料想它将是一种非常实用的服务。Windows 2003发布之后，按照计划，BITS还将移植到Win2K上。关于BITS的更多信息，请参见http://www.microsoft.com/windows.netserver/techinfo/overview/bits.mspx。

三、全新的内核

　　从体系结构上看，IIS 5.0和IIS 4.0其实是一样的：它们都是在用户模式下运行的发布Web内容的应用程序，或者在Inetinfo进程之内以System帐户运行，或者在Inetinfo进程之外以IWAM用户运行。虽然在较重的负载下，IIS 5.0也有相当出色的表现；不过从IIS 6.0开始，我们对IIS底层结构的看法应该改变了。为了使IIS不仅能够轻松地支持1000个Web网站，而且能够支持10000个甚至更多的网站，同时还要提高Web服务器的安全性和可靠性，微软放弃了原有的IIS内核，重新构造了一个。

　　另一个促使微软重新构建IIS内核的原因是，微软（以及其他厂商）认识到，Web服务器的性能和可靠性问题绝大部分是由于质量低劣的Web应用造成。IIS 5.0通过带缓冲池的Out of Process容器减轻这类问题。在IIS 5.0中，在Out of Process池中运行的应用一旦崩溃，一般不会波及到IIS本身，因为应用程序在Inetinfo之外的进程中运行，但运行在Out of Process池之内的所有Web应用都会终止——在默认情况下，所有的应用程序都在该池之中运行。在这种情况下，排解故障很不容易，因为要确定哪一个应用程序导致了问题非常困难。IIS 6.0将[屏蔽]请求、创建和监视Web网站、运行Web服务这些不同的任务隔离了开来，这一新型体系可望解决IIS 5.0存在的问题。从理论上看，新的体系将极大地改善可用性、安全和性能；从实际情况看，根据微软和Beta测试者的报告，新的体系令稳定性和性能有了奇迹般地提高。IIS 6.0的内核体系主要建立在三个组件之上：W3SVC，http.sys，以及W3Core。

　　■ W3SVC

　　W3SVC也许是IIS 6.0体系中最不令人注意的组件，不过这并不说明它不重要。W3SVC的任务是根据配置数据的设置创建和监视工作线程，由工作线程运行Web网站应用。在IIS 5.0中，与IIS 6.0 W3SVC组件最接近的是IIS管理服务，IIS管理服务是Inetinfo的一部分；
因此，如果Inetinfo出现问题，IIS管理服务也会出现问题，而且此时的IIS管理服务不能再重新启动Inetinfo或其他故障的应用程序。在IIS 6.0中，W3SVC作为一个[屏蔽]的进程运行，Web应用的故障不可能波及W3SVC，因为W3SVC之内根本没有第三方的代码运行。W3SVC总是处于运行状态，因此它能够监视Web应用的健康状况，并在必要时采取行动。由于这一策略，服务器能够根据用户指定的参数监视和重新启动应用程序。

　　■ http.sys

　　IIS 6.0体系设计中最重大的变化是加入了http.sys驱动程序，http.sys驱动程序的任务是处理HTTP请求，而且它在内核模式下执行操作。不要小看这一改变，将处理HTTP请求的任务从IIS 5.0、IIS 4.0的用户模式改变到IIS 6.0的内核模式标志着新一代IIS服务器的诞生。

　　在Win 2K和NT 4.0中，IIS在用户模式下运行。运行在用户模式下的应用程序不直接与硬件通信，它们直接调用的是一些标准过程，这些标准过程或者将数据传入内核模式的组件（例如网卡驱动程序，图形子系统），或者调用内核模式组件的函数，以此完成保存文件、设置IP地址、将HTML文件发送到网络之类的任务。

　　用户模式和内核模式之间的转换是一项开销很大的操作，服务器首先从内核模式的TCP/IP栈将传入的HTTP请求传递给用户模式的Winsock，由Winsock将请求传递给IIS。从内核模式到用户模式的切换很快发生，但不可避免地给处理过程带来瞬间的延迟。当负载较大时，这种延迟不断累加，同时由于这种转换是必不可少的，所以管理员根本没有办法优化处理过程。

　　IIS 6.0的https.sys内核模式驱动程序极大地减少了用户模式和内核模式之间的切换次数。http.sys[屏蔽]着HTTP请求，决定由哪一个用户模式的进程来处理该请求，或者是否由驱动程序本身返回用户请求的内容。

　　IIS 6.0在用户模式下运行，完全依赖内核模式的http.sys作为接收用户请求的服务器引擎。因此，http.sys必须能够在任何时候作出相应，必须具有极高的可靠性。用户代码可能导致进程出错，所以微软把http.sys设计成不执行任何用户代码，这样，即使应用程序出现了故障，也不会影响到IIS 6.0本身，IIS 6.0仍能够照常[屏蔽]HTTP请求。

　　如果要从内核模式的缓冲区返回静态的应答，一个高速的、内核模式的、不允许运行应用程序代码的HTTP处理器是十分理想的，它减少了切换到用户模式的昂贵开销，能够从内核模式的缓冲区快速返回应答。IIS 6.0的http.sys就管理着这样一个缓冲区，而且使用了高度优化的启发式缓冲区算法来确定哪些内容要放入缓冲区，例如，http.sys可能只缓冲那些出现了一次以上请求的内容。

　　由于http.sys直接从应答缓冲区提取静态内容，不必再切换到用户模式，所以与IIS 5.0的性能相比，IIS 6.0的整体性能有了显著提升。根据微软的资料显示，WebBench基准测试表明IIS 6.0返回静态内容的速度要比IIS 5.0快150％。即使以IIS 5.0的隔离模式运行IIS 6.0服务器（这时，IIS 6.0的体系结构与IIS 5.0的相似），同样也能从http.sys驱动程序的应答缓冲区和其他改进之处获益。

　　另外，微软在http.sys驱动程序中采用了许多优化的算法，使其能够将请求直接转发到适当的工作进程。在IIS 4.0和IIS 5.0中，必须通过多个步骤才能确定进程的哪一个实例拥有了应当接收当前请求的Web应用，但在IIS 6.0中，http.sys注册了所有IIS 6.0应用，赋予每一个进程一个句柄，IIS内部利用这些句柄来标识注册的应用程序要用到的一个或多个名称空间。因此，当http.sys接收到一个HTTP请求，它能够很快地将请求从内核模式的http.sys传递到正确的用户模式的Web应用。

http.sys驱动程序还要执行其他一些任务，其中包括：

　　⑴ 将传入的URL与各种长度、格式方面的规则进行比较。

　　⑵ 管理传入请求的队列。

　　⑶ 担负着记录IIS Web网站日志信息的任务（从而提高了记录日志的性能）。

　　⑷ 实施带宽限制策略以及支持TCP/IP级的管理。

　　⑸ 实现客户证书请求服务（但不支持安全套接字层——SSL）。

　　由于http.sys是一个操作系统的驱动程序，而不是一个IIS组件，因此该驱动程序的配置在注册表而不是IIS配置数据中进行。当前，还有许多http.sys的注册表设置项目尚无正式的说明文档，它可能意味着微软不鼓励用户修改这些设置，因为这些设置项目将来可能会有变化。http.sys驱动程序的注册表设置项目位于
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP下面，在这里可添加各种注册键（默认配置中不包含这些注册键），诸如：

　　⑴ EnableNonUTF8：如果加入EnableNonUTF8子键，并将它的值设置成0，http.sys只接受UTF-8编码的URL。UTF-8的全称是Universal Character Set（UCS）Transformation Format 8，这是一种字符集标准，标准全文在http://www.ietf.org/rfc/rfc2279.txt，它允许使用多国语言的字符集。默认情况下，EnableNonUTF8的值是1，表示IIS接受UTF-8、ANSI、双字节字符集（DBCS）编码的URL。

　　⑵ PercentUAllowed：当这个子键设置成1时（默认值），http.sys认可那些部分字符用％uNNNN表示的URL，其中NNNN是一组表示实际字符的数字。当PercentUAllowed设置成0时，IIS 6.0将拒绝那些部分字符用这种方式表示的URL。

　　％uNNNN是一种不太常用的Unicode符号，不要将它与常见的UTF-8表示形式混淆。在UTF-8表示形式中，％20表示一个空格，例如http://www.iisanswers.com/new article.htm相当于http://www.iisanswers.com/new％20article.htm，两者之间的转换由IE浏览器自动完成，不管EnableNonUTF8和PercentUAllowed设置成了什么值，IIS 6.0都会接受。

　　这两项设置，再加上其他可以在IIS 6.0文档中找到的设置项目，从一个侧面反映了IIS 6.0在URL解析方面的改进。在IIS 5.0中，一些重大的安全问题与Web服务器解析URL的方式有密切的关系，现在微软终于解决了原先存在的缺陷，同时作出了一些改进，允许管理员更加明确地定义IIS 6.0解析URL的规则。在天生具有国际化特点的Internet上，多国语言并存，这些改进之处尤其具有重要意义。

　　关于Unicode的更多信息，请参见http://www.unicode.org；关于IIS 5.0缺陷的更多信息，请参见 http://www.wiretrip.net/rfp/p/doc.asp/i5/d57.htm。在Windows Server 2003 Resource Kit中可以找到一个帮助配?ttp.sys的工具。

　　■ W3Core

　　默认情况下，IIS 6.0在工作进程隔离模式下运行，如图五所示。在这种模式中，对于每一个Web应用，IIS 6.0都用一个[屏蔽]的w3wp.exe的实例来运行它。w3wp.exe也称为工作进程（Worker Process），或W3Core。




　　因此，工作进程隔离模式不存在进程内（In-Process）应用程序存在的问题，有效地提高了可靠性和安全性。可靠性的提高是因为一个Web应用的故障不会影响到其他Web应用，也不会影响http.sys，每一个Web应用由W3SVC单独地监视其健康状况。安全性的提高是由于应用程序不再象IIS 5.0和IIS 4.0的进程内应用那
样用System帐户运行，默认情况下，w3wp.exe的所有实例都在一个权限有限的“网络服务”帐户下运行，如图六所示，必要时，还可以将工作进程配置成用其他用户帐户运行。




　　如果缓冲区溢出攻击成功入侵了一个Web应用，攻击者只能访问当时运行工作进程的帐户有权访问的资源，默认的网络服务帐户不能写入Inetpub文件夹，执行权限也极其有限，所以象CodeRed蠕虫之类的攻击根本不可能得逞。

　　某些Web应用，特别是有些Internet Server API（ISAPI）筛选器，在进程外运行时可能会遇到问题。在IIS 5.0和IIS 4.0中，ISAPI筛选器总是在Inetinfo之内运行，它们的设计目标本来就不是在进程外运行，正是由于这个原因，某些筛选器在IIS 6.0的工作进程隔离模式中运行时可能会出现问题——特别地，调用SF_READ_RAW_DATA或SF_SEND_RAW_DATA的筛选器尤其明显。为此，IIS 6.0还提供了第二种操作模式，称为IIS 5.0隔离模式。如果ISAPI筛选器不能在工作进程隔离模式下正常运行，在IIS 5.0隔离模式下应该没有问题。在这第二种操作模式中，应用程序仍旧能够从IIS 6.0的许多改进中获益，例如http.sys驱动程序带来的性能、可靠性的提高。

　　在IIS 6.0文档中，可以看到一种叫做“应用程序池”的新特性。一个应用程序池包含一个或者一组工作进程，而且应用程序池是可以命名的。应用程序池可以从下列角度理解：在IIS 5.0中，我们可以将应用程序保护设置为低级（IIS进程）、中级（缓冲池）、高级（隔离），这个功能虽然很有用，但如果我们想要在一个池（一个dllhost.exe的实例）中运行两个应用程序，在另一个池（另一个dllhost.exe的实例？）中运行另外两个应用，该怎么办？IIS 5.0没有提供命名dllhost.exe实例的途径，因而也就不能将两个特定的应用放入某个池运行。IIS 6.0的应用程序池允许指定名称，如图七，通过网站“属性”对话框的“主目录”页，可以方便地将Web网站或目录放入应用程序池。


四、应用程序池详解

　　前面我们了解了IIS 6.0体系结构的关键组件，下面来看看有关应用程序池的一些问题。应用程序池的“属性”对话框有四页——回收，性能，运行状况，标识，如图六所示。在这些选项页中，最引人注目的恐怕就是“回收”页，使用该选项页可以管理工作进程的回收。在工作进程隔离模式中，
IIS可以配置成定期重新启动应用程序池中的工作进程，从而更好地管理那些有错误的工作进程。这确保了池中的应用程序运行正常，并且可以恢复丢失的系统资源。为了回收工作进程，失败工作进程接收请求的能力将被限制，直到它处理完存储在请求队列中的所有剩余请求。为了排出当前请求，可以给予进程配置限制。同一命名空间组的替换工作进程在旧的工作进程停止前启动，从而防止服务中断。旧的进程完成其未决的请求，然后正常关闭，或者如果在达到了配置的时间限制、请求数、设置的时间计划，或当达到指定的内存用量限制后仍没有关闭，则明确地终止进程。默认情况下，应用程序池每隔1740分钟（29小时）回收一次。

　　W3SVC根据“运行状况”页的选项来判断应用程序池运行是否正常，包括：每隔指定的时间Ping工作进程，时间按秒计，默认值30秒；启动时间限制（工作进程必须在指定的时间内开始）；关闭时间限制（工作进程必须在指定的时间内关闭）；是否启动快速失败保护（如果在指定的时间段内一定数目的工作进程发生失败，则禁用应用程序池）。另外，ISAPI应用程序（包括ASP.NET和asp.dll）可以声明自己不再适合提供服务，要求回收。

　　默认情况下，当IIS 6.0回收一个池时，它会使用一种称为overlapped recycle的回收技术。在这种回收模式下，失败的工作进程仍会保持运行状态，同时创建一个新的工作进程。IIS 6.0把新传入的请求传递给新的工作进程，但不拆除老的工作进程，直至老的工作进程处理完它队列中的请求，或者遇到超时错误。在此期间，TCP/IP连接不会丢失，因为有http.sys保持着连接的有效性。当失败的工作进程超时出错时，下一个请求传递给工作进程的请求是新的请求，因此原来保存在进程中的会话信息就会丢失。所有这类回收操作都自动进行，无需管理员干预，而且在大多数情况下，不会造成明显的服务中断现象。如有必要，可以将配置数据属性LogEventOnRecycle的值设置为1，指示W3SVC执行回收操作时生成一条事件日志记录。

　　对于那些不能以多个实例运行的应用程序，overlapped recycle回收技术可能引起问题。如果遇到这类问题，可以将配置数据属性DissallowOverlappingRotation的值设置成True（1），关闭某个应用程序池回收操作时的进程“重叠”现象。另外，对于失败的工作进程，有时我们可能不想将它拆除，仍旧保留该进程，以便检测和寻找发生问题的根源，这时可以将配置数据属性OrphanActionExe设置成执行文件的名字，使得工作进程成为“孤儿”时执行文件仍保持运行状态。

　　另一个与应用程序池有关的特性是，IIS 6.0允许将应用程序池配置成一个Web园（Web Garden）。要理解Web园的概念，可以设想这样一种情形：假设有一个IIS 5.0服务器和三个Web网站，每一个Web网站运行着相同的应用程序，如果IIS 5.0能够自动按照圆形循环的模式将请求依次发送给这些功能上等价、实际上分离的Web网站，将负载分离到三个不同的进程，就可以构成一个小型的Web农场（Web Farm）——这就是Web园。

　　在IIS 6.0的Web园中，我们不必创建额外的Web网站，只要指定用于某个应用程序池的工作进程的数量就可以了。具体的配置步骤是：打开应用程序池的“属性”对话框，转到“性能”页，在“Web园”下面的“最大工作进程数”输入框中输入进程数量，如图八。当服务器的负载较小，不需要额外的工作进程时，IIS 6.0在一定的时间后（默认20分钟，可配置）自动缩减实际的工作进程数量；如果负载变大，需要额外的工作进程，IIS 6.0再次增加工作进程数量。这一切操作都自动进行，不需要管理员干预。





　　

　　两个新的配置数据属性——SMPAffinitze和SMPAffinitzeCPUMask——允许配置为工作进程指派的特定处理器：将SMPAffinitized属性设置成true表示应该把分配给应用程序池的特定工作进程指派给特定的CPU，SMPProcessorAffinityMask属性用来配置十六进制的处理器掩码，该十六进制处理器掩码指出应用程序池中的工作进程应该绑定到哪个CPU。

　　写到这里，文章的篇幅似乎已经太长了。本文主要从体系结构的角度介绍IIS 6.0的新特性，并且尽力做到全面，至少要比通常见到的介绍更完善一些。文章的第二部分将涵盖更多的IIS 6.0新特性，你会发现许多新特性正是自己长久以来盼望的。
        前文介绍了IIS 6.0的安装和Web服务器的新型体系结构。IIS 6.0新特性的数量多得令人惊奇，其中一些特性是如此引人注目，以至于人们的大部分注意力都被它们吸引。在这第二篇介 绍IIS 6.0的文章中，我们不仅将了解这些已成为“明星”的特性，还将关注一下IIS 6.0各种较少有人注意却同样重要的改进之处。

　　一、安全

　　微软一次又一次地做着同样一件事情——某个软件产品出了问题，饱受人们诟病，于是赶紧发布新的版本将问题解决。例如，发布Windows NT 4.0之后，因稳定性问题而饱受批评；于是微软发布了Windows 2000，新操作系统的稳定性颇受好评，但Win 2K服务器默认安装的IIS 5.0却成了巨大的安全隐患，需要下大力气加以整治才能解决问题。IIS 6.0默认不安装，如果按照缺省方式安装，Web服务器只能提供静态内容服务。因此，从这个角度看，即使以后IIS 6.0应用引擎和组件突然出现了问题，IIS 6.0还是极大地降低了安全风险。另外，Windows Server 2003还有一个新的组策略“禁止安装IIS”，有了该组策略，我们就可以禁止Windows 2003在活动目录（AD）森林中禁止不准备作Web服务器用的机器上安装IIS 6.0，防止网络上出现根本无用的、不安全的IIS 6.0服务器。不过，目前这个组策略只对Windows 2003服务器有效，不能防止Windows XP Pro和Win 2K的机器安装IIS 5.0。

　　当然，由于刚刚安装好的IIS 6.0不支持动态内容，所以出现了第二个人们经常会问的问题：“为什么我的服务器不能运行ASP？”（前文提到，第一个人们经常会问的问题是：“IIS 6.0可以在Win 2K服务器上运行吗”？答案是“不”）。要想在IIS 6.0上运行程序，必须使用IIS 6.0的一种新特性，即Web服务扩展，或Web Service Extension（这个名字似乎意味着它与XML Web服务有某种关系，实际情况并非如此。）


　　如果要为某个程序启用Web服务扩展，首先打开IIS管理器（在“控制面板”→“管理工具”中。以前叫做Internet服务管理器或ISM），如图一，点击“添加一个新的Web服务扩展”，启动向导创建一个新的规则。为规则指定一个名字，然后找到想要启用的执行文件。另外，\system32\inetsrv下有一个iisext.vbs脚本，它也能够配置并管理运行带有IIS 6.0的Windows Server 2003的Web服务扩展、应用程序和单独的文件。管理员可以使用此脚本来启用和列出应用程序；添加和删除应用程序依赖性；启用、禁用和列出 Web 服务扩展；添加、删除、启用、禁用和列出单独文件。



7.gif

图一

　　在图一中，注意“所有未知ISAPI扩展”和“所有未知CGI扩展”这两种Web服务扩展。默认情况下，这两种扩展是禁用的，意味着除非明确地允许一个应用在IIS 6.0上运行，否则它就不能运行。如果一个用户请求了某个没有启用的文件，IIS 6.0将向用户返回404错误——文件或目录没有找到，同时在W3SVC日志中记录“
404.2文件或目录无法找到：锁定策略禁止该请求”。在IIS 6.0中，404.2和其他子状态代码是W3SVC日志文件的一项可选功能，用来帮助排解故障、疑难（IIS 5.0和IIS 4.0中也有子状态代码，不过不会在日志文件中记录，但可以将它们转到定制的错误页面，便于根据子状态代码执行特殊的处理）。IIS 6.0的子状态代码很有用，它们提供了描述问题的详细信息，例如：403.20，禁止访问：Passport登录失败；403.18，禁止访问：无法在当前应用程序池中执行请求的URL；404.3，文件或目录无法找到：MIME映射策略禁止该请求；500.19，服务器错误：该文件的数据在配置数据库中配置不正确。所有这些错误和其他错误都映射到定制的错误页面，错误页面不会把子状态代码发送给用户，攻击者无法获知具体的错误信息。

　　另一个安全方面的改进之处是IIS 6.0允许指派一个加密服务提供者（Cryptographic Service Provider，CSP），能够将基于硬件的安全套接字层（SSL）加速器集成到IIS 6.0，从而把加密任务从服务器的通用CPU转移到了专gate为加密操作而优化的专用设备，有利于提高性能和可靠性。
二、配置数据

　　在IIS 5.0和IIS 4.0中，配置数据库采用二进制文件结构，但IIS 6.0放弃了这一做法。IIS 6.0的配置数据由两个XML文件构成：一个是Metabase.xml，包含IIS 6.0服务器的配置信息；另一个是mbschema.xml，包含配置数据的模式定义。IIS管理器提供了一项新的功能，允许保存配置数据副本，只要右击Web网站，然后选择“所有任务”→“将配置保存到一个文件”，然后指定配置数据副本的文件名字和保存路径即可。按照这种方式保存配置数据时，IIS 6.0利用系统的机器码（Machine Key）加密配置数据的某些部分，因此，配置数据的副本只对创建该副本的机器有用。

　　不过，在“将配置保存到一个文件”对话框中，我们可以选中“用密码对配置进行加密”选项，然后指定密码，用密码来保护导出的配置文件。如果提供了密码，IIS 6.0将用密码来替代机器码，以后只要提供同一个密码，就可以将配置数据导入到另一个服务器。另外，我们可以使用命令行脚本iisback.vbs（在systemroot\System32中）创建和管理远程或本地计算机的IIS配置的备份副本，管理员可以使用此脚本工具创建其IIS配置的备份副本，从备份副本还原IIS配置以及列出和删除备份副本。

　　有些时候，我们只要保存某个应用程序池、Web网站或虚拟目录的配置，而不是保存全部的配置信息，这时可以按照如下步骤操作：右击要保持配置信息的对象，选择菜单“所有任务”→“将配置保存到一个文件”，如图二所示，如果准备将配置数据导入到另一个服务器，必须提供加密文件的密码。




图二

　　如果右击一个应用程序池、Web网站组或单个网站，然后选择“新建”→“应用程序池（来自文件）”，或者“新建”→“网站”→“来自文件”，或者“新建”→“虚拟目录（来自文件）”，就可以从保存的配置文件创建新的应用程序池、Web网站或虚拟目录。因此，必要的时候，我们可以只创建和配置一个对象，利用“将配置保存到一个文件”功能导出对象
的配置信息，然后利用“新建”→“虚拟目录（来自文件）”等功能将配置信息导入到多个Web网站。这就是说，我们可以先精心配置一个模板，然后用它来创建和配置新的网站。当然，出现问题时，配置信息副本还可以用来恢复网站的设置。

　　由于IIS 6.0配置信息是可移植的，它还有另外一个好处，这就是方便了升级。假设我们升级时不能直接在Win 2K/IIS 5.0上安装Windows 2003/IIS 6.0，必须换一台机器，这时就要解决如何将IIS 5.0不可移植的配置数据转移到新的IIS 6.0服务器的问题。利用IIS 6.0配置数据的可移植性，解决办法是：首先安装好新的Windows 2003服务器，为原来的Win 2K服务器做一个完整的备份，然后在Win 2K服务器上安装第二个Windows 2003服务器将它升级，导出第二个Windows 2003服务器的配置数据（用密码加密），然后将配置数据导入到新的Windows 2003服务器。新安装的Windows 2003服务器必须作一些调整，例如允许IUSR帐户等，但至少现在不必重新执行全部配置操作了。

　　IIS 6.0的配置数据是标准的文本文件（XML文件），所以可以用记事本之类的文本编辑器打开和编辑。如果修改了IIS 5.0或IIS 4.0的配置数据，有时必须重新启动IIS，如果系统上网站的数量很多，可能需要不少时间，例如ISP的服务器就属于这类情况。为了解决这个问题，IIS 6.0支持一种“运行时允许编辑”功能。“运行时允许编辑”功能按照如下方式启用：在IIS管理器中，右击服务器，选择菜单“属性”，然后选中“允许直接编辑配置数据库”选项，如图三所示。启用了这个功能之后，如果我们用记事本打开配置数据文件，插入一个虚拟目录的配置，然后保存并关闭配置文件，IIS 6.0几乎立即就能根据配置文件的设置作相应的修改，根本无需重新启动。



图三

　　既然允许直接编辑配置文件，因配置文件不合法造成的服务器、应用程序故障也必然增多。为此，IIS 6.0提供了配置文件历史版本目录，即\system32\inetsrv\history，每次修改配置数据或重新启动IIS 6.0，IIS 6.0都会在该目录中保存一份原有的配置数据。
三、IIS管理器

　　每次产品重大升级，人们都会试图从用户界面寻找令人激动的新功能。IIS 6.0的管理器确实有了变化，不过改动之处出乎意料地少。

　　其中一个改动之处虽小，但很实用。如果在IIS管理器中右击一个文件夹，现在可以选择“权限”菜单打开文件夹的“安全”对话框。在这个对话
框中可以设置文件夹的NTFS授权，不必再离开IIS管理器。虽然这是一个小小的改动，也许它今年会为全世界所有的IIS管理员总共节省数千小时的工作时间。

　　右击一个Web网站，选择“属性”，转到“目录安全性”页，点击“安全通信”下面的“编辑”按钮，在这里可以找到另一个重要的改动之处——安全通信属性页允许配置SSL、证书信任列表（CTL）、客户证书。在IIS 5.0和IIS 4.0中，除非在Web网站上安装一个证书，否则不能访问该属性页，这一限制令人不快，因为从技术上看，配置CTL、客户证书并不要求服务器上安装了证书，换句话说，在IIS 5.0中我们安装证书的唯一用途可能就是因为用户界面需要它。IIS 6.0改正了这一多余的要求，现在我们不必在Web服务器上安装证书也可以访问和使用该属性页了。

　　四、通配符应用程序

　　如果你熟悉IIS 5.0和IIS 4.0的ISAPI筛选器，可能也熟悉它们的缺点。ISAPI筛选器不仅编写困难，而且由于它们在Inetinfo进程内运行，如果编写时不小心留下了一点错误，很容易导致灾难性的后果，出错的代码可能造成整个IIS崩溃。另外，ISAPI筛选器不能拥有常规ISAPI DLL拥有的功能。当然，不管怎样，在IIS 5.0和IIS 4.0中，ISAPI筛选器仍是一种非常有用的组件，是唯一可以针对所有进入Web服务器或Web网站的请求执行操作的代码。

　　IIS 6.0提供了一种更加灵活的新型机制来提供通常由ISAPI筛选器提供的服务，它就是ISAPI截取器（Interceptor），或者称为通配符应用程序（Wildcard Application）。通配符应用程序的配置方式是：在IIS管理器中右击Web网站，选择菜单“属性”，转到“主目录”页面，点击“应用程序设置”下面的“配置”按钮，出现“应用程序配置”对话框，如图四所示。在对话框的“映射”页中，我们可以将一个或多个ISAPI DLL配置成通配符应用程序。对于每一个接收到的请求，IIS 6.0将调用这里列出的各个通配符应用程序。除了针对所有网站配置通配符应用程序，还可以针对单个网站或在目录层次上配置通配符应用程序。由于这些ISAPI截取器是标准的ISAPI应用程序，它们具有普通ISAPI应用程序具备的所有功能，包括访问消息正文的能力，而不仅仅象ISAPI筛选器那样访问消息头。



图四

　　通配符应用程序可以做到开发者要做的任何事情，诸如URL定制、验证身份、记录特殊的日志信息、检测攻击企图、创建内容，等等。通配符应用程序结束处理后，它把请求转交给适当的处理引擎（例如处理ASP页面的asp.dll），由处理引擎进一步处理请求。另外，通配符应用程序还可以通过调用为ISAPI应用程序新增的ExecuteURL功能
，将请求传递到同一个应用程序池中的任意页面。

　　新增的ISAPI通配符应用程序为创造性的应用程序设计大开方便之gate。例如，IIS 6.0的URL授权功能就是作为一个ISAPI通配符应用程序（urlauth.dll）实现。URL授权功能允许IIS 6.0根据一系列的规则授予对某个URL的访问权，例如用户是否为某个组的成员、地理位置，以及其他在数据库或AD中与用户有关的信息。有关ISAPI通配符应用程序和URL授权的更多信息，请参见IIS 6.0的帮助文档。
五、日志功能

　　服务器的日志功能很少成为首要的关注对象，但却是日复一日的服务器管理和监视工作不可或缺的助手。IIS 6.0在日志功能方面有许多重大的改进，但遗憾的是，W3SVC日志事件仍不能以本地时间记录。

　　在IIS 6.0中，记录日志的功能已经改为由http.sys实现，http.sys在内核模式下运行。这一改进加快了日志写入速度，同时避免了多个工作进程争用同一日志文件。某些特殊的情况下，http.sys会遇到错误，这时它应该但却不能将日志信息写入Web网站的日志，例如，工作进程正在被回收，禁止http.sys处理用户请求，或者用户试图连接到服务器，但请求中只提供了IIS所需信息的一部分。如果出现这类情况，http.sys将把事件写入一个新的日志文件httperr.log。

　　在排解故障、优化IIS 6.0的过程中，httperr.log日志文件是十分重要的。默认情况下，httperr.log文件保存在\system32\logfiles目录，但可以修改，修改方法是找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters注册子键，在它下面添加一个名为ErrorLoggingDir的字符串值，在ErrorLoggingDir中设置保存日志文件的完整路径。在httperr.log日志文件中可以找到的信息包括：所有的503（服务不可用）错误，空闲连接超时，解析URL时出现的各种错误，最后10个提交给失败的应用程序池的请求。

　　IIS 6.0还拥有一种称为二进制日志的功能，启用这个功能后，IIS 6.0将把Web网站的所有日志信息写入一个二进制格式的日志文件，日志文件的扩展名是.ibl。要启用二进制日志功能，只要把配置文件的W3SVCC/CentralBinaryLoggingEnabled条目设置成ture（1）即可。对于ISP来说，这个功能应该非常有用。ISP的每台机器上可能有1000甚至更多的Web网站，如果每个Web网站每天生成一个日志文件，日志文件的总数很快会达到一个天文数字。微软最近发布的Log Parser 2.0工具能够读取二进制日志文件并生成报告，这个工具可以从http://download.microsoft.com/download/iis50/utility/2.0/nt5xp/en-us/setup.exe下载。Log Parser 2.0还能够读取前面介绍的httperr.log文件并生成报告。

　　从很久以前开始，IIS就允许指定本地服务器上保存日志文件的目录了。不过，虽然IIS 5.0和IIS 4.0的IIS管理器允许在指定日志文件路径的时候输入一个远程服务器的通用命名规范（UNC）的路径，但Web服务器实际上不会把日志保存到远程服务器。只有IIS 6.0才真正支持日志文件路径的UNC路径名。

　　六、网站ID

　　对于IIS服务器来说，唯一标识一个网站的不是网站的名称，而是网站的ID数值。当我们在IIS 5.0和IIS 4.0中创建一个新的网站，Web服务器将下一个可用的数字顺序号指定给网站（即，Web服务器给默认站点指定的数字是1，下一个网站是2，接下来是2、3、4，等等），这个数
字就是网站的唯一ID。如果要访问一个网站的日志文件，首先必须知道该网站的ID，因为日志文件保存在\W3SVC\<网站的ID编号>目录。如果Web服务器上运行着一个以上的网站，仅仅依靠日志文件的路径名称根本无法判断哪一个日志目录属于哪一个网站。另外，无论是在编写管理脚本时，还是在修改配置数据文件时，网站ID都是必不可少的，例如，在IIS配置数据文件中指定ADSI（活动目录服务接口，Active Directory Service Interface）路径时往往要指定正确的网站ID。

　　尽管如此，在IIS 5.0和IIS 4.0中，从IIS管理器无法直接找到网站的ID编号。为此，IIS 6.0的管理器在网站清单中增加了一个新的“标识符”列，该列的内容就是网站的ID编号。不过，即使IIS 6.0 Web服务器上只有二三个网站，网站的ID也可能很大，例如387660891（因此该网站的日志文件路径是\W3SVC\387660891），不必奇怪，IIS 6.0不再按照顺序指定网站的ID了——它根据网站的名字计算出网站的ID。

　　如果你编写了一些脚本程序辅助管理，这些脚本要求使用原有的网站ID顺序生成方式，可以禁用IIS 6.0新式的ID生成方式，具体的操作步骤是：找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetMgr\Parameters注册子键，创建一个REG_DWORD值IncrementalSiteIDCreation，将它设置为2（注意，默认情况下，该键不存在）。
七、异步CGI处理

　　IIS 5.0和IIS 4.0以同步方式运行CGI（Common Gateway Interface，通用网关接口）进程，这实际上意味着每次只有一个线程能够访问一个CGI进程，所以IIS 5.0和IIS 4.0对CGI支持的可伸缩性不佳。IIS 6.0能够异步运行CGI进程，所以如果一个线程调用了一个CGI应用程序，它不必再等待CGI进程处理完毕和返回信息。异步CGI改善了IIS服务器运行CGI Web应用程序的性能，使得IIS能够运行更多执行关键任务的基于CGI的应用程序。

　　当Web服务器接收到包含CGI程序名和程序所需参数的URL时，CGI程序开始执行。如果将CGI程序编译为可执行 （.exe）文件，则必须提供包含程序执行权限的目录，以便用户可以运行程序。如果CGI程序以脚本形式（例如Perl脚本）编写，则既可为目录提供执行权限，也可为其提供脚本权限。另外，如果要使用脚本权限，必须将脚本解释程序标记为脚本引擎。

　　必须注意的是，默认情况下，IIS_WPG组不具备启动CGI进程的权限。如果创建了新帐户并将其添加到IIS_WPG组，还必须授予此帐户两种启动CGI进程的用户权限，即“调整进程的内存配额”和“替换进程级令牌”。

　　八、带宽限制

　　在IIS 5.0和IIS 4.0中，Web网站属性对话框的“性能”页允许启用带宽限制功能，指定允许网站占用的最大带宽。不过，这个功能不一定起作用，因为IIS 5.0和IIS 4.0不能直接操作服务器的网卡。

　　IIS 6.0则不同，第一次启用带宽限制功能时，Windows 2003自动安装QoS数据包计划程序供IIS服务器调用。QoS数据包计划程序使得服务器能够控制服务质量（即QoS），因此安装期间Windows 2003将临时地停止所有网络服务。配置好QoS数据包计划程序后，IIS才真正有了担负起控制网站带宽限制所需的驱动程序——对于ISP来说，这无疑是一个好消息。允许设置的最小带宽限制值是1024 Byte/秒。不要忘了检查一下网卡是否在Windows 2003硬件兼容清单（HCL）中，因为只有最新的网卡才支持QoS功能。

　　要配置QoS数据包计划程序，首先必须创建一个组策略控制台。点击“开始”→“运行”，输入“mmc”，然后点击“确定”。在控制台窗口中，选择菜单“文件”→“添加/删除管理单元”，点击“添加”，在“添加[屏蔽]管理单元”对话框中，选择“组策略对象编辑器”，然后依次点击“添加”、“完成”、“关闭”、“确定”。现在依次扩展控制台中的“本
地计算机策略”、“计算机配置”、“管理模板”、“网络”，显示出“QoS数据包计划程序”，如图五所示。



5.gif

图五

　　启用带宽限制之前，请使用系统监视器检查“网络接口”对象中的总字节数/秒或当前带宽计数器。如果希望比较传入和传出流量，请检查发送的字节数/秒和接收的字节数/秒，再比较“网络接口”对象的值和网络连接的总带宽。对于“正常”的负载，服务器使用的带宽不应超过其全部可用带宽的50%。如果服务器有较大的高峰负载，请将正常负载保持在50%以下，剩下的带宽可在高峰期使用。

　　带宽限制可以是针对全局WWW服务的（即对所有网站都有效），也可以是针对单个网站的。设置全局WWW服务最大带宽不会替代已为服务器上的单个网站设定的最大带宽。单个站点根据已设置的最大值来限制带宽，而全局设置限制所有其他未限制带宽的网站。另外，全局WWW服务带宽限制设置不会影响FTP站点或FTP服务。

　　九、默认设置的变化

　　在IIS 6.0中，许多配置项目的默认值已经与IIS 5.0或IIS 4.0的不同。例如，默认的连接超时时间已经从900秒减少到120秒，另外，EnableParentPaths设置默认关闭。还有其他一些新的设置项目也会影响服务器的性能和行为，包括：

　　⑴ 如果某种文件类型没有在MimeMap配置属性中映射，所有对该类文件的请求将被拒绝。

　　⑵ 默认情况下，所有工作进程会在1740分钟后自动回收，回收期间会话信息可能丢失。

　　⑶ 运行CGI应用程序的用户上下文必须是一个IIS_WPG组的成员。

　　⑷ Windows 2003不安装Collaboration Data Objects for Windows NT Server（CDONTS）。微软建议开发者改用CDO for Windows 2000（CDOSYS）对象。

　　⑸ ASP请求默认限制在204800字节之下，每一个域限制在100 KB之下。IIS 5.0和IIS 4.0没有这方面的限制。

　　⑹ 默认情况下，http.sys仅接受标题小于16 KB的请求。

　　本文关于IIS 6.0的介绍就到这里结束，虽然文章很长，但还是不可能做到面面俱到，例如，还没有提及受到广泛关注的Passport验证和摘要验证方面的改进，本文的重点放在一些具有突破性意义的IIS 6.0新特性以及几种较少有人提及的功能，以此证明IIS 6.0改进的广泛性、深入性。从许多方面来看，IIS 6.0的风头甚至盖过了Windows 2003——而且许多人认为，IIS 6.0确实有资格占据舞台的中央。


[ 此贴被雪狼王在2007-07-31 11:38重新编辑 ]

基于IIS的WEB服务器架建


我发现越来越多的人喜欢上了网络，他们积极学习网络技术：网络结构、网络构件技术、TCP/IP等等……但收益很少，什么原因？原因很Simple，他们没有去实践。

越来越多的人喜欢上了网络，他们纷纷发布了自己的主页，这些网页中不乏精彩之作，其中也运用了各种技术，FLASH，JavaScript,Vbscript,Java Applet等等。但他们并不能学到网络的一些根本东西，他们并不了解他们网站或网页是怎样??? 运行起来的，怎样进行传输的。

为了揭开这些秘密，我们先从网站的架建开始学习，学习怎么使您的网站或网页发布到我们的Internet中。希望我的这篇文章能起到抛砖引玉的作用……

摘要

本文主要介绍现在流行WEB服务器之一的IIS的架建技术，从中您可以获得怎样在自己机器上的创建服务器以模拟真正的服务器，也可以在真正的服务器上应用其中的操作技术，并且您将获得全程的IIS技术向导。

概述

现在的网络服务大多数是WORLD WIDE WEB服务，即HTTP服务，这大家都很熟悉。为了提供这样的服务，我们就要架设服务器以提供服务。一般来说，我们架建WEB的网站运用的人部分是IIS或Apache。前者是Microsoft的产品，只要您有Windows2K(或WinXP pro)系列，你就能获得它，我们通过它可以架设IIS+ASP+CGI+PERL或PHP+MYSQL。Apache服务器源自美国国家超级技术计算应用中心（NCSA）的WEB服务器项目中，利用它我们可以架建如下的服务器Apache+MYSQL（在Linux中应用较多）。这里我们讲解IIS服务器的架建。（之所以我不讲APACHE是因为我必须假设您会操作LINUX/UNIX和MYSQL，但这是一种苛求。）

IIS的安装

安装IIS的前提是您必须有WIN2K，不管您是什么版本的Pro,异或Servers，Advanced Server。若是后两者，那么你很幸运你可以跳过这一部分。因为系统上已经为您安装了它。

步骤如下：（以Administrator帐号登录到服务器上或您的机器上）

1.打开控制面板->添加/删除程序->添加/删除Windows组件，系统经过初始化后显示Windows组件向导。

2.在Windows组件向导里选择您需要安装的项目，这里Internet信息服务（IIS）就是我们要安装的，选上它。再选择其他你需要的，但对我们来说它们不是必要的。

3.点击下一步，系统就开始安装与配置IIS。在安装过程中您需要WIN2K的安装盘。

4.当系统配置完成后，您将在控制面板->管理工具看到“Internet服务管理器”一项，此时说明您已经安装成功。否则请重试。

IIS的基本设置

1.启动Internet服务管理器

控制面板->管理工具->Internet服务管理器

2.连接到WEB服务器

Internet信息服务启动时会连接到默认的Web服务器。但可以通过在Internet服务管理器中连接到网络中上的任何IIS服务器以对其进行管理。操作如下：操作\连接在计算机名中输入WEB服务器主机名，IP地址或NetBIOS名后确定。

3.启动、终止和暂停服务

(1)在Internet服务管理器中，选定想要启动、终止和暂停服务，在‘属性’中选择‘启动服务’、‘终止服务’或‘暂停服务’。

(2)在系统中操作IIS Admin Svervice,在这里需要说明的是这样操作或导致其他服务的停止，如FTP。

IIS的设置

现在我们来讲它的配置。限于篇幅我们只讨论其中比较重要的选项，简单的选项略去。

1.“Web站点”选项卡

(1)Web站点的标识

在说明中输入www服务器IP地址。选择高级您可以设置多个IP，即您的机器可以作为好几台服务器使用。TCP端口中输入您提供的www服务器的端口，默认为80，我们一般不改动。如果您在您的本机上实验IIS请输入127.0.0.1

(2)其他

连接数及日志我们保持默认。在此略去解释。

2.“性能”选项卡

可以设置影响内存和带宽使用的属性。（请您自己设置，比较简单）

3.“ISAPI筛选器”选项卡

ISAPI筛选器是当WEB服务器收到HTTP请求时进行响应的程序，与应用程序的不同之处在于靠WEB服务器时间驱动而不是客户请求驱动。可以使ISAPI筛选器与特定WEB服务器关联，其后，每次关联事件发生时都将通知筛选器。（设置略）

4.“主目录”选项卡

本选项卡用来配置www服务器的主目录位置等内容。

(1)指定主目录的位置。即您的www服务器的主目录位置等内容的来源。

此计算机上的目录：表示发布的信息来本地目录。默认的是SYSTEMROOT\Input\wwwroot(SYSTEMROOT表示操作系统的安装盘符。)

另一计算机上的共享位置：边式发布的信息来自其他计算机上的共享目录。如局域网中的共享目录。

重定向到URL：浏览器将对URL的请求转向另一个新的URL但对于FTP目录，无法进行重定向。

(2)文件访问属性设置

脚本资源访问：允许用户访问已经设置了“读去”或“写入”权限的资源代码，包括ASP应用程序的脚本。

读取：允许用户读取或下载或目录及其相关属性。

写入：允许用户将文件将文件及其相关属性上载到服务器上已起用的目录，或者更改可改写文件的内容。“写入”操作只能在支持HTTP1.1协议标准的PUT功能的浏览器中进行。

目录浏览：允许用户查看该虚拟目录中文件和子目录的的超文本列表。

日志访问：可以在日志文件中记录对该目录的访问。只有起用了该WEB站点的日志才会记录访问。

索引此资源：允许Microsoft Indexing Server将该目录包含在WEB站点的全文索引中。

(3)应用程序设置

执行许可：决定允许对WEB站点或虚拟目录资源进行何种级别的程序??? 无：只允许访问静态文件，入HTML或图象文件。

纯脚本：只允许运行脚本，如ASP脚本。

脚本和可执行程序：可以访问或执行各种文件类型。

应用程序的保护：选择运行应用程序的保护方式。

低：与IIS的WEB服务在同一进程中运行。

中：与其他应用程序在[屏蔽]的公用进程中运行。

高：在与其他不同的[屏蔽]进程中运行。

“配置”可以让您的IIS能够解析更多的脚本。后述。

5.“文档”选项卡

(1)启用默认文档

选中该选项可以在浏览器请求指定文档名的任何时候提供一默认文档。默认文档可以是目录的主页或包含站点文档目录列表的索引页。

(2)启用文档页脚

选中该选项可以自动将一个HTML格式的页脚附加到WEB服务器所发送的每个文档中。页脚文件不是一个完整的HTML文档，只包含需用于格式化页脚内容和外观和功能的HTML选项卡。

6.“目录安全性”选项卡

(1)匿名访问和验证控制。

匿名访问：允许任意用户访问，查询用户名及密码。

基本验证：将提示用户输入用户名和密码，通过网络“非加密”发送。

集成Windows验证：使用散列技术鉴定用户，而不是通过网络实际发送密码。

在IIS的安装过程中，安装程序自动创建一个Internet Guest帐号IUSER_HOSTNAME，用作默认的匿名登录帐号。一般，不建议使用“基本验证”方式，因为基本验证方式在网络上使用明文传递用户名和密码，容易被黑客截获。

(2)IP地址及域名限制

设置网络客户对www服务器的访问限制，提供或阻止特定用户访问本WEB站点、目录或文件。

(3)配置安全通信。

您必须安装有效服务器证书，才能使用此选项。

7.“HTTP头”选项卡

略

8.“自定义错误信息”选项卡

略

9.“服务器扩展”选项卡

略

让您的IIS服务器支持更多的脚本解析

现在我们要使IIS实现ASP，CGI，PERL，和PHP+MYSQL

所需软件(都要for Windows的）：ActivePerl PHP MYSQL

ActivePerl下载: http://sosff.cnzzz.com/soft/ActivePerl-5.6.1.633-MSWin32-x86.msi

PHP下载: http://sosff.cnzzz.com/sofi2/php-4.2.3-Win32.zip

MYSQL下载: http://gwbnsh.pchome.net/internet/server/dbserver/mysql3.23.46a-win.zip

以上是参考下载站点，无法保证其下载性能，若不能下载，请搜索。（搜索引擎www.google.com、www.baidu.com）

一、ASP支持：

IIS自带的功能，什么都不用做，本身就支持ASP运行。

二、CGI、PERL支持：

1.安装ActivePerl

运行下载的ActivePerl一步一步安装（注意：安装路径请选择到根目录的/usr/下（默认是perl），这样对以后调试程序省很多事）

2.配置IIS

打开“Internet信息服务”（在管理工具里），点开默认站点的属性

选择“主目录”选项卡，然后点“配置(G)…”，弹出对话框：

然后“添(D)”

可执行程序中添入c:\ure\bin\per.exe%s%s或通过浏览找到Perl.exe

扩展名.cgi

推荐“c:\usr\bin\perl.exe”，记得一定要在后面加上“%s%s”，不然没法执行cgi的，确定后，用同样方法添加扩展.pl

三、PHP、MYSQL支持：

1.安装PHP和MYSQL

运行下载后的PHP和MYSQL一步一步安装就行了（装到哪里都可以，一般现在网上流行的都是安装过的PHP，没有安装程序，直接拷贝就可以了）

2.PHP支持：

2.1拷贝php目录下的dlls文件夹里所有文件到System\Root\winnt\system32下

2.2配置IIS：和刚才配置cgi一样添加.php

最后把这里的“执行权限”换成：“脚本和可执行文件”，然后确定ok！

到此，你的一个WEB服务器就可以解析ASP，CGI和PHP了。

如果你的设置正确无误，那么在IE中键入你的网站的IP（本机设置为127.0.0.1)你就可以访问您的网页了，以后你可以在您自己的机器里调试动态的网页。

自架服务器：IIS高效运行的不传之秘
网站已经成为宣传自我和展示自我的一种时尚舞台，如果你也是时尚一族的话，肯定也希望架设一台属于自己的站点服务器；其实架设站点一点也不难，只要在自己的个人电脑中，安装上Windows 2000或2003服务器系统，然后通过该系统内置的IIS服务器，你就能很快拥有自己的站点了！不过站点拥有之后，如何才能让其对外提供高效服务呢？要做到这一点，那就需要掌握一些管理和优化IIS服务器的技巧了！这不，本文下面提供的几则管理技巧，可以让你的IIS服务器工作更高效！

　　1、拒绝IIS发生冲突

　　Windows 2000以上版本的服务器系统，自身已经内置了Internet服务管理器软件；如果你同时还安装了类似Apache之类的服务器软件时，就很容易造成IIS发生冲突的现象，从而出现IIS服务器无法启动或地址被强行占用的错误提示。为了避免这样的现象，你首先应该将正在运行的其他服务器软件停止掉，然后通过彻底卸载的方法将它干净删除掉；接着再将IIS服务器也停止掉，然后再尝试重新启动一下IIS服务器，要是服务器能够正常运行的话，就表明IIS冲突现象已经排除了；倘若仍然还无法启动或者还出现冲突提示的话，你不妨将现有的IIS服务器删除掉（当然，在删除之前一定要做好网站的备份工作），再重新安装并配置一下IIS服务器，相信这样就会消除IIS冲突的现象了。

　　2、为IIS启动提速

　　要想对Web网站进行管理，就需要启动IIS，打开Internet信息服务管理器窗口；要是哪一天，启动IIS的速度非常缓慢时，你就要注意了；在排除病毒的可能性外，你需要检查一下服务器系统中的“Protected Storage”服务是否已经被禁用或停止，一旦该服务被停止的话，那么IIS服务器的启动速度就会受到影响。不少菜鸟网管由于担心服务器的安全，常常会将自己用不到的或不熟悉的系统服务停止掉，而“Protected Storage”服务恰恰就容易在不经意间被他们停用掉，殊不知，这样一来IIS的启动就受到影响了。为了让IIS服务器的启动速度恢复正常，你可以按照下面步骤来启用“Protected Storage”服务：

　　依次单击“开始”/“程序”/“管理工具”/“服务”命令，在随后出现的系统服务列表窗口中，选中“Protected Storage”服务项目，并用鼠标双击该项目；

　　在弹出的图1设置对话框中，你就能查看到该服务的运行状态了；要是该服务已经被停止的话，那你就要单击该界面“启动类型”处的下拉按钮，从弹出的下拉列表中选中“自动”选项，然后单击“应用”按钮，这样该窗口的“启动”按钮就能被激活，此时再单击“启动”按钮，这样“Protected Storage”服务就能被重新启动了，最后单击“确定”按钮，并将计算机系统重新启动一下，以后再次启动IIS服务器时，你将会发现IIS的启动速度又恢复正常了。

IIS 6.0默认设置和设计上安全性的改变概述
由于Web服务器被越来越多的骇客和蠕虫制造者作为首要攻击目标，IIS便也成为了Microsoft可信赖计算计划中首要关注的内容。因此，IIS 6.0被完全的重新设计，以实现默认安全和设计安全。本文主要讲述了IIS 6.0在默认设置和设计上安全性的 改变是如何使其成为关键web应用的平台。

　　默认安全

　　过去，包括像微软这样的企业，都在他们的web服务器上安装一系列的默认示例脚本，文件处理和最小文件授权，以提高管理员管理的灵活性和可用性。但是，这些默认设置都增加了IIS的被攻击面，或者成为了攻击IIS的基础。因此，IIS 6.0被设计成了一个比早期产品更安全的平台。最显而易见的变化是IIS 6.0并没有被Windows Server 2003默认安装，而是需要管理员显式的安装这个组件。其他的变化包括：

　　.默认只安装静态HTTP服务器

　　IIS 6.0的默认安装被设置为仅安装静态HTML页面显示所需的组件，而不允许动态内容。下表比较了IIS 5.0和IIS 6.0的默认安装设置：



　.默认不安装应用范例


　　IIS 6.0中不再包括任何类似showcode.asp或codebrws.asp等的范例脚本或应用。这些程序原被设计来方便程序员快速察看和调试数据库的连接代码，但是由于showcode.asp和codebrws.asp没有正确的进行输入检查，以确定所访问的文件是否位于站点根目录下。这就允许攻击者绕过它去读取系统中的任何一个文件（包括敏感信息和本应不可见的配置文件），参考以下链接以获取该漏洞的更多的细节：http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS99-013.asp

　　.增强的文件访问控制

　　匿名帐号不再具有web服务器根目录的写权限。另外，FTP用户也被相互隔离在他们自己的根目录中。这些限制有效的避免了用户向服务器文件系统的其他部分上传一些有害程序。例如攻击者可以向/scripts目录上传一些有害的可执行代码，并远程执行这些代码，从而攻击web站点。

　　.虚拟目录不再具有执行权限

　　虚拟目录中不再允许执行可执行程序。这样避免了大量的存在于早期IIS系统中的目录遍历漏洞、上传代码漏洞以及MDAC漏洞。

　　.去除了子验证模块

　　IIS 6.0中去除了IISSUBA.dll。任何在早期IIS版本中，需要该DLL模块来验证的账号，现在需要具有"从网络[屏蔽]问这台计算机"的权限。这个DLL模块的去除，可以强制要求所有的访问都直接去SAM或者活动目录进行身份验证，从而减少IIS可能的被攻击面。

　　.父目录被禁用

　　IIS 6.0中默认禁用了对父目录的访问。这样可以避免攻击者跨越web站点的目录结构，访问服务器上的其他敏感文件，如SAM文件等。当然也请注意，由于父目录默认被禁用，这可能导致一些从早期版本IIS上迁移过来的应用由于无法使用父目录而出错。

　　安全设计

　　IIS 6.0设计中安全性的根本改变表现在：改善的数据有效性、增强的日志功能、快速失败保护、应用程序隔离和最小权限原则。


改善的数据有效性




 



　　IIS 6.0设计上的一个主要新特性是工作在内核模式的HTTP驱动--HTTP.sys。它不仅提高了web服务器的性能和可伸缩性，而且极大程度的加强了服务器的安全性。HTTP.sys作为web服务器的gate户，首先解析用户对web服务器的请求，然后指派一个合适的用户级工作进程来处理请求。工作进程被限制在用户模式以避免它访问未授权的系统核心资源。从而极大的限制了攻击者对服务器保护资源的访问。

　　IIS 6.0通过在内核模式的驱动中整合一系列的安全机制，以提升其设计上固有的安全性。这些机制包括避免潜在的缓冲溢出，改善的日志机制以辅助事件响应进程和检查用户有效性请求的先进URL解析机制。

　　为了第一时间的避免潜在的缓冲区和内存溢出漏洞的利用，微软通过在HTTP.sys中进行特殊的URL解析设置以实现IIS 6.0安全设计中的深度防御原则。这些设置还可以通过修改注册表中特定的键值来进一步优化。下表提供了主要注册表键值的位置（均在以下路径HKLM\System\CurrentControlSet\Services\HTTP\Parameters）：



　　增强的日志机制

　　一个全面的日志是检测或响应一个安全事故的基础要求。微软也意识到了在HTTP.sys中进行全面的、可靠的日志机制的重要性。HTTP.sys在将请求指派给特定的工作进程之前就进行日志记录。这样可以保证，即使工作进程中断了，也会保留一个错误日志。日志由发生错误的时间戳、来源目的IP和端口、协议版本、HTTP动作、URL地址、协议状态、站点ID和HTTP.sys的原因解释等条目构成。原因解释能够提供详细的错误产生原因的信息，如由于超时导致的错误，或由于工作进程的异常终止而引发的应用程序池强行切断连接而导致的错误。

　　以下连接可以看到HTTP.sys日志文件的示例：http://www.microsoft.com/technet/treeview/default.asp
?url=/technet/prodtechnol/iis/iis6/proddocs/resguide/iisrg_log_qlow.asp


　快速失败保护


　　除了修改注册表，IIS 6.0的管理员还可以通过服务器设置，来使那些在一段时间内反复失败的进程关闭或者重新运行。这个附加的保护措施是为了防止应用程序因为受到攻击而不断地出错。这个特性就叫做快速失败保护。

　　快速失败保护可以按照以下步骤在Internet信息服务管理工具中配置：

　　1. 在Internet信息服务（IIS）管理器中，展开本地计算机。

　　2. 展开应用程序池。

　　3. 在要设定快速失败保护的应用程序池上单击鼠标右键。

　　4. 选择属性。

　　5. 选择运行状况选项卡，勾选启用快速失败保护。

　　6. 在失败数中，填写可以忍受的工作进程失败次数（在结束这个进程之前）。 7. 在时间段中，填写累计工作进程失败次数统计的时间。

　　应用程序隔离

　　在早期版本的IIS中（5.0和以前的版本），由于将web应用程序隔离在[屏蔽]的单元将会导致严重的性能下降，因此没有实现应用程序隔离。通常一个web应用程序的失败会影响同一服务器上其他应用程序。然而，IIS 6.0在处理请求时，通过将应用程序隔离成一个个叫做应用程序池的孤立单元这种设计上的改变，成倍的提高了性能。每个应用程序池中通常由一个或多个工作进程。这样就允许确定错误的位置，防止一个工作进程影响其他工作进程。这种机制也提高了服务器以及其上应用的可靠性。

　　坚持最小特权原则

　　IIS 6.0坚持一个基本安全原则--最小特权原则。也就是说，HTTP.sys中所有代码都是以Local System权限执行的，而所有的工作进程，都是以Network Service的权限执行的。Network Service是Windows 2003中新内置的一个被严格限制的账号。另外，IIS 6.0只允许管理员执行命令行工具，从而避免命令行工具的恶意使用。这些设计上的改变，都降低了通过潜在的漏洞攻击服务器的可能性。部分基础设计上的改变、一些简单配置的更改（包括取消匿名用户向web服务器的根目录写入权限，和将FTP用户的访问隔离在他们各自的主目录中）都极大地提高了IIS 6.0的安全性。

　　IIS 6.0是微软公司在帮助客户提高安全性上迈出的正确一步。它为Web应用提供了一个可靠的安全的平台。这些安全性的提高应归功于IIS 6.0默认的安全设置，在设计过程中就对安全性的着重考虑，以及增强的监视与日志功能。但是管理员不应该认为仅通过简单的迁移到新平台就可以获得全面的安全。正确的做法是应该进行多层面的安全设置，从而获得更全面的安全性。这也与针对Code Red和Nimda病毒威胁而进行的深度安全防御原则是一致的。

图解XP配置IIS+ASP详解（新手本机调试ASP必读）：

偶不会图文混排   ，偶只会简单的发文字和图片，所以就委屈大家了  

这里基本上包括了有关iis的一切问题了，给大家参考吧！